Митряев636329268818306215 (814199), страница 5

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 5)

Усиление базового набора мер ИАФ.4КлассИСВ случае использования в информационной системе механизмоваутентификации на основе пароля 2 или применения пароля вкачестве одного из факторов многофакторной аутентификации, егохарактеристики должны быть следующими:1 2 Длина пароля не менее восьми символов, алфавит пароля неменее 70 символов, максимальное количество неуспешныхпопыток аутентификации (ввода неправильного пароля) до 237 2Окончание таблицы 3.4КлассИСВ случае использования в информационной системе механизмоваутентификации на основе пароля 2 или применения пароля вкачестве одного из факторов многофакторной аутентификации, егохарактеристики должны быть следующими: 2блокировки от 3 до 4 попыток, блокировка программнотехнического средства или учетной записи пользователя в случаедостижения установленного максимального количестванеуспешных попыток аутентификации от 15 до 60 минут, сменапаролей не более чем через 60 дней;2 Длина пароля не менее шести символов, алфавит пароля не менее70 символов, максимальное количество неуспешных попытокаутентификации (ввода неправильного пароля) до блокировки от 3до 8 попыток, блокировка программно-технического средства илиучетной записи пользователя в случае достижения установленногомаксимального количества неуспешных попыток аутентификацииот 10 до 30 минут, смена паролей не более чем через 90 дней;3 Длина пароля не менее шести символов, алфавит пароля не менее60 символов, максимальное количество неуспешных попытокаутентификации (ввода неправильного пароля) до блокировки от 3до 10 попыток, блокировка программно-технического средстваили учетной записи пользователя в случае достиженияустановленного максимального количества неуспешных попытокаутентификации от 5 до 30 минут, смена паролей не более чемчерез 120 дней; 238 2ИАФ.5 защита обратной связи при вводе аутентификационной информации 2Порядок определения параметров настройки технических средств защиты дляреализации мерыА) Включение защиты обратной связи при вводе аутентификационнойинформации 12Пример:В средствах защиты информации 11 необходимо включить функцию защитыобратной связи – вводимые символы пароля могут отображаться 2 знаками «*»,«®» или иными.

2ИАФ.6 идентификация и аутентификация пользователей, не являющихсяработниками оператора (внешних пользователей) 2Порядок определения параметров настройки технических средств защиты дляреализации мерыА) Определение внешних пользователейСправочно:К внешним пользователям относятся все пользователи, не указанные в пунктеИАФ.1 в качестве внутренних.Гость: учётная запись для доступа к информационной системе на законныхоснованиях для пользователей, не являющихся работниками оператора.Б) Определение учётных записей СЗИ внешних пользователейПример:Anonymous – гость;В) Определение действий, разрешённых до идентификации иаутентификации пользователя39Пример:1. Смена пользователя2.

Смена языкаПример заполнения формы параметров настройки (таблица 3.5):Таблица 3.5. Пример заполнения формы "Внешние пользователи"Наименование УчётнаязаписьОписание No АРМГость Anonymous Учётная запись для доступа кинформационной системе назаконных основаниях дляпользователей, не являющихсяработниками оператора.1 2ИАФ.7 идентификация и аутентификация объектов файловой системы,запускаемых и исполняемых модулей, объектов систем управления базамиданных, объектов, создаваемых прикладным и специальным программнымобеспечением, иных объектов доступа 2Не требуется для КИУправление доступом субъектов доступа к объектам доступа (УПД)УПД.1 управление (заведение, активация, блокирование и уничтожение)учетными записями пользователей, в том числе внешних пользователей 2Порядок определения параметров настройки технических средств защиты дляреализации мерыА) Определение типа учётной записи, объединение их в группы (при40необходимости)Б) Реализация верификации пользователя при заведении учётной записиВ) Реализация функций управления учётными записямиГ) Представление пользователям прав доступа к объектам доступаинформационной системыПример формы для заполнения параметров настройки (таблица 3.6):Таблица 3.6.

Пример заполнения формы "Учётные записи пользователей»УчётнаязаписьСЗИНаименованиеОписание Группа ТипучётнойзаписиSuperadm АдминистраторбезопасностиАдминистраторбезопасности: пользователь,имеющий полномочия поадминистрированиюсистемы защиты информацииинформационной системы.АдминистраторыВнутреннийAdmin СистемныйадминистраторСистемный администратор:пользователь, имеющийполномочия поадминистрированию ИС.АдминистраторыВнутреннийОкончание таблицы 3.641УчётнаязаписьСЗИНаименованиеОписание Группа ТипучётнойзаписиUser ПользовательВнутренний пользователь:оператор информационнойсистемы.ПользователиВнутреннийanonymousГость Внешний пользователь:анонимная учётная записьдля удалённого доступа кинформационной системе назаконных основаниях черезсеть Интернет дляпользователей, неявляющихся работникамиоператора.Гости ВнешнийsecServer СервербезопасностиИспользуется для удалённыхподключений к АРМ ипроводит оперативноеуправлениеАдминистраторыВнутреннийД) Определение параметров при принятии решения на усиление базовогонабора мер (таблица 3.7):Таблица 3.7.

Усиление базового набора мер УПД.1Мера, усиливающая базовый набор Класс ИС12342Блокировать неиспользуемые учётные записи послеустановленного периода неиспользования;Более45дней;Более90дней;Не 2требуетсяОператором должны использоватьсяавтоматизированные средства поддержкиуправления учетными записями пользователей;+++ 2Блокировать учётные записи по истеченииустановленного периода их использования;+++УПД.2 реализация необходимых методов управления доступом(дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись,выполнение или иной тип) и правил разграничения доступа 2Порядок определения параметров настройки технических средств защиты дляреализации мерыА) Реализация одного (или нескольких) методов управления доступом с 2учётом особенностей функционирования информационной системы 2Пример мандатного метода управления доступом:Переименовывание меток конфиденциальности (таблица 3.8)Таблица 3.8.

Пример заполнения формы «Метки конфиденциальности»УровеньдоступаЗначение Описание0 Открытые данные Уровень доступа для внешних пользователей;Есть права только на чтение общедоступной43информации;1 КонфиденциальныеданныеУровень доступа для внутреннихпользователей; Есть права уровня 0, а так жеправа на запуск необходимых для работыпрограмм, запись файлов на внутренниеносители и удаление файлов с машинныхносителей;2 Системные данные Уровень доступа для системныхадминистраторов; Есть права уровня 1, а также права для администрирования ИС;3 Данные СЗИ Уровень доступа для администраторабезопасности; Есть права уровня 2, а так жеправа на администрирование СЗИ;На основании этой таблицы вводится матрица доступаПример:Таблица 3.9.

Пример матрицы доступаУчётная запись СЗИ Уровень доступа Удалённый доступSuperadm 3 ЗапрещёнAdmin 2 ЗапрещёнОкончание таблицы 3.9Учётная запись СЗИ Уровень доступа Удалённый доступUser 1 РазрешёнGuest 0 Разрешён44Secserver 3 РазрешёнБ) Определение параметров при принятии решения на усиление базовогонабора мер (таблица 3.10):Таблица 3.10. Усиление базового набора мер УПД.2Мера, усиливающая базовый набор Класс ИС123Обеспечить управление доступом к объектам, создаваемымприкладным и специальным ПО;+Обеспечить управление доступом субъектов при входе винформационную систему;+++ 2Обеспечить управление доступом субъектов к 14 техническимсредствам и внешним устройствам;+++Обеспечить управление доступом субъектов к объектам,создаваемым 2 общим программным обеспечением;+++ 2УПД.3 управление (фильтрация, маршрутизация, контроль соединений,однонаправленная передача и иные способы управления) информационнымипотоками между устройствами, сегментами информационной системы, а такжемежду информационными системами 2Порядок определения параметров настройки технических средств защиты дляреализации мерыА) Реализовать маршруты и фильтрацию информационных потоков всоответствии с правилами управления потоками 245Б) 2 Реализовать функции управления информационными потокамиВ) 2 Реализовать запись во временное хранилище информации для анализа (в 2случаях, установленных оператором).

2УПД.4 разделение полномочий (ролей) пользователей, администраторов илиц, обеспечивающих функционирование информационной системы 2Порядок определения параметров настройки технических средств защиты дляреализации мерыА) Разделение полномочий пользователей (в соответствии с УПД.2)Пример заполнения формы параметров настройки (таблица 3.11):Таблица 3.11.

Пример заполнения формы "Полномочия пользователей"Пользователь ПолномочияАдминистраторбезопасностиКроме прав «системного администратора», есть права наадминистрирование системой защиты информации;СистемныйадминистраторКроме прав «пользователя», есть права на запись и удалениеконфиденциальной информации, а так же права наадминистрирование ИС;Пользователь Чтение/запись/удаление общедоступной информации, запускнеобходимых для выполнения должностных обязанностейпрограмм, запись данных на мобильные носители, чтениеконфиденциальной информации;Окончание таблицы 3.11Гость Только чтение общедоступной информации;Сервер Есть права только на удалённую настройку АРМ;46безопасностиБ) Определение параметров при принятии решения на усиление базовогонабора мер (таблица 3.12):Таблица 3.12.

Усиление базового набора мер УПД.4Мера, усиливающая базовый набор Класс ИС123Обеспечить выполнение каждой роли по обработкеинформации, администрированию информационнойсистемы, ее системы защиты информации, контролю 2 заобеспечением уровня защищенности информации,обеспечению функционирования информационнойсистемы отдельным должностным лицом;+ 2УПД.5 назначение минимально необходимых прав и привилегийпользователям, администраторам и лицам, обеспечивающим функционированиеинформационной системы 2Порядок определения параметров настройки технических средств защиты дляреализации мерыА) Назначение прав пользователям (в соответствии с УПД.2)Пример формы для заполнения параметров настройки (таблица 3.13):Таблица 3.13. Заполнение формы "Полномочия пользователей"Пользователь ПолномочияАдминистраторбезопасностиКроме прав «системного администратора», есть права наадминистрирование системой защиты информации;47СистемныйадминистраторКроме прав «пользователя», есть права на запись иудаление конфиденциальной информации, а так же правана администрирование ИС;Пользователь Чтение/запись/удаление общедоступной информации,запуск необходимых для выполнения должностныхобязанностей программ, запись данных на мобильныеносители, чтение конфиденциальной информации;Гость Только чтение общедоступной информации;СервербезопасностиЕсть только права на удалённую настройку АРМ;Б) Определение параметров при принятии решения на усиление базовогонабора мер (таблица 3.14):Таблица 3.14.

Усиление базового набора мер УПД.5Мера, усиливающая базовый набор Класс ИС123Оператором должно быть обеспечено выполнение каждойроли по обработке информации, администрированиюинформационной системы, ее системы защитыинформации, контролю (мониторингу) за обеспечениемуровня защищенности информации, обеспечению+ 2Окончание таблицы 3.14Мера, усиливающая базовый набор Класс ИС123функционирования информационной системы отдельным 248должностным лицом; 2УПД.6 ограничение неуспешных попыток входа в информационную систему(доступа к информационной системе) 2Порядок определения параметров настройки технических средств защиты дляреализации мерыА) Ограничение количества неуспешных попыток входа в ИС (всоответствии с ИАФ.4 (страница 35))Справочно (таблица 3.15):Таблица 3.15.

Характеристики

Список файлов ВКР