- •Санкт-петербургский национальный исследовательский университет информационных технологий, механики и оптики
- •2.1 Назначение сзпДн
- •3. Общая характеристика ис
- •3.1. Объект работ
- •3.2. Характеристика информационных систем
- •4. Требования к сзпДн
- •4.1 Общие требования
- •4.2 Требования к структуре и функциям сзпДн
- •4.2.1 Требования к подсистеме управления доступом
- •4.2.2 Требования к подсистеме регистрации и учета
- •4.2.3 Требования к подсистеме контроля целостности
- •4.2.4 Требования к подсистеме криптографической защиты
- •4.2.5 Требования к подсистеме межсетевого экранирования
- •4.2.6 Требование к подсистеме защиты от утечек
- •4.2.7 Требования к подсистеме обнаружения атак
- •4.2.8 Требования к подсистеме анализа защищённости
- •4.2.9 Требования к подсистеме антивирусной защиты
- •4.2.10 Требования к подсистеме централизованного управления
- •4.3 Требования к вариантам исполнения системы
- •4.4 Требования к режимам функционирования системы
- •4.5 Требования к численности и квалификации персонала, режиму его работы
- •5.2 Требования к техническому обеспечению
- •5.3 Требования к организационному обеспечению
- •6. Обязательные требования к Исполнителю
- •7. Источники разработки
- •8. Перечень принятых сокращений
4. Требования к сзпДн
4.1 Общие требования
Архитектура КСЗИ в совокупности с механизмом поддержки функциональных подсистем не должна накладывать каких-либо существенных ограничений на информационные технологии, используемые в ИС;
Архитектура КСЗИ должна обеспечивать реализацию функций безопасности на всех технологических этапах эксплуатации ИС, в том числе при проведении технического обслуживания и ремонта;
Эффективность КСЗИ должна достигаться комплексным применением различных средств и методов;
КСЗИ должна быть структурирована по функциональным подсистемам, уровням применения и видам исполнений;
Приводимые в настоящем документе требования по обеспечению безопасности информации должны обеспечивать уровень защищенности информации, соответствующий требованиям, установленными «Положением о методах и способах защиты информации в информационных системах персональных данных» ФСТЭК России.
4.2 Требования к структуре и функциям сзпДн
В состав СЗПДн должны входить следующие подсистемы:
подсистема управления доступом;
подсистема регистрации и учета;
подсистема контроля целостности;
подсистема криптографической защиты;
подсистема межсетевого экранирования;
подсистема защиты от утечек;
подсистема обнаружения атак;
подсистема анализа защищённости;
подсистема антивирусной защиты;
подсистема централизованного управления.
Структура СЗПДн может изменяться и уточняться по результатам разработки частной модели угроз на предпроектной стадии, с учетом обоснования необходимых изменений в ЧТЗ.
4.2.1 Требования к подсистеме управления доступом
Подсистема управления доступом должна обеспечивать выполнение следующих базовых требований:
должна выполняться идентификация и аутентификация пользователя при входе в операционную систему АРМ по паролю условно-постоянного действия не менее 6 символов;
должна быть реализована возможность применения механизмов дискреционного принципа доступа;
должны быть реализованы механизмы блокировки системы при заданном количестве неудачных попыток ввода идентификатора и пароля при входе в систему;
должно обеспечиваться блокирование доступа к СВТ при превышении установленного интервала времени неактивности данного СВТ;
Для ИС, в отношении которых признаются актуальными угрозы нарушения безопасности обработки ПДн и/или утечки информации за счет действий внутреннего нарушителя дополнительно должно обеспечиваться выполнение следующих требований:
должны быть реализованы механизмы идентификации и строгой двухфакторной аутентификации пользователей с применением внешних устройств аутентификации на основе технологии персональных ключей;
должны быть реализованы механизмы идентификации и строгой двухфакторной аутентификации пользователей с применением внешних устройств аутентификации на основе технологии персональных электронных ключей;
должен осуществляется контроль доступа пользователей к периферийным устройствам;
должна осуществляться динамическая и статическая блокировка доступа к внешним устройствам.