- •2.1. Анализ комплекса необходимых условий достижения необходимого уровня безопасности при использовании современных информационных и телекоммуникационных технологий в иткс.
- •2.1.2. Общие требования к комплексу защиты информации иткс
- •2.1.3. Общие требования к программно-техническим средствам защиты информации.
- •2.1.4. Общие требования к техническим средствам иткс
- •2.1.5. Основные требования, предъявляемые программному обеспечению
- •2.1.6. Обеспечение защиты иткс от вирусов.
2.1.2. Общие требования к комплексу защиты информации иткс
Безопасность информации в ИТКС должна обеспечиваться с учетом положений, находящейся в настоящее время на конечном этапе рассмотрения, "Доктрины информационной безопасности Российской Федерации" и нормативно-технических требований, которые необходимо выполнять при разработке и использовании защищенных информационно-телекоммуникационных систем.
Требования к обеспечению безопасности основываются на следующих основных принципах:
- комплексность реализации мероприятий, обеспечивающих равнопрочность рубежей защиты по всем возможным каналам утечки информации;
- разумная достаточность уровня обеспечения защиты, дифференцированная в соответствии со степенью важности обрабатываемой информации;
- стандартизация средств и методов защиты;
- использование защищенных средств обработки, хранения и передачи информации;
- правовая обеспеченность политики в области информационной безопасности;
- эволюционность развития средств защиты с учетом перспектив, базирующихся на достижениях современной технологии информационной безопасности.
2.1.3. Общие требования к программно-техническим средствам защиты информации.
Для достижения необходимого уровня обеспечении информационной безопасности конкретного объекта ИТКС руководствуются следующими требованиями и функциональными возможностями программно-технических средств защиты информации.
1. Комплекс средств защиты информации должен включать в себя:
- программно-технические средства (ПТС) криптографической защиты информации;
- ПТС защиты информации от несанкционированного доступа (НСД);
- технические средства защиты оборудования ИТКС и абонентских пунктов (АП) от утечки информации по техническим каналам
- организацию физической защиты объектов ИТКС.
2. Комплекс средств защиты информации должен обеспечивать комплексную защиту информации отдельно стоящих АП на базе ПЭВМ и ЛВС, входящих в состав информационных центров ИТКС. При этом требования к составу базового общесистемного и прикладного программного обеспечения и техническим характеристикам защищаемого оборудования определяются по материалам соответствующих разделов системного проекта компонентов.
3. Требования к программно-техническим средствам криптографической защиты информации:
а) комплекс средств защиты секретной информации должен разрабатываться с учетом требований ПШ-93;
б) программно-технические средства криптографической защиты информации в ИТКС должны обеспечивать выполнение следующих функций:
- защиту информации в каналах связи при ее хранении и обработке (обеспечение конфиденциальности информации);
- обеспечение целостности и подлинности передаваемой и хранимой информации (имитозащиту);
- обеспечение контроля доступа к услугам сети, оборудованию и данным абонентов;
- обеспечение живучести криптографической системы и защиту информации при компрометации части ключевой системы;
- аутентификацию сторон, устанавливающих связь (подтверждение подлинности отправителя и получателя информации);
- защиту от отказов со стороны отправителя или получателя информации;
- возможность доказательства неправомочности действий пользователей и обслуживающего персонала в сети.
в) алгоритмы шифрования и их реализация в виде аппаратных или программных средств шифрования должна отвечать требованиям к шифртехнике и соответствовать ГОСТ 28147-89. Применение алгоритмов и средств шифрования, разработанных за рубежом, недопустимо;
г) абоненты ИТКС и базы данных должны использовать абонентский принцип шифрования информации с использованием индивидуальных ключей по направлениям (парно-выборочная связь). Абонентское шифрование обеспечивает сквозную защиту сообщения по всему тракту его прохождения, защищает информацию от переадресации за счет сбоев или неисправностей аппаратно-программных средств центров коммутации;
е) ключевая система средств криптографической защиты информации должна обеспечивать возможность разграничения доступа к группам файлов (каталоги, логические диски) между конкретными пользователями и группами пользователей;
ж) абонентские пункты и специальные локальные вычислительные сети (СЛВС) со встроенными средствами шифрования должны отвечать основным криптографическим, инженерно-криптографическим, специальным требованиям и требованиям к линейной передаче для объектов, в соответствии с категорией обрабатываемой информации.
3.1. В качестве одной из мер криптографической защиты информации использовать "электронную цифровую подпись" и средства подтверждения целостности конфиденциальной информации, что позволит:
- абоненту-получателю идентифицировать источник и проверить целостность полученной информации;
- обеспечить защиту информации от подделки со стороны нелегального абонента коммуникационной сети;
- предотвратить негативные последствия ситуации, связанные с подделкой сообщения абонентом-получателем;
- предотвратить негативные последствия ситуации, связанные с отказом от факта передачи информации.
Программные средства электронной подписи должны соответствовать Государственному стандарту "Подпись цифровая электронная", ГОСТ Р 3410-94; ГОСТ Р 3411-94. Помимо этого, для обеспечения защиты от отказов пользователей от переданной или принятой информации в сети кроме цифровой подписи должна быть реализована система регистрации и квитирования прохождения сообщений с уведомлением пользователей. Данные регистрации должны храниться в течение определенного времени и предъявляться при возникновении спорных ситуаций.
4. Программно-технические средства защиты информации от НСД должны обеспечивать реализацию следующих функций:
- разграничение доступа к вычислительным ресурсам, базам данных и к информации;
- идентификацию пользователей при доступе к вычислительным ресурсам и информации;
- регистрацию действий пользователей в регистрационном протоколе;
- регистрацию в протоколе выдачи информации на печать и на сменные носители;
- тестирование средств системы защиты от НСД;
- контроль целостности программ и информации;
- обеспечение возможности смены паролей пользователей.
Система защиты от НСД реализует парольный вход пользователей в начале сеанса работы на ПЭВМ, причем пароли должны храниться в ПЭВМ в закрытом необратимым преобразованием виде. Система защиты фиксирует в регистрационном протоколе все попытки вхождения с неверно набранным паролем, при этом ограничивается как число попыток ввода пароля, так и максимальное время, отводимое на ввод пароля.
Система защиты должна блокировать возможность доступа к информации при попытках загрузки собственной копии или версии операционной системы. Система защиты от НСД накладывает требования на прикладное программное обеспечение с тем, чтобы оно не содержало средств, позволяющих пользователю создавать, удалять и модифицировать исполняемые файлы, а также осуществлять доступ к магнитным накопителям в обход средств операционной системы, осуществлять запуск других программ в обход стандартных средств операционной системы.
Система защиты от НСД реализует функции защиты программного обеспечения и информации от проникновения программных "вирусов".
5. Изменение состава используемого системного и прикладного программного обеспечения может производиться только в соответствии с предписанием специализированной организации.
6. Прикладное программное обеспечение не должно содержать средств, позволяющих пользователю:
- создавать, модифицировать и удалять исполняемые файлы;
- осуществлять доступ к магнитным накопителям в обход средств операционной системы;
- осуществлять запуск других программ в обход стандартных средств операционной системы.
7. В системе должны быть предусмотрены меры по защите программного обеспечения и информации от проникновения "вирусов".
8. Должна быть проведена специальная проверка импортного оборудования и анализ импортного ПО.
9. Должны быть предусмотрены организационно-режимные меры по обеспечению защиты информации и оборудования в ИТКС.