Пояснительная записка (814191), страница 4
Текст из файла (страница 4)
Администратор безопасности ответственен за:
-
хранение средств аутентификации;
-
выдачу средств аутентификации;
-
инициализацию средств аутентификации;
-
блокирование средств аутентификации;
-
установление характеристик пароля (если используется).
2. Определение параметров при принятии решения на усиление базового набора мер (таблица 3.4).
Таблица 3.4 – Усиление базового набора мер ИАФ.4
| Класс ИС | В случае использования в информационной системе механизмов аутентификации на основе пароля или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими: |
| 1 | Длина пароля не менее восьми символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до |
Окончание таблицы 3.4
| Класс ИС | В случае использования в информационной системе механизмов аутентификации на основе пароля или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими: |
| блокировки от 3 до 4 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней; | |
| 2 | Длина пароля не менее шести символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут, смена паролей не более чем через 90 дней; |
| 3 | Длина пароля не менее шести символов, алфавит пароля не менее 60 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут, смена паролей не более чем через 120 дней; |
ИАФ.5 защита обратной связи при вводе аутентификационной информации
Порядок определения параметров настройки технических средств защиты для реализации меры.
1. Включение защиты обратной связи при вводе аутентификационной информации
В средствах защиты информации необходимо включить функцию защиты обратной связи – вводимые символы пароля могут отображаться знаками «*», «®» или иными.
ИАФ.6 идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
Порядок определения параметров настройки технических средств защиты для реализации меры.
1. Определение внешних пользователей.
Пример определения внешних пользователей – к внешним пользователям относятся все пользователи, не указанные в пункте ИАФ.1 в качестве внутренних.
Гость – учётная запись для доступа к информационной системе на законных основаниях для пользователей, не являющихся работниками оператора.
2. Определение учётных записей СЗИ внешних пользователей.
Пример определения учётных записей внешних пользователей.
Anonymous – гость.
3. Определение действий, разрешённых до идентификации и аутентификации пользователя.
Пример определения действий:
-
смена пользователя;
-
смена языка.
Пример заполнения формы параметров настройки (таблица 3.5).
Таблица 3.5 – Пример заполнения формы «Внешние пользователи»
| Наименование | Учётная запись | Описание | № АРМ |
| Гость | Anonymous | Учётная запись для доступа к информационной системе на законных основаниях для пользователей, не являющихся работниками оператора | 1 |
ИАФ.7 идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа
Не требуется для КИ
Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1 управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
Порядок определения параметров настройки технических средств защиты для реализации меры
1. Определение типа учётной записи, объединение их в группы (при необходимости).
2. Реализация верификации пользователя при заведении учётной записи.
3. Реализация функций управления учётными записями.
4. Представление пользователям прав доступа к объектам доступа информационной системы.
Пример формы для заполнения параметров настройки (таблица 3.6):
Таблица 3.6 – Пример заполнения формы «Учётные записи пользователей»
| Учётная запись СЗИ | Наимено-вание | Описание | Группа | Тип учётной записи |
| Superadm | Админис-тратор безопас-ности | Администратор безопасности: пользователь, имеющий полномочия по администрированию системы защиты информации информационной системы. | Адми-нистра-торы | Внутрен-ний |
| Admin | Систем-ный админис-тратор | Системный администратор: пользователь, имеющий полномочия по администрированию ИС. | Адми-нистра-торы | Внутрен-ний |
| User | Пользова-тель | Внутренний пользователь: оператор информационной системы. | Пользо-ватели | Внутрен-ний |
Окончание таблицы 3.6
| Учётная запись СЗИ | Наимено-вание | Описание | Группа | Тип учётной записи |
| Anony-mous | Гость | Внешний пользователь: анонимная учётная запись для удалённого доступа к информационной системе на законных основаниях через сеть Интернет для пользователей, не являющихся работниками оператора. | Гости | Внеш-ний |
| secServer | Сервер безопас-ности | Используется для удалённых подключений к АРМ и проводит оперативное управление | Адми-нистра-торы | Внут-ренний |
5. Определение параметров при принятии решения на усиление базового набора мер (таблица 3.7).
Таблица 3.7 – Усиление базового набора мер УПД.1
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Блокировать неиспользуемые учётные записи после установленного периода неиспользования | Более 45 дней | Более 90 дней | Не требуется |
Окончание таблицы 3.7
| Оператором должны использоваться автоматизированные средства поддержки управления учетными записями пользователей | + | + | + |
| Блокировать учётные записи по истечении установленного периода их использования | + | + | + |
УПД.2 реализация необходимых методов управления доступом (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
Порядок определения параметров настройки технических средств защиты для реализации меры
1. Реализация одного (или нескольких) методов управления доступом с учётом особенностей функционирования информационной системы.
Пример мандатного метода управления доступом.
Переименовывание меток конфиденциальности (таблица 3.8).
Таблица 3.8 – Пример заполнения формы «Метки конфиденциальности»
| Уровень доступа | Значение | Описание |
| 0 | Открытые данные | Уровень доступа для внешних пользователей. Есть права только на чтение общедоступной информации |
| 1 | Конфиденциальные данные | Уровень доступа для внутренних пользователей. Есть права уровня 0, а так же права на запуск необходимых для работы программ, запись файлов на внутренние |
Окончание таблицы 3.8
| носители и удаление файлов с машинных носителей | ||
| 2 | Системные данные | Уровень доступа для системных администраторов. Есть права уровня 1, а так же права для администрирования ИС |
| 3 | Данные СЗИ | Уровень доступа для администратора безопасности. Есть права уровня 2, а так же права на администрирование СЗИ |
На основании таблицы 3.8 вводится матрица доступа.
Пример матрицы доступа (таблица 3.9).
Таблица 3.9 – Пример матрицы доступа
| Учётная запись СЗИ | Уровень доступа |
| Superadm | 3 |
| Admin | 2 |
| User | 1 |
| Guest | 0 |
| Secserver | 3 |
2. Определение параметров при принятии решения на усиление базового набора мер (таблица 3.10).
Таблица 3.10 – Усиление базового набора мер УПД.2
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить управление доступом к объектам, создаваемым прикладным и специальным ПО | + | ||
| Обеспечить управление доступом субъектов при входе в информационную систему | + | + | + |
| Обеспечить управление доступом субъектов к техническим средствам и внешним устройствам | + | + | + |
| Обеспечить управление доступом субъектов к объектам, создаваемым общим программным обеспечением | + | + | + |
УПД.3 управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
Порядок определения параметров настройки технических средств защиты для реализации меры.
1. Реализовать маршруты и фильтрацию информационных потоков в соответствии с правилами управления потоками.
2. Реализовать функции управления информационными потоками.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
