Леция 4 (1085253), страница 3
Текст из файла (страница 3)
ж) абонентские пункты и специальные локальные вычислительные сети (СЛВС) со встроенными средствами шифрования должны отвечать основным криптографическим, инженерно-криптографическим, специальным требованиям и требованиям к линейной передаче для объектов, в соответствии с категорией обрабатываемой информации.
3.1. В качестве одной из мер криптографической защиты информации использовать "электронную цифровую подпись" и средства подтверждения целостности конфиденциальной информации, что позволит:
- абоненту-получателю идентифицировать источник и проверить целостность полученной информации;
- обеспечить защиту информации от подделки со стороны нелегального абонента коммуникационной сети;
- предотвратить негативные последствия ситуации, связанные с подделкой сообщения абонентом-получателем;
- предотвратить негативные последствия ситуации, связанные с отказом от факта передачи информации.
Программные средства электронной подписи должны соответствовать Государственному стандарту "Подпись цифровая электронная", ГОСТ Р 3410-94; ГОСТ Р 3411-94. Помимо этого, для обеспечения защиты от отказов пользователей от переданной или принятой информации в сети кроме цифровой подписи должна быть реализована система регистрации и квитирования прохождения сообщений с уведомлением пользователей. Данные регистрации должны храниться в течение определенного времени и предъявляться при возникновении спорных ситуаций.
4. Программно-технические средства защиты информации от НСД должны обеспечивать реализацию следующих функций:
- разграничение доступа к вычислительным ресурсам, базам данных и к информации;
- идентификацию пользователей при доступе к вычислительным ресурсам и информации;
- регистрацию действий пользователей в регистрационном протоколе;
- регистрацию в протоколе выдачи информации на печать и на сменные носители;
- тестирование средств системы защиты от НСД;
- контроль целостности программ и информации;
- обеспечение возможности смены паролей пользователей.
Система защиты от НСД реализует парольный вход пользователей в начале сеанса работы на ПЭВМ, причем пароли должны храниться в ПЭВМ в закрытом необратимым преобразованием виде. Система защиты фиксирует в регистрационном протоколе все попытки вхождения с неверно набранным паролем, при этом ограничивается как число попыток ввода пароля, так и максимальное время, отводимое на ввод пароля.
Система защиты должна блокировать возможность доступа к информации при попытках загрузки собственной копии или версии операционной системы. Система защиты от НСД накладывает требования на прикладное программное обеспечение с тем, чтобы оно не содержало средств, позволяющих пользователю создавать, удалять и модифицировать исполняемые файлы, а также осуществлять доступ к магнитным накопителям в обход средств операционной системы, осуществлять запуск других программ в обход стандартных средств операционной системы.
Система защиты от НСД реализует функции защиты программного обеспечения и информации от проникновения программных "вирусов".
5. Изменение состава используемого системного и прикладного программного обеспечения может производиться только в соответствии с предписанием специализированной организации.
6. Прикладное программное обеспечение не должно содержать средств, позволяющих пользователю:
- создавать, модифицировать и удалять исполняемые файлы;
- осуществлять доступ к магнитным накопителям в обход средств операционной системы;
- осуществлять запуск других программ в обход стандартных средств операционной системы.
7. В системе должны быть предусмотрены меры по защите программного обеспечения и информации от проникновения "вирусов".
8. Должна быть проведена специальная проверка импортного оборудования и анализ импортного ПО.
9. Должны быть предусмотрены организационно-режимные меры по обеспечению защиты информации и оборудования в ИТКС.
2.1.4. Общие требования к техническим средствам ИТКС
Технические средства ИТКС ( отдельных ее компонент, входящих в их состав ЛВС, цепей управления и связи и т.п.), несущие открытую информацию, должны быть оборудованы физической защитой от несанкционированного проникновения к ним.
Технические средства, в которых производится обработка и хранение секретной информации, должны быть защищены от утечки по побочным каналам установленным порядком по II или III категории в зависимости от грифа секретности обрабатываемой информации.
Технические средства ИТКС, обеспечивающие выход на каналы связи, не должны ухудшать специальные свойства устройств закрытия информации в абонентских пунктах и ЛВС. Кроме того, сопряженные с ними технические средства должны удовлетворять действующим Требованиям к техническим средствам (включая ЭВТ) по защите информации.
При абонентском шифровании реализация криптографического алгоритма и ключевой системы должна строиться таким образом, чтобы защищенность ПЭВМ по действующим нормам защиты технических средств обеспечивала и защиту СКЗД по нормам ОСТ-С. АП и ЛВС должны размещаться в пределах установленных контролируемых зон.
Должна быть обеспечена защита помещений от утечки информации по виброакустическим, электромагнитным и оптическим каналам.
Должна быть осуществлена специальная проверка помещений и используемого импортного оборудования на наличие аппаратных закладок.
2.1.5. Основные требования, предъявляемые программному обеспечению
Одной из основных мер защиты информации являются требования, предъявляемые к базовому и прикладному программному обеспечению, используемому в ИТКС.
Основными из этих требований являются:
1. Состав базового программного и прикладного программного обеспечения ИТКС определяется по результатам технического проектирования как отдельных компонент так и системы в целом. Любые изменения состава программного обеспечения должны проводиться только в установленном порядке;
2. Программное обеспечение должно быть лицензионным, иметь по отношению к себе определенный уровень "доверия" ( например, пройти верификационные, аттестационные или сертификационные испытания). При выборе программного продукта предпочтение должно отдаваться отечественным разработкам. Программные средства защиты информации должны иметь сертификат и разработаны фирмой, имеющей соответствующую лицензию. Средства криптографической защиты информации должны иметь сертификат ФАПСИ.
3. Базовое и прикладное программное обеспечение ИТКС не должно предоставлять пользователю возможностей по:
- редактированию областей оперативной памяти других программ, процессов и операционной системы;
- изменению информации на магнитных носителях в обход стандартных функций операционной системы, предназначенных для работы с файлами и каталогами операционной системы;
- модификации файлов, содержащих собственный выполняемый код;
- созданию и выполнению пользователем собственных программ.
4. Программное приложение, обеспечивающее невозможность негативного влияния на среду функционирования (далее - программное приложение) должно использоваться и передаваться третьим лицам, с целью проведения необходимого, с точки зрения защиты, исследования его исходных текстов, реализованных в известных (стандартных) языках программирования.
5. Программное приложение должно содержать параметры преобразования его в исполняемый код, включающие конкретные типы компилирующей (интерпретирующей) программы, операционной системы (среды) и аппаратных средств компьютерной системы.
6. Программное приложение не должно содержать функции (механизмов) модификации своего собственного программного кода, а также не должно содержать процедур модификации своего кода, инициируемых из других программных приложений.
7. Программное приложение не должно содержать фрагментов программного кода, которым ни при каких условиях не передается управление при выполнении данного приложения, а также данных, не используемых процедурами или инструкциями данного приложения.
8. Требования к параметрам, передаваемых в программное приложение:
- параметры, передаваемые в программное приложение из других приложений, должны быть все существенно использованы при исполнении программного кода приложения;
- параметры, возвращаемые из программного приложения, должны иметь фиксированную структуру;
- параметры, возвращаемые из программного приложения, должны в обязательном порядке получить конкретные значения при исполнении инструкций (функций) данного приложения;
- передача параметров в программное приложение и из него через глобальные переменные не допускается;
9. Требования по инициированию и завершению работы программного приложения:
- инициирование работы программного приложения должно осуществляться только через описанные в нем точки входа (места передачи управления от вызывающего приложения к данному) и никаким иным образом;
- завершение работы программного приложения должно происходить только одним из следующих образом:
а) возвратом управления к вызвавшему приложению;
б) передачей управления к приложению-обработчику ошибочных ситуаций в вызвавшем приложении или операционной среде;
с) инициированием начального этапа работы компьютерной системы (перезагрузка);
- программное приложение может вызывать из себя только приложения, удовлетворяющие всем данным требованиям;
- программное приложение не должно завершать (прекращать) работу других программных приложений (в том числе и не вызывающих его) иначе, чем способами а и б из второго дефиса данного пункта.
10. Требования по обращению приложения к массивам данных и ресурсам компьютерной системы:
- программное приложение должно использовать (создавать, читать и записывать) массивы данных и ресурсы компьютерной системы только через стандартные функции операционной среды или стандартные приложения, удовлетворяющие всем данным требованиям;
- программное приложение не должно обращаться непосредственно к программам постоянных запоминающих устройств компьютерной системы.
11. Требования по обеспечению работы мультизадачных и сетевых операционных сред и компьютерных систем:
- при использовании приложением разделяемого ресурса в нем должны быть реализованы механизмы, исключающие модификацию используемого ресурса иным приложением в моменты его использования данным приложением. Указанный пункт может гарантироваться также архитектурой операционной среды;
- при использовании приложением разделяемого ресурса в нем должны быть реализованы механизмы освобождения данного ресурса по завершении его использования;
- приложение не должно производить операции записи в области оперативной памяти, не отведенные данному приложению;
- после окончания использования созданных данным приложением массивов данных, не используемых иными приложениями, указанные массивы должны быть уничтожены таким образом, чтобы их информативная компонента была недоступна.
12. Требования по обеспечению надежной работы программного приложения:
- программное приложение должно содержать механизмы, запрещающие его работу при искажении программного кода при хранении и загрузке его в оперативную память. Вероятность несрабатывания данного механизма не должна быть выше заданной величины. Данная величина определяется исходя из области применимости программного приложения.
13. Базовое и прикладное программное обеспечение ИТКС должно предоставлять возможность раздельного хранения собственных файлов и файлов, содержащих данные, порожденные пользователями (в выделенных каталогах, на выделенных логических диска.
Уточнения базового и прикладного программного обеспечения, предназначенного для использования системе, проводится на этапе технического проектирования создаваемых компонентов ИТКС.
2.1.6. Обеспечение защиты ИТКС от вирусов.
Для обеспечения противодействия от негативного воздействия на программные средства и данные ИТКС со стороны компьютерных вирусов, должны быть предусмотрены соответствующие меры и средства по их обнаружению и предупреждению их воздействия.
При этом, с целью обеспечения максимально возможного уровня защиты, меры и средства обнаружения вирусов и предупреждения их воздействия, должны применяться, наряду с традиционными способами, также и в момент запуска рабочих станций непосредственно до загрузки на рабочих станциях. Кроме того, данные средства должны применяться и в шлюзовых устройствах, предназначенных для безопасного сопряжения разнородных ЛВС ИТКС и для обеспечения безопасного взаимодействия ИТКС с внешними источниками информации по каналам связи.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
