- •2.1. Анализ комплекса необходимых условий достижения необходимого уровня безопасности при использовании современных информационных и телекоммуникационных технологий в иткс.
- •2.1.2. Общие требования к комплексу защиты информации иткс
- •2.1.3. Общие требования к программно-техническим средствам защиты информации.
- •2.1.4. Общие требования к техническим средствам иткс
- •2.1.5. Основные требования, предъявляемые программному обеспечению
- •2.1.6. Обеспечение защиты иткс от вирусов.
2.1.4. Общие требования к техническим средствам иткс
Технические средства ИТКС ( отдельных ее компонент, входящих в их состав ЛВС, цепей управления и связи и т.п.), несущие открытую информацию, должны быть оборудованы физической защитой от несанкционированного проникновения к ним.
Технические средства, в которых производится обработка и хранение секретной информации, должны быть защищены от утечки по побочным каналам установленным порядком по II или III категории в зависимости от грифа секретности обрабатываемой информации.
Технические средства ИТКС, обеспечивающие выход на каналы связи, не должны ухудшать специальные свойства устройств закрытия информации в абонентских пунктах и ЛВС. Кроме того, сопряженные с ними технические средства должны удовлетворять действующим Требованиям к техническим средствам (включая ЭВТ) по защите информации.
При абонентском шифровании реализация криптографического алгоритма и ключевой системы должна строиться таким образом, чтобы защищенность ПЭВМ по действующим нормам защиты технических средств обеспечивала и защиту СКЗД по нормам ОСТ-С. АП и ЛВС должны размещаться в пределах установленных контролируемых зон.
Должна быть обеспечена защита помещений от утечки информации по виброакустическим, электромагнитным и оптическим каналам.
Должна быть осуществлена специальная проверка помещений и используемого импортного оборудования на наличие аппаратных закладок.
2.1.5. Основные требования, предъявляемые программному обеспечению
Одной из основных мер защиты информации являются требования, предъявляемые к базовому и прикладному программному обеспечению, используемому в ИТКС.
Основными из этих требований являются:
1. Состав базового программного и прикладного программного обеспечения ИТКС определяется по результатам технического проектирования как отдельных компонент так и системы в целом. Любые изменения состава программного обеспечения должны проводиться только в установленном порядке;
2. Программное обеспечение должно быть лицензионным, иметь по отношению к себе определенный уровень "доверия" ( например, пройти верификационные, аттестационные или сертификационные испытания). При выборе программного продукта предпочтение должно отдаваться отечественным разработкам. Программные средства защиты информации должны иметь сертификат и разработаны фирмой, имеющей соответствующую лицензию. Средства криптографической защиты информации должны иметь сертификат ФАПСИ.
3. Базовое и прикладное программное обеспечение ИТКС не должно предоставлять пользователю возможностей по:
- редактированию областей оперативной памяти других программ, процессов и операционной системы;
- изменению информации на магнитных носителях в обход стандартных функций операционной системы, предназначенных для работы с файлами и каталогами операционной системы;
- модификации файлов, содержащих собственный выполняемый код;
- созданию и выполнению пользователем собственных программ.
4. Программное приложение, обеспечивающее невозможность негативного влияния на среду функционирования (далее - программное приложение) должно использоваться и передаваться третьим лицам, с целью проведения необходимого, с точки зрения защиты, исследования его исходных текстов, реализованных в известных (стандартных) языках программирования.
5. Программное приложение должно содержать параметры преобразования его в исполняемый код, включающие конкретные типы компилирующей (интерпретирующей) программы, операционной системы (среды) и аппаратных средств компьютерной системы.
6. Программное приложение не должно содержать функции (механизмов) модификации своего собственного программного кода, а также не должно содержать процедур модификации своего кода, инициируемых из других программных приложений.
7. Программное приложение не должно содержать фрагментов программного кода, которым ни при каких условиях не передается управление при выполнении данного приложения, а также данных, не используемых процедурами или инструкциями данного приложения.
8. Требования к параметрам, передаваемых в программное приложение:
- параметры, передаваемые в программное приложение из других приложений, должны быть все существенно использованы при исполнении программного кода приложения;
- параметры, возвращаемые из программного приложения, должны иметь фиксированную структуру;
- параметры, возвращаемые из программного приложения, должны в обязательном порядке получить конкретные значения при исполнении инструкций (функций) данного приложения;
- передача параметров в программное приложение и из него через глобальные переменные не допускается;
9. Требования по инициированию и завершению работы программного приложения:
- инициирование работы программного приложения должно осуществляться только через описанные в нем точки входа (места передачи управления от вызывающего приложения к данному) и никаким иным образом;
- завершение работы программного приложения должно происходить только одним из следующих образом:
а) возвратом управления к вызвавшему приложению;
б) передачей управления к приложению-обработчику ошибочных ситуаций в вызвавшем приложении или операционной среде;
с) инициированием начального этапа работы компьютерной системы (перезагрузка);
- программное приложение может вызывать из себя только приложения, удовлетворяющие всем данным требованиям;
- программное приложение не должно завершать (прекращать) работу других программных приложений (в том числе и не вызывающих его) иначе, чем способами а и б из второго дефиса данного пункта.
10. Требования по обращению приложения к массивам данных и ресурсам компьютерной системы:
- программное приложение должно использовать (создавать, читать и записывать) массивы данных и ресурсы компьютерной системы только через стандартные функции операционной среды или стандартные приложения, удовлетворяющие всем данным требованиям;
- программное приложение не должно обращаться непосредственно к программам постоянных запоминающих устройств компьютерной системы.
11. Требования по обеспечению работы мультизадачных и сетевых операционных сред и компьютерных систем:
- при использовании приложением разделяемого ресурса в нем должны быть реализованы механизмы, исключающие модификацию используемого ресурса иным приложением в моменты его использования данным приложением. Указанный пункт может гарантироваться также архитектурой операционной среды;
- при использовании приложением разделяемого ресурса в нем должны быть реализованы механизмы освобождения данного ресурса по завершении его использования;
- приложение не должно производить операции записи в области оперативной памяти, не отведенные данному приложению;
- после окончания использования созданных данным приложением массивов данных, не используемых иными приложениями, указанные массивы должны быть уничтожены таким образом, чтобы их информативная компонента была недоступна.
12. Требования по обеспечению надежной работы программного приложения:
- программное приложение должно содержать механизмы, запрещающие его работу при искажении программного кода при хранении и загрузке его в оперативную память. Вероятность несрабатывания данного механизма не должна быть выше заданной величины. Данная величина определяется исходя из области применимости программного приложения.
13. Базовое и прикладное программное обеспечение ИТКС должно предоставлять возможность раздельного хранения собственных файлов и файлов, содержащих данные, порожденные пользователями (в выделенных каталогах, на выделенных логических диска.
Уточнения базового и прикладного программного обеспечения, предназначенного для использования системе, проводится на этапе технического проектирования создаваемых компонентов ИТКС.