№
|
Требования к системе защиты персональных данных
|
К3
|
К2
|
К1
|
I
|
В подсистеме управления доступом:
|
|
|
|
1
|
Реализовать идентификацию и проверку подлинности субъектов доступа при входе в операционную систему ИСПДн по паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов;
|
+
|
+
|
+
|
2
|
Реализовать идентификацию терминалов, технических средств обработки ПДн, узлов ИСПДн, компьютеров, каналов связи, внешних устройств ИСПДн по их логическим именам (адресам, номерам);
|
-
|
+
|
+
|
3
|
Реализовать идентификацию программ, томов, каталогов, файлов, записей, полей записей по именам;
|
-
|
+
|
+
|
4
|
Реализовать контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
|
-
|
+
|
+
|
5
|
При наличии подключения ИСПДн к сетям общего пользования должно применяться межсетевое экранирование.
|
Не ниже 5-го уровня защищенности
|
Не ниже 4-го уровня защищенности
|
Не ниже 3-го уровня защищенности
|
6
|
Для обеспечения безопасного межсетевого взаимодействия в ИСПДн для разных классов необходимо использовать МЭ
|
Не ниже 5-го уровня защищенности
|
Не ниже 4-го уровня защищенности
|
Не ниже 3-го уровня защищенности
|
II
|
Средство защиты от программно математических воздействий (ПМВ):
|
|
|
|
1
|
Реализовать идентификацию и аутентификацию субъектов доступа при входе в средство защиты от программно математических воздействий (ПМВ) и перед выполнением ими любых операций по управлению функциями средства защиты от ПМВ по паролю (или с использованием иного механизма аутентификации) условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
|
+
|
+
|
+
|
2
|
Осуществлять контроль любых действий субъектов доступа по управлению функциями средства защиты от ПМВ только после проведения его успешной аутентификации;
|
+
|
+
|
+
|
3
|
Предусмотреть механизмы блокирования доступа к средствам защиты от ПМВ при выполнении устанавливаемого числа неудачных попыток ввода пароля;
|
+
|
+
|
+
|
4
|
Необходимо проводить идентификацию файлов, каталогов, программных модулей, внешних устройств, используемых средств защиты от ПМВ;
|
+
|
+
|
+
|
III
|
В подсистеме регистрации и учета:
|
|
|
|
1
|
Осуществлять регистрацию входа (выхода) субъекта доступа в систему (из системы), либо регистрацию загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
|
+
|
+
|
+
|
2
|
Проводить учет всех защищаемых носителей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку);
|
+
|
+
|
+
|
3
|
Проводить регистрацию входа/выхода субъектов доступа в средство защиты от ПМВ, регистрацию загрузки и инициализации этого средства и ее программного останова. В параметрах регистрации указывается время и дата входа/выхода субъекта доступа в средство защиты от ПМВ или загрузки/останова этого средства, а также идентификатор субъекта доступа, инициировавшего данные действия;
|
+
|
+
|
+
|
4
|
Проводить регистрацию событий проверки и обнаружения ПМВ. В параметрах регистрации указываются время и дата проверки или обнаружения ПМВ, идентификатор субъекта доступа, инициировавшего данные действия, характер выполняемых действий по проверке, тип обнаруженной вредоносной программы (ВП), результат действий средства защиты по блокированию ПМВ;
|
+
|
+
|
+
|
5
|
Проводить регистрацию событий по внедрению в средство защиты от ПМВ пакетов обновлений. В параметрах регистрации указываются время и дата обновления, идентификатор субъекта доступа, инициировавшего данное действие версия и контрольная сумма пакета обновления;
|
+
|
+
|
+
|
6
|
Проводить регистрацию событий запуска/завершения работы модулей средства защиты от ПМВ. В параметрах регистрации указываются время и дата запуска/завершения работы, идентификатор модуля, идентификатор субъекта доступа, инициировавшего данное действие, результат запуска/завершения работы;
|
+
|
+
|
+
|
7
|
Должна проводиться регистрация событий управления субъектом доступа функциями средства защиты от ПМВ. В параметрах регистрации указываются время и дата события управления каждой функцией, идентификатор и спецификация функции, идентификатор субъекта доступа, инициировавшего данное действие, результат действия;
|
+
|
+
|
+
|
8
|
Проводить регистрацию событий попыток доступа программных средств к модулям средства защиты от ПМВ или специальным ловушкам. В параметрах регистрации указываются время и дата попытки доступа, идентификатор модуля, идентификатор и спецификация модуля средства защиты от ПМВ (специальной ловушки), результат попытки доступа;
|
+
|
+
|
+
|
9
|
Проводить регистрацию событий отката для средства защиты от ПМВ. В параметрах регистрации указываются время и дата события отката, спецификация действий отката, идентификатор субъекта доступа, инициировавшего данное действие, результат действия;
|
+
|
+
|
+
|
10
|
Обеспечить защиту данных регистрации от их уничтожения или модификации нарушителем;
|
+
|
+
|
+
|
11
|
Реализовать механизмы сохранения данных регистрации в случае сокращения отведенных под них ресурсов;
|
+
|
+
|
+
|
12
|
Реализовать механизмы просмотра и анализа данных регистрации и их фильтрации по заданному набору параметров;
|
+
|
+
|
+
|
13
|
Проводить автоматический непрерывный мониторинг событий, которые могут являться причиной реализации ПМВ (создание, редактирование, запись, компиляция объектов, которые могут содержать ВП).
|
+
|
+
|
+
|
14
|
Реализовать механизм автоматического анализа данных регистрации по шаблонам типовых проявлений ПМВ с автоматическим их блокированием и уведомлением администратора безопасности;
|
+
|
+
|
+
|
15
|
Проводить несколько видов учета (дублирующих) с регистрацией выдачи (приема) носителей информации;
|
+
|
+
|
+
|
16
|
Осуществлять регистрацию входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы.
|
-
|
+
|
+
|
17
|
Осуществлять регистрацию выдачи печатных (графических) документов на «твердую» копию. В параметрах регистрации указываются (дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи – логическое имя (номер) внешнего устройства, краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа, идентификатор субъекта доступа, запросившего документ;
|
-
|
+
|
+
|
18
|
Осуществлять регистрацию запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный – несанкционированный),
|
-
|
+
|
+
|
19
|
Осуществлять регистрацию попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная – несанкционированная), идентификатор субъекта доступа, спецификация защищаемого файла;
|
-
|
+
|
+
|
20
|
Осуществлять регистрацию попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, компьютерам, узлам сети ИСПДн, линиям (каналам) связи, внешним устройствам компьютеров, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная – несанкционированная), идентификатор субъекта доступа, спецификация защищаемого объекта – логическое имя (номер);
|
-
|
+
|
+
|
21
|
Проводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);
|
-
|
+
|
+
|
22
|
Осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти компьютеров и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов, информации);
|
-
|
+
|
+
|
IV
|
В подсистеме обеспечения целостности:
|
|
|
|
1
|
Обеспечить целостность программных средств защиты в составе СЗПДн, а также неизменность программной среды. При этом целостность средств защиты проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗПДн, целостность программной среды обеспечивается отсутствием в ИСПДн средств разработки и отладки программ;
|
+
|
+
|
+
|
2
|
Осуществлять физическую охрану ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации;
|
+
|
+
|
+
|
3
|
Проводить периодическое тестирование функций СЗПДн при изменении программной среды и персонала ИСПДн с помощью тест-программ, имитирующих попытки НСД;
|
+
|
+
|
+
|
4
|
должны быть в наличии средства восстановления СЗПДн, предусматривающие ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности;
|
+
|
+
|
+
|
5
|
Проводить проверку целостности модулей средства защиты от ПМВ, необходимых для его корректного функционирования, при его загрузке с использованием контрольных сумм;
|
+
|
+
|
+
|
6
|
Обеспечить возможность восстановления средства защиты от ПМВ, предусматривающая ведение двух копий программного средств защиты, его периодическое обновление и контроль работоспособности;
|
+
|
+
|
+
|
7
|
Реализовать механизмы проверки целостности пакетов обновлений средства защиты от ПМВ с использованием контрольных сумм;
|
+
|
+
|
+
|
8
|
Проводить резервное копирование ПДн на отчуждаемые носители информации;
|
-
|
+
|
+
|
V
|
В подсистеме антивирусной защиты:
|
|
|
|
1
|
Проводить автоматическую проверку на наличие ВП или последствий ПМВ при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать ВП, по их типовым шаблонам и с помощью эвристического анализа;
|
+
|
+
|
+
|
2
|
Реализовать механизмы автоматического блокирования обнаруженных ВП путем их удаления из программных модулей или уничтожения;
|
+
|
+
|
+
|
3
|
Регулярно выполнять (при первом запуске средств защиты ПДн от ПМВ и с устанавливаемой периодичностью) проверка на предмет наличия в них ВП;
|
+
|
+
|
+
|
4
|
Должна инициироваться автоматическая проверка ИСПДн на предмет наличия ВП при выявлении факта ПМВ;
|
+
|
+
|
+
|
5
|
Реализовать механизм отката для устанавливаемого числа операций удаления ВП из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих ВП.
|
+
|
+
|
+
|
6
|
Дополнительно в ИСПДн должен проводиться непрерывный автоматический мониторинг информационного обмена с внешней сетью с целью выявления ВП.
|
+
|
+
|
+
|
VI
|
Контроль отсутствия НДВ в ПО СЗИ
|
|
|
|
1
|
Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации – СЗИ, в том числе и встроенных в общесистемное и прикладное программное обеспечение – ПО), должен быть обеспечен соответствующий уровень контроля отсутствия в нем НДВ (не декларированных возможностей).
|
+
|
+
|
+
|
VII
|
Обнаружение вторжений в ИСПДн
|
|
|
|
|
Обнаружение вторжений должно обеспечиваться путем использования в составе ИСПДн программных или программно-аппаратных средств (систем) обнаружения вторжений (СОВ).
|
+
|
+
|
+
|
1
|
Необходимо обязательное использование системы обнаружения сетевых атак, использующие сигнатурные методы анализа
|
+
|
-
|
-
|
2
|
Необходимо обязательное использование системы обнаружения сетевых атак, использующие сигнатурные методы анализа и методы выявления аномалий
|
-
|
+
|
+
|
VIII
|
Защита ИСПДн от ПЭМИН
|
|
|
|
1
|
Для обработки информации необходимо использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29216 91, ГОСТ Р 50948-2001, ГОСТ Р 50949-2001, ГОСТ Р 50923 96, СанПиН 2.2.2.542 96).
|
+
|
+
|
+
|
IX
|
Оценка соответствия ИСПДн требованиям безопасности ПДн
|
|
|
|
1
|
Провести обязательную сертификацию (аттестацию) по требованиям безопасности информации;
|
-
|
+
|
+
|
2
|
Декларировать соответствие или обязательную сертификацию (аттестацию) по требованиям безопасности информации (по решению оператора);
|
+
|
-
|
-
|