Методические рекомендации по определению настроек СЗИ (814190), страница 2
Текст из файла (страница 2)
В) Определение действий, разрешённых до идентификации и аутентификации пользователя
Пример:
-
Смена пользователя
-
Смена языка
Пример заполнения формы параметров настройки:
Таблица 5.Пример заполнения формы "Внешние пользователи"
| Наименование | Учётная запись | Описание | № АРМ |
| Гость | Anonymous | Учётная запись для доступа к информационной системе на законных основаниях для пользователей, не являющихся работниками оператора. | 1 |
ИАФ.7 идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа
Не требуется для КИ
Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1 управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определение типа учётной записи, объединение их в группы (при необходимости)
Б) Реализация верификации пользователя при заведении учётной записи
В) Реализация функций управления учётными записями
Г) Представление пользователям прав доступа к объектам доступа информационной системы
Пример формы для заполнения параметров настройки:
Таблица 6. Пример заполнения формы «Учётные записи пользователей»
| Учётная запись СЗИ | Наимено-вание | Описание | Группа | Тип учётной записи |
| Superadm | Админис-тратор безопас-ности | Администратор безопасности: пользователь, имеющий полномочия по администрированию системы защиты информации информационной системы. | Адми-нистра-торы | Внут-ренний |
| Admin | Систем-ный админис-тратор | Системный администратор: пользователь, имеющий полномочия по администрированию информационной системы. | Администраторы | Внут-ренний |
| User | Пользова-тель | Внутренний пользователь: оператор информационной системы. | Пользователи | Внут-ренний |
| Anony-mous | Гость | Внешний пользователь: анонимная учётная запись для удалённого доступа к информационной системе на законных основаниях через сеть Интернет для пользователей, не являющихся работниками оператора. | Гости | Внеш-ний |
| secServer | Сервер безопас-ности | Используется для удалённых подключений к АРМ и проводит оперативное управление | Адми-нистра-торы | Внут-ренний |
Д) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 7. Усиление базового набора мер УПД.1
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Блокировать неиспользуемые учётные записи после установленного периода неиспользования | Более 45 дней | Более 90 дней | Не требуется |
| Оператором должны использоваться автоматизированные средства поддержки управления учетными записями пользователей | + | + | + |
| Блокировать учётные записи по истечении установленного периода их использования | + | + | + |
УПД.2 реализация необходимых методов управления доступом (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Реализация одного (или нескольких) методов управления доступом с учётом особенностей функционирования информационной системы
Пример мандатного метода управления доступом:
Переименовывание меток конфиденциальности
Таблица 7. Пример заполнения формы "Метки конфиденциальности"
| Уровень доступа | Значение | Описание |
| 0 | Открытые данные | Уровень доступа для внешних пользователей; Есть права только на чтение общедоступной информации |
| 1 | Конфиденциальные данные | Уровень доступа для внутренних пользователей; Есть права уровня 0, а так же права на запуск необходимых для работы программ, запись файлов на внутренние носители и удаление файлов с машинных носителей |
| 2 | Системные данные | Уровень доступа для системных администраторов; Есть права уровня 1, а так же права для администрирования ИС |
| 3 | Данные СЗИ | Уровень доступа для администратора безопасности; Есть права уровня 2, а также права на администрирование СЗИ |
На основании этой таблицы вводится матрица доступа
Пример:
Таблица 8. Пример матрицы доступа
| Учётная запись СЗИ | Уровень доступа |
| Superadm | 3 |
| Admin | 2 |
| User | 1 |
| Guest | 0 |
| Secserver | 3 |
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 9. Усиление базового набора мер УПД.2
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить управление доступом к объектам, создаваемым прикладным и специальным ПО | + | ||
| Обеспечить управление доступом субъектов при входе в информационную систему | + | + | + |
| Обеспечить управление доступом субъектов к техническим средствам и внешним устройствам | + | + | + |
| Обеспечить управление доступом субъектов к объектам, создаваемым общим программным обеспечением | + | + | + |
УПД.3 управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Реализовать маршруты и фильтрацию информационных потоков в соответствии с правилами управления потоками
Б) Реализовать функции управления информационными потоками
В) Реализовать запись во временное хранилище информации для анализа (в случаях, установленных оператором).
УПД.4 разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Разделение полномочий пользователей (в соответствии с УПД.2)
Пример заполнения формы параметров настройки:
Таблица 10. Пример заполнения формы "Полномочия пользователей"
| Пользователь | Полномочия |
| Администратор безопасности | Кроме прав «системного администратора», есть права на администрирование системой защиты информации |
| Системный администратор | Кроме прав «пользователя», есть права на запись и удаление конфиденциальной информации, а так же права на администрирование ИС |
| Пользователь | Чтение/запись/удаление общедоступной информации, запуск необходимых для выполнения должностных обязанностей программ, запись данных на мобильные носители, чтение конфиденциальной информации |
| Гость | Только чтение общедоступной информации |
| Сервер безопасности | Есть права только на удалённую настройку АРМ |
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 11. Усиление базового набора мер УПД.4
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить выполнение каждой роли по обработке информации, администрированию информационной системы, ее системы защиты информации, контролю за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы отдельным должностным лицом | + | ||
УПД.5 назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Назначение прав пользователям (в соответствии с УПД.2)
Пример формы для заполнения параметров настройки:
Таблица 12. Заполнение формы "Полномочия пользователей"
| Пользователь | Полномочия |
| Администратор безопасности | Кроме прав «системного администратора», есть права на администрирование системой защиты информации |
| Системный администратор | Кроме прав «пользователя», есть права на запись и удаление конфиденциальной информации, а так же права на администрирование ИС |
| Пользователь | Чтение/запись/удаление общедоступной информации, запуск необходимых для выполнения должностных обязанностей программ, запись данных на мобильные носители, чтение конфиденциальной информации |
| Гость | Только чтение общедоступной информации |
| Сервер безопасности | Есть только права на удалённую настройку АРМ |
Б) Определение параметров при принятии решения на усиление базового набора мер:















