- •Основы проектирования защищенных инфокоммуникационных систем
- •МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
- •УПРАВЛЕНИЕ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА
- •Требования к реализации УПД.1
- •Требования к реализации УПД.1
- •Требования к усилению УПД.1
- •Содержание базовой меры УПД.1
- •РЕАЛИЗАЦИЯ НЕОБХОДИМЫХ МЕТОДОВ УПРАВЛЕНИЯ ДОСТУПОМ
- •Требования к реализации УПД.2
- •Требования к реализации УПД.2
- •Требования к усилению УПД.2
- •Содержание базовой меры УПД.2
- •УПРАВЛЕНИЕ
- •Требования к реализации УПД.3
- •Требования к реализации УПД.3
- •Требования к усилению УПД.3
- •Требования к усилению УПД.3
- •Требования к реализации УПД.3
- •Содержание базовой меры УПД.3
- •РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ (РОЛЕЙ) ПОЛЬЗОВАТЕЛЕЙ, АДМИНИСТРАТОРОВ И ЛИЦ, ОБЕСПЕЧИВАЮЩИХ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ
- •Требования к реализации УПД.4
- •Требования к усилению УПД.4
- •Требования к усилению УПД.4
- •Содержание базовой меры УПД.4
- •НАЗНАЧЕНИЕ МИНИМАЛЬНО НЕОБХОДИМЫХ ПРАВ И ПРИВИЛЕГИЙ ПОЛЬЗОВАТЕЛЯМ, АДМИНИСТРАТОРАМ
- •Требования к реализации УПД.5
- •Требования к усилению УПД.5
- •Содержание базовой меры УПД.5
- •ОГРАНИЧЕНИЕ НЕУСПЕШНЫХ ПОПЫТОК ВХОДА В ИНФОРМАЦИОННУЮ СИСТЕМУ
- •Требования к реализации УПД.6
- •Требования к усилению УПД.6
- •Содержание базовой меры УПД.6
- •ПРЕДУПРЕЖДЕНИЕ ПОЛЬЗОВАТЕЛЯ ПРИ ЕГО ВХОДЕ
- •Требования к реализации УПД.7
- •Содержание базовой меры УПД.7
- •ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЯ ПОСЛЕ УСПЕШНОГО ВХОДА
- •Требования к реализации УПД.8
- •Содержание базовой меры УПД.8
- •ОГРАНИЧЕНИЕ ЧИСЛА ПАРАЛЛЕЛЬНЫХ СЕАНСОВ ДОСТУПА ДЛЯ КАЖДОЙ
- •Требования к реализации УПД.9
- •Требования к усилению УПД.9
- •Содержание базовой меры УПД.9
- •БЛОКИРОВАНИЕ СЕАНСА ДОСТУПА В ИНФОРМАЦИОННУЮ СИСТЕМУ ПОСЛЕ УСТАНОВЛЕННОГО ВРЕМЕНИ БЕЗДЕЙСТВИЯ (НЕАКТИВНОСТИ) ПОЛЬЗОВАТЕЛЯ
- •Требования к реализации УПД.10
- •Требования к усилению УПД.10
- •Содержание базовой меры УПД.10
- •РАЗРЕШЕНИЕ (ЗАПРЕТ) ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ, РАЗРЕШЕННЫХ ДО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ
- •Требования к реализации УПД.11
- •Содержание базовой мерыУПД.11
- •ПОДДЕРЖКА И СОХРАНЕНИЕ АТРИБУТОВ БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С ИНФОРМАЦИЕЙ
- •Требования к реализации УПД.12
- •Требования к усилению УПД.12
- •Содержание базовой меры УПД.12
- •РЕАЛИЗАЦИЯ ЗАЩИЩЕННОГО УДАЛЕННОГО ДОСТУПА
- •Требования к реализации УПД.13
- •Требования к реализации УПД.13
- •Требования к усилению УПД.13
- •Содержание базовой меры УПД.13
- •РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ
- •Требования к реализации УПД.14
- •Требования к реализации УПД.14
- •Требования к усилению УПД.14
- •Содержание базовой меры УПД.14
- •РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ
- •Требования к реализации УПД.15
- •Требования к реализации УПД.15
- •Требования к усилению УПД.15
- •Содержание базовой меры УПД.15
- •УПРАВЛЕНИЕ ВЗАИМОДЕЙСТВИЕМ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ СТОРОННИХ ОРГАНИЗАЦИЙ
- •Требования к реализации УПД.16
- •Требования к реализации УПД.16
- •Требования к усилению УПД.16
- •Содержание базовой меры УПД.16
- •ОБЕСПЕЧЕНИЕ ДОВЕРЕННОЙ ЗАГРУЗКИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ
- •Требования к реализации УПД.17
- •Требования к усилению УПД.17
- •Содержание базовой меры УПД.17
Основы проектирования защищенных инфокоммуникационных систем
ЛЕКЦИЯ № 9
Сторожук Николай Леонидович доцент кафедры ЗСС, к.т.н.
МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
(ФСТЭК РОССИИ)
Часть 2
Утвержден ФСТЭК России 11 февраля 2014 г.
УПРАВЛЕНИЕ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА
К ОБЪЕКТАМ ДОСТУПА (УПД)
УПРАВЛЕНИЕ
(ЗАВЕДЕНИЕ, АКТИВАЦИЯ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ)
УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ, В ТОМ ЧИСЛЕ ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ
УПД.1
Требования к реализации УПД.1
Оператором должны быть установлены и реализованы следующие функции управления учетными записями пользователей, в том числе внешних пользователей:
•определение типа учетной записи (внутреннего пользователя, внешнего пользователя; системная, приложения; гостевая (анонимная), временная и (или) иные типы записей);
•объединение учетных записей в группы (при необходимости);
•верификацию пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя;
•заведение, активация, блокирование и уничтожение учетных записей пользователей;
•пересмотр и, при необходимости, корректировка учетных записей пользователей с периодичностью, определяемой оператором;
•порядок заведения и контроля использования гостевых (анонимных) и временных учетных записей пользователей, а также привилегированных учетных записей администраторов;
Требования к реализации УПД.1
•оповещение администратора, осуществляющего управление учетными записями пользователей, об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях;
•уничтожение временных учетных записей пользователей, предоставленных для однократного (ограниченного по времени) выполнения задач в информационной системе;
•предоставление пользователям прав доступа к объектам доступа информационной системы, основываясь на задачах, решаемых пользователями в информационной системе и взаимодействующими с ней информационными системами.
Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки/тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).
Правила и процедуры управления учетными записями пользователей регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению УПД.1
•оператором должны использоваться автоматизированные средства поддержки управления учетными записями пользователей;
•должно осуществляться блокирование временных учетных записей по окончании установленного периода их использования;
•должно осуществляться блокирование неактивных учетных записей после периода времени неиспользования:
а) более 90 дней; б) более 45 дней;
•в информационной системе должно осуществляться автоматическое блокирование учетных записей пользователей:
б) при превышении установленного оператором числа неуспешных попыток аутентификации пользователя;
в) при выявлении по результатам мониторинга журналов регистрации событий действий пользователей, которые отнесены оператором к событиям нарушения безопасности информации;
•в информационной системе должен осуществляться автоматический контроль заведения, активации, блокирования и уничтожения учетных записей пользователей и оповещение администраторов о результатах автоматического контроля.
Содержание базовой меры УПД.1
Мера защиты |
Класс защищенности информационной системы |
|||
|
|
|
|
|
информации |
4 |
3 |
2 |
1 |
|
||||
|
|
|
|
|
УПД.1 |
+ |
+ |
+ |
+ |
|
|
|
|
|
Усиление |
|
1, 2 |
1, 2, 3а |
1, 2, 3б |
УПД.1 |
|
|||
|
|
|
|
РЕАЛИЗАЦИЯ НЕОБХОДИМЫХ МЕТОДОВ УПРАВЛЕНИЯ ДОСТУПОМ
(ДИСКРЕЦИОННЫЙ, МАНДАТНЫЙ, РОЛЕВОЙ ИЛИ ИНОЙ МЕТОД),
ТИПОВ
(ЧТЕНИЕ, ЗАПИСЬ, ВЫПОЛНЕНИЕ ИЛИ ИНОЙ ТИП)
И ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА
УПД.2
Требования к реализации УПД.2
В информационной системе для управления доступом должны быть реализованы установленные оператором методы управления и типы доступа, а также реализованы правила разграничения доступа.
Методы управления доступом реализуются в зависимости от особенностей функционирования информационной системы, с учетом угроз безопасности информации и должны включать один или несколько следующих методов:
•Дискреционный метод управления доступом, предусматривающий управление доступом на основе идентификационной информации субъекта и для каждого объекта доступа – списка, содержащего набор субъектов доступа и ассоциированных с ними типов доступа;
•Ролевой метод управления доступом, предусматривающий управление доступом на основе ролей субъектов доступа;
•Мандатный метод управления доступом, предусматривающий управление доступом на основе сопоставления классификационных меток каждого субъекта доступа и каждого объекта доступа.
Требования к реализации УПД.2
Типы доступа должны включать операции по чтению, записи, удалению, выполнению и иные операции, разрешенные к выполнению пользователем (группе пользователей) или запускаемому от его имени процессу при доступе к информационным объектам.
Правила разграничения должны обеспечивать управление доступом пользователей (групп пользователей) и запускаемых от их имени процессов при входе в систему, доступе к техническим средствам, устройствам, объектам файловой системы, запускаемым и исполняемым модулям, объектам систем управления БД, объектам, создаваемым прикладным и специальным программным обеспечением, параметрам настройки средств защиты информации, информации о конфигурации системы защиты информации и иной информации о функционировании системы защиты информации, а также иным объектам доступа.
Правила разграничения доступа регламентируются в организационно- распорядительных документах оператора.