4.1.2. Требования к защите
Принцип защищенности – информационная система должна быть защищена от несанкционированного доступа к обрабатываемой и хранящейся в архиве информации.
Система должна удовлетворять требованиям по защите от несанкционированного доступа, предъявляемым к многопользовательским автоматизированным системам, в которых обрабатывается и хранится информация категории «Конфиденциальная».
Система должна соответствовать требованиям по защите информации от несанкционированного доступа, предъявляемым к автоматизированным системам класса защищенности не ниже «1Г», согласно документу «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992 г.
Система должна иметь возможность функционирования при реализованных требованиях к 4 классу защищенности средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации согласно требованиям действующего руководящего документа Гостехкомиссии России "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации".
Система не требует обязательной аттестации лицензиатом ФСТЭК России.
4.2. Требования к функциям Системы
Система должна иметь (реализовывать) следующие функции.
Оформление ЗП.
Обеспечение возможности частичной оплаты задания на платеж.
Согласование ЗП.
Занесение информации об исполнении ЗП, в том числе на основании электронных выписок из систем Банк-Клиент, указанных в п. 8.3.3.
Обеспечение зависимости исполнения одного ЗП от исполнения другого ЗП.
Контроль согласования и исполнения ЗП.
Хранение и поиск ЗП по реквизитам.
Формирование отчетов по запросам.
Поддержку процедур делегирования полномочий.
Выгрузку данных ПП для систем Банк-Клиент, указанных в п. 8.3.3.
Хранение и предоставление, при необходимости, пакета сопроводительных документов (Договор, Акт, Счет и т.д. или ссылки на них).
Обеспечение разграничения доступа к ресурсам Системы.
Возможность для инициатора в произвольном порядке выбирать последовательность согласования задания на платеж в рамках типовых маршрутов, зарегистрированных в Системе.
Возможность для инициатора отзывать задание на платеж на любом этапе его согласования (но не исполнения).
Обеспечение повышенного уровня защиты передаваемой информации от несанкционированного доступа.
Функционирование в режиме реального времени.
Печать ЗП на бумажном носителе.
Передача данных о платежных поручениях в электронном виде для систем Клиент-Банк.
Импорт и обработка выписок, поступивших в электронном виде из систем Клиент-Банк.
Контроль достаточности бюджета во статьям и филиалам; формирование отчетов об исполнении бюджета.
Возможность выгрузки реестров ПП для дальнейшего согласования в других системах. Возможность импорта реестров ПП, согласованных в других системах и простановки соответствующих статусов.
4.3.ТРЕБОВАНИЯ К ИНФОРМАЦИОННО-ТЕХНИЧЕСКОЙ БЕЗОПАСНОСТИ
Система должна отвечать требованиям руководящих документов ФСТЭК России, нормативно–технических документов Компании и локальных нормативных документов Общества в области информационно-технической и экономической безопасности.
Система должна соответствовать требованиям по защите информации от несанкционированного доступа, предъявляемым к автоматизированным системам не ниже класса защищенности «1Г», согласно документу «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992 г.
Система должна иметь возможность функционирования при реализованных требованиях к 4 классу защищенности средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации согласно требованиям действующего руководящего документа Гостехкомиссии России "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации".
Система не требует обязательной аттестации лицензиатом ФСТЭК России.
ТРЕБОВАНИЯ ПО СОХРАННОСТИ ИНФОРМАЦИИ ПРИ АВАРИЯХ
Программное обеспечение Системы должно восстанавливать своё функционирование при корректном перезапуске аппаратных средств. Должна быть предусмотрена возможность организации автоматического и (или) ручного резервного копирования данных системы средствами системного и базового программного обеспечения, входящего в состав программно-аппаратного комплекса Общества.
Функции резервного копирования данных Системы должна выполнять информационная система резервного копирования. Выбор программного обеспечения и аппаратных средств системы резервного копирования производится по усмотрению Общества.
Резервному копированию подлежит содержимое каталога с базой данных Системы и прикрепляемых к ЗП сопроводительных документов. Объем данных, подлежащих резервному копированию, уточняется по результатам эксплуатации системы в реальных условиях.
При повреждении рабочих носителей информации система должна обеспечивать восстановление информации с резервных копий по состоянию на дату и время последней архивации. Время восстановления не должно превышать 2 часов.
Строгие требования по периодичности резервного копирования данных Системы не предъявляются. Рекомендуется:
ежедневное резервное инкрементное копирование файлов данных;
еженедельное полное копирование файлов данных;
ежемесячное резервное копирование программных файлов;
Требования к защите программного обеспечения и технических средств резервного копирования определяются политикой организации и в ТЗ на Систему не выдвигаются.
ТРЕБОВАНИЯ К ЗАЩИТЕ ОТ ВЛИЯНИЯ ВНЕШНИХ ВОЗДЕЙСТВИЙ Требования не предъявляются. ТРЕБОВАНИЯ К ПАТЕНТНОЙ ЧИСТОТЕ
Система должна быть зарегистрирована в РОСПАТЕНТе.
ТРЕБОВАНИЯ К СИСТЕМЕ, РЕАЛИЗУЮЩИЕ КЛАСС ЗАЩИЩЕННОСТИ «1Г»
Система должна удовлетворять следующим требованиям.
Подсистема управления доступом:
должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов
должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам
должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа
Подсистема регистрации и учета:
должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы). Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:
дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
результат попытки входа: успешная или неуспешная - несанкционированная;
идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
код или пароль, предъявленный при неуспешной попытке;
должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются:
дата и время выдачи (обращения к подсистеме вывода);
спецификация устройства выдачи [логическое имя (номер) внешнего устройства];
краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
идентификатор субъекта доступа, запросившего документ;
должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:
дата и время запуска;
имя (идентификатор) программы (процесса, задания);
идентификатор субъекта доступа, запросившего программу (процесс, задание);
результат запуска (успешный, неуспешный - несанкционированный);
должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются:
дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;
идентификатор субъекта доступа;
спецификация защищаемого файла
ПРОЧИЕ ТРЕБОВАНИЯ К ЗАЩИТЕ СИСТЕМЫ
Система должна функционировать, используя зашифрованный SSL-протокол.
На IIS-сервере системы должна быть включена интегрированная аутентификация пользователей.
|
