Пояснительная записка (1209492), страница 4
Текст из файла (страница 4)
В создаваемом методическом документе будет прописана необходимость реализации той или иной меры для более низкого класса защищенности. Первая мера реализуется для всех классов защищенности, причем для 1 и 2 класса защищенности она подлежит усилению за счет введения в информационной системе двухфакторной аутентификации, как для локального, так и для удаленного доступа в систему пользователей и администраторов информационной системы. Удаленный доступ осуществляется с использованием сети связи общего пользования, включая сеть Интернет. Поскольку правила и процедуры защиты информации создаются для информационной системы 1 класса защищенности, то мы не только должны реализовать эту меру защиты информации, но и усилить ее за счет двухфакторной аутентификации. В правилах приводится список лиц, отнесенных к работникам оператора (внутренним пользователям). Также к внутренним пользователям относятся должностные лица обладателя информации, заказчика, оператора и (или) уполномоченного лица другой информационной системы, а также лица, которые привлекаются для обеспечения функционирования информационной системы (гарантийное обслуживание, ремонт, регламентные и иные работы) на основании организационно - распорядительных документов оператора и которым в информационной системе также присвоены учетные записи.
Вторая мера реализуется для 1 и 2 класса защищенности (для более низких классов не является обязательной) и не подлежит обязательному усилению. Для данной информационной системы эта мера также не будет усиливаться, поскольку ее достаточно для обеспечения необходимой безопасности в информационной системе. В разработанном документе приводится перечень типов устройств, которые подлежат идентификации и аутентификации до начала информационного взаимодействия. К таким устройствам относятся жесткие диски, оперативная память, съемные диски и сетевые карты. В перечне, помимо типов устройств приводятся: название устройства, его серийный и инвентарный номера, а также место установки устройства в организации, с указанием кабинета и компьютера. При описании реализации второй меры также указывается, что является идентификатором для того или иного устройства в системе.
Третья мера реализуется для всех классов защищенности, причем для всех кроме 4 класса защищенности, она подлежит усилению путем исключения повторного использования идентификатора в течение определенного периода времени (чем выше класс защищенности, тем больше этот период), а также путем блокирования идентификатора пользователя после некоторого периода неиспользования (чем выше класс защищенности, тем меньше этот период).
В описании реализации четвертой меры приводится перечень функций управления средствами аутентификации устройств и пользователей в информационной системе. Одной из функций является установление характеристик пароля, в том числе алфавита пароля, который приведен в документе в виде таблицы. Четвертая мера реализуется для всех классов защищенности и для каждого из классов она подлежит усилению путем назначения:
минимальной длины пароля (увеличивается при повышении класса защищенности);
-
алфавита пароля (увеличивается при повышении класса защищенности);
-
максимального количества неуспешных попыток аутентификации до блокировки (уменьшается при повышении класса защищенности);
-
промежутка времени, на который блокируется учетная запись или программно-технические средства при достижении максимального количества неуспешных попыток аутентификации (увеличивается при повышении класса защищенности);
-
периода времени, через который должна быть произведена обязательная смена пароля (уменьшается при повышении класса защищенности).
Пятая мера защиты информации предполагает защиту обратной связи при вводе секретной информации (пароля) путем сокрытия вводимых символов или отображения ввода с помощью условных знаков. Данная мера реализуется для всех классов защищенности и не предполагает усилений.
Чтобы упростить реализацию шестой меры в документе приводится список лиц, отнесенных к пользователям, не являющимся работниками оператора (внешним пользователям) и для большего понимания привел конкретный пример внешнего пользователя. Данная мера реализуется для всех классов защищенности и не требует усиления. Помимо этого, в документе определяется, для каких видов доступа должна однозначно осуществляться идентификация и аутентификация пользователей. В целях предоставления государственных услуг идентификация и аутентификация внешних пользователей производится, в том числе с использованием единой системы идентификации и аутентификации, которая создана в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г. № 977.
В разработанном документе не описывалась реализация последней меры, применяемой для идентификации и аутентификации субъектов доступа и объектов доступа, поскольку она является необязательной для всех классов защищенности и не критична для применения в данной информационной системе.
-
Меры по управлению доступом субъектов доступа к объектам доступа
Меры по управлению доступом субъектов доступа к объектам доступа реализуются для:
-
управления привилегиями и правами субъектов доступа;
-
разграничения доступа субъектов доступа к объектам доступа с помощью правил разграничения доступа, установленных в данной информационной системе;
-
обеспечения контроля соблюдения установленных правил разграничения.
Первой реализуемой мерой является управление (заведение, активация, уничтожение и блокирование) учетными записями пользователей (внутренних и внешних). При описании этой меры в разработанном документе приводятся обязанности администратора безопасности по управлению учетными записями пользователей, в числе которых: объединение учетных записей с равными правами на доступ к ресурсам ИС в группы для упрощения процедуры управления доступом, пересмотр и корректировка учетных записей (при необходимости), заведение временной учетной записи на ограниченный период времени и ее удаление после выполнения поставленных задач и другие обязанности. В обязанности администратора также входит определение типа учетной записи. Возможные типы учетных записей также приведены при описании реализации данной меры. Управление учетными записями пользователей реализуется для информационной системы с любым классом защищенности, причем подлежит усилению для 1, 2 и 3 класса путем использования администратором безопасности автоматизированных средств поддержки управления учетными записями пользователей, а также путем обеспечения блокирования временных и неиспользуемых учетных записей после определенного периода времени неиспользования (период определен для конкретной информационной системы в пункте 1.4 раздела 1 разрабатываемых правил).
Вторая реализуемая мера по управлению доступом субъектов доступа к объектам доступа – осуществление необходимых методов управления доступом, типов и правил разграничения доступа. Эта мера реализуется для информационной системы с любым классом защищенности, причем подлежит усилению для 1, 2 и 3 класса путем использования правил разграничения доступа при входе в информационную систему и при доступе субъекта к техническим средствам. В документе приводится описание используемых методов управления доступом (дискреционный, ролевой и мандатный методы), а также ситуации, когда необходимо применять правила разграничения доступом (например, при входе в информационную систему).
Правила разграничения доступа реализуются на основе утвержденных списков доступа или матриц доступа и должны обеспечивать управление доступом пользователей (групп пользователей) и запускаемых от их имени процессов при входе в систему, доступе к техническим средствам, объектам файловой системы, устройствам, запускаемым и исполняемым модулям, объектам, создаваемым прикладным и специальным программным обеспечением, объектам систем управления базами данных, параметрам настройки средств защиты информации, информации о конфигурации системы защиты информации и другой информации о работе системы защиты информации, а также иным объектам доступа. В качестве типов доступа могут выступать операции по чтению, выполнению или записи.
В качестве третьей меры выступает управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами. Управление подразумевает фильтрацию, маршрутизацию, проверку соединений, а также однонаправленную передачу и иные способы управления. В описании реализации данной меры приводятся действия, которые необходимо выполнять в процессе передачи информации. Реализация этой меры обязательна только в информационных системах 1 и 2 класса защищенности и не подлежит усилению.
Управление информационными потоками должно обеспечивать разрешенный (установленный администратором безопасности) маршрут прохождения информации между пользователями, устройствами, сегментами в рамках информационной системы, а также между информационными системами или при взаимодействии с сетью Интернет (или другими информационно-телекоммуникационными сетями международного информационного обмена) на основе правил управления информационными потоками, включающих контроль конфигурации информационной системы, источника и получателя передаваемой информации, структуры передаваемой информации, характеристик информационных потоков и (или) канала связи (без анализа содержания информации). Управление информационными потоками должно блокировать передачу защищаемой информации через сеть Интернет (или другие информационно-телекоммуникационные сети международного информационного обмена) по незащищенным линиям связи, сетевые запросы и трафик, несанкционированно исходящие из информационной системы и (или) входящие в информационную систему.
Также для обеспечения управления доступом субъектов доступа к объектам доступа реализуется четвертая мера – разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы. Эта мера реализуется для всех классов защищенности, кроме 4 класса, при этом подлежит усилению в информационной системе 1 класса защищенности путем выполнения каждой административной роли отдельным должностным лицом.
Пятая мера по управлению доступом субъектов доступа к объектам доступа – назначение минимально необходимых прав и привилегий пользователям. Эта мера реализуется для всех классов защищенности, кроме 4 класса, при этом подлежит усилению в информационной системе 1 класса защищенности путем предоставления прав и привилегий по доступу к функциям безопасности средств защиты информации исключительно администратору.
В организационно-распорядительных документах по защите информации должны быть однозначно определены и зафиксированы должностные обязанности (функции) и (или) роли. Фиксируются также объекты доступа, в отношении которых установлен наименьший уровень привилегий. С учетом минимально необходимых прав и привилегий, доступ к объектам доступа организовывается в соответствии с пунктом 2.2 раздела 2 разрабатываемых правил.
Шестая реализуемая мера – ограничение неуспешных попыток доступа к информационной системе. Эта мера реализуется для всех классов защищенности и предполагает ограничение количества неуспешных попыток входа в информационную систему (доступа к информационной системе) за период времени, установленный администратором безопасности (уменьшается с увеличением класса защищенности) должно быть установлено и задокументировано, также необходимо обеспечить блокирование учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в информационную систему, и (или) устройства, с которого предпринимаются попытки доступа. Для 1 класса защищенности мера подлежит усилению, описанному в разрабатываемых правилах.
В данной информационной системе не будет применяться мера, направленная на предупреждение пользователя о реализованных в информационной системе мерах защиты информации и о необходимости соблюдения им установленных администратором безопасности правил обработки информации, поскольку она является необязательной и, по моему мнению, не способствует повышению уровня безопасности информационной системы. Из этих же соображений не будет реализована мера, заключающаяся в оповещении пользователя после успешного входа о его предыдущем входе в информационную систему.
Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя является седьмой мерой по управлению доступом субъектов доступа к объектам доступа. Эта мера реализуется только в информационной системе 1 класса защищенности с усилением за счет ограничения для администраторов количества параллельных (одновременных сеансов) с различных устройств (максимальное количество сеансов приведено в описании реализации данной меры) и использования программно-технических средств, позволяющих следить за числом активных параллельных (одновременных) сеансов (сессий) для каждой учетной записи пользователей (для администратора безопасности).
Что касается числа параллельных сеансов доступа, оно может задаваться для групп пользователей, отдельных пользователей или их комбинаций, в целом для информационной системы или для отдельных сегментов информационной системы.
Восьмая мера – блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу. Данная мера реализуется для всех классов защищенности, кроме 4 класса, при этом для 1 и 2 класса защищенности она подлежит усилению путем блокирования сеанса доступа пользователя после установленного времени бездействия пользователя (конкретное время определено в разрабатываемых правилах), а также предотвращения отображения на мониторе информации сеанса пользователя после блокировки этого сеанса.
При блокировании сеанса доступа пользователя в информационную систему осуществляется временное приостановление взаимодействия (работы) пользователя со средством вычислительной техники (с которого осуществляется доступ) без выхода из информационной системы. В заблокированном сеансе должны блокироваться любые действия, связанные с доступом к информации и устройствам отображения, кроме необходимых для разблокирования сеанса.
Еще одна мера, обязательная для реализации в информационной системе с любым классом защищённости и направленная на управление доступом субъектов доступа к объектам доступа – это разрешение или запрет действий пользователей, разрешённых до идентификации и аутентификации. Эта мера не нуждается в усилении. В описании реализации данной мере приведен перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации.
При предоставлении пользователям доступа к общедоступной информации (веб-сайтам, порталам, программным комплексам) также осуществляется разрешение действий пользователей до прохождения ими процедур идентификации и аутентификации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
