Требования безопасности Все внешние элементы технических средств Системы управления, находящиеся под напряжением, должны иметь защиту от случайного прикосновения, а сами технические средства иметь зануление или защитное заземление в соответствии с ГОСТ 12.1.030-81 и правилами устройства электроустановок (ПУЭ).
Система управления электропитания должна обеспечивать защитное отключение при перегрузках и коротких замыканиях в цепях нагрузки, а также аварийное ручное отключение.
Общие требования пожарной безопасности должны соответствовать нормам на бытовое электрооборудование. В случае возгорания не должно выделяться ядовитых газов и дымов. После снятия электропитания должно быть допустимо применение любых средств пожаротушения.
Факторы, оказывающие вредные воздействия на здоровье со стороны всех элементов системы (в том числе инфракрасное, ультрафиолетовое, рентгеновское и электромагнитное излучения, вибрация, шум, электростатические поля, ультразвук строчной частоты и т.д.), не должны превышать действующих норм (СанПиН 2.2.2./2.4.1340-03 от 03.06.2003 г.).
Требования к транспортабельности
Требования к транспортабельности не предъявляются.
Требования к эксплуатации, техническому обслуживанию, ремонту и хранению
Требования к эксплуатации, техническому обслуживанию, ремонту и хранению обеспечиваются силами Заказчика и не являются предметом настоящего Договора.
Требования к обеспечению безопасности информации
Перечень нормативных документов по обеспечению безопасности информации
При проведении работ по обеспечению безопасности информации должны учитываться требования следующих законодательных актов и методологических рекомендаций:
Федеральный закон Российской Федерации от 27.07.2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон Российской Федерации от 27.07.2006г. №152-ФЗ «О персональных данных»;
Указ Президента Российской Федерации от 06.03.1997г. №188 «Об утверждении перечня сведений конфиденциального характера»;
«Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено постановлением Правительства РФ № 687 от 15 сентября 2008 г.;
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена зам. директора ФСТЭК России 15 февраля 2008 г.;
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная приказом ФСТЭК от 15 февраля 2008 г.;
«Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения», утвержденное постановлением Правительства РФ от 15 мая 2010. №330;
«Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждены Постановлением Правительства РФ от 1 ноября 2012 г. № 1119;
«Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утверждены приказом ФСТЭК России от «11» февраля 2013 г. №17;
«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от «18» февраля 2013 г. №21;
Приказ Федеральной службы безопасности Российской Федерации «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» от 27 декабря 2011 г. N 796;
Приказ Федеральной службы безопасности Российской Федерации «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи» от 27 декабря 2011 г. N 795.
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ, 21 февраля 2008 г. № 149/54-144;
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования\ для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России, 21 февраля 2008 г. № 149/54-144.
Общие требования к информационной безопасности
Для обеспечения защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, в рамках проведения работ необходимо:
определить цель и задачи обеспечения защиты информации в Системе;
определить и описать объекты доступа, с которыми работает Система, классифицировать обрабатываемую информацию в соответствии с законодательством Российской Федерации, а также уровнем конфиденциальности данных, предъявляемым Заказчиком;
определить класс защищенности Системы;
разработать и утвердить модель угроз/нарушителя;
разработать и описать требуемые меры обеспечения безопасности, как в части технической защиты, так и в части организационных мер;
учесть технологический ландшафт центра обработки данных в части обеспечения безопасности;
исключить дублирование средств и функций обеспечения информационной безопасности в рамках центра обработки данных;
разработать и внедрить подсистему информационной безопасности;
провести оценку соответствия реализованных мер предъявляемым требованиям по безопасности информации.
Организационные и технические меры защиты информации, реализуемые в Системе в рамках ее подсистемы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик Системы должны обеспечивать:
идентификацию и аутентификацию субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа; ограничение программной среды;
защиту машинных носителей информации;
регистрацию событий безопасности;
антивирусную защиту;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности информации;
целостность информационной системы и информации;
доступность информации;
защиту среды виртуализации;
защиту технических средств;
защиту информационной системы, ее средств, систем связи и передачи данных;
При реализации мер по защите информации, реализуемых в Системе в рамках ее подсистемы защиты информации, должны использоваться: механизмы обеспечения информационной безопасности, уже реализованные у Заказчика (в том числе в рамках защиты ЦОД), механизмы прикладного программного обеспечения Системы, а также дополнительные средства защиты информации.
При невозможности реализации в Системе отдельных выбранных мер защиты информации должны быть разработаны иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации.
При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры защиты информации, должны быть разработаны компенсирующие меры. Дополнительные требования к информационной безопасности
Доступ пользователей к персонализированным функциям и данным Системы должен предоставляться только после прохождения пользователем процедур аутентификации и авторизации.
Доступ пользователей к функциям и данным Системы должен быть ограничен на основе ролевого принципа. Каждому пользователю должна быть сопоставлена учетная запись, ассоциированная с одной из нескольких предопределенных пользовательских ролей. Для каждой пользовательской роли должны быть определены конкретные ограничения на доступ к функциям и данным Системы.
Дополнительные требования к защите информации при ее передаче
В Системе должна быть обеспечена возможность защиты информации от потери и несанкционированного доступа на этапах ее передачи и хранения.
На этапе информационного обмена с другими системами:
маршрутизацию IP-трафика между системой и другими системами через СКЗИ;
в связи с выходом системы в информационные сети общего доступа – должен предоставляться отчет о сканировании внешних ресурсов подключаемой системы на наличие уязвимостей.
Должен быть реализован следующий комплекс мер, направленных на защиту от несанкционированного доступа к функциям административного интерфейса Системы:
возможность ограничения доступа к административному интерфейсу;
возможность ведения журналов действий пользователей в административном интерфейсе и журнала аутентификаций.
Для настройки прав пользователей должны создаваться отдельные роли пользователей с назначением разрешений на выполнение отдельных функций и ограничений по доступу к информации, обрабатываемой в Системе.
Система должна обеспечивать выполнение требований по информационной безопасности в части:
регистрация событий;
аутентификация и авторизация;
защита данных;
возможность использования ЭП.
Дополнительные требования к журналированию событий
Необходимо обеспечить обязательное ведение журнала событий в Системе с указанием следующих значений для каждого события:
уникальный порядковый номер записи;
дата и время события;
ФИО пользователя;
наименование события.
Необходимо обеспечить недоступность изменения записей журнала для всех пользователей Системы, в том числе и административного персонала. Необходимо обеспечить доступность функции очистки журналов только для специальной роли пользователя. Функция очистки журнала должна автоматически сопровождаться обязательной записью данного события после очистки в журнал событий.
Внесению в журнал событий подлежат:
все события административного характера;
все события, относящиеся к предоставлению государственных услуг и сервисов, в том числе и обрабатываемые в автоматическом режиме;
сведения о произошедших ошибках в процессе функционирования Системы или процессе предоставления государственных услуг и сервисов;
все события, относящиеся к изменению параметров Системы.
По каждому событию должны быть зафиксированы как минимум следующие данные:
дата и время (формат стандартный);
идентификатор события по необходимости;
тип события;
результат – успешный или неуспешный;
ФИО или идентификатор пользователя.
Журнал событий должен быть в кодировке UTF8.
Для конкретного пользователя (персоны) должна быть предусмотрена только одна учётная запись.
Дополнительные требования к аутентификации пользователей
Права доступа пользователей к функциональности Системы должны быть разграничены для разных групп пользователей и определяться административным персоналом Системы.
У администратора должна быть возможность управления правами доступа других пользователей к функциям Системы. Должна использоваться ролевая модель прав доступа – каждому пользователю должна быть сопоставлена одна или несколько ролей. Для каждой роли должны быть назначены разрешенные операции в рамках каждого из компонентов Системы. Для назначения пользователю прав администратора должна использоваться системная роль пользователей «Администратор».
Система относится к группе многопользовательских информационных систем с разными правами доступа. С учетом особенностей планируемой к обработке информации, Система должна соответствовать требованиям, предъявляемым действующим в Российской Федерации законодательством к информационным системам персональных данных.
Подсистема информационной безопасности системы должна обеспечивать конфиденциальность, целостность и доступность обрабатываемой информации конфиденциального характера, что должно быть подтверждено соответствующими аттестатами ФСТЭК России
Дополнительные требования к СЗИ от НСД
Должно осуществлять:
защиту серверов и рабочих станций от НСД;
контроль входа пользователей в систему, в том числе и с использованием аппаратных средств защиты;
разграничение доступа пользователей к устройствам и контроль аппаратной конфигурации;
разграничение доступа пользователей к информации;
контроль утечек информации;
регистрацию событий безопасности и аудит.
Требования к функциональности:
может функционировать совместно с аппаратными и программно-аппаратными средствами доверенной загрузки для обеспечения защиты компьютера от несанкционированной загрузки автоматизированной системы с внешних носителей;
может функционировать совместно с персональными идентификаторами (для обеспечения усиленной аутентификации пользователей);
поддерживать персональные идентификаторы iButton (при совместном использовании со средствами доверенной загрузки), eToken PRO, eToken PRO Java (в форм-факторах USB и смарт карт), Rutoken;
должно обеспечивать автоматическую блокировку автоматизированной системы при изъятии персонального идентификатора пользователя;
поддержка терминального режима работы пользователей для платформ Microsoft и Citrix, а так же при использовании бездисковых рабочих станций (“тонких клиентов”);
контроль устройств:
последовательные и параллельные порты;
локальные устройства$
сменные, логические и оптические диски;
USB – устройства;
устройства PCMCI;
устройства IEEE1394;
устройства Secure Digital;
контроль устройств подключаемых/отключаемых в процессе работы автоматизированной системы;
контроль неизменности аппаратной конфигурации компьютера;
управление подключениями (IrDA, WiFi, FireWire, Ethernet, Bluetooth);
контроль вывода информации на отчуждаемые носители;
теневое копирование отчуждаемой информации;
разграничение доступа к принтерам;
контроль буфера обмена Windows;
создание для пользователей ограниченной замкнутой среды программного обеспечения компьютера;
должно обеспечивать автоматическую настройку механизмов защиты при добавлении в систему приложения, обрабатывающего конфиденциальную информацию;
возможность выбора уровня конфиденциальности сессии для пользователя;
разграничение доступа пользователей к конфиденциальным данным и приложениям;
мандатное управление доступом, включая – к устройствам;
контроль вывода конфиденциальных данных на печать, управление грифами конфиденциальности при печати конфиденциальных и секретных документов;
контроль целостности файлов, каталогов, элементов системного реестра;
возможность контроля целостности до загрузки операционной системы (при совместном применении со средствами доверенной загрузки);
функциональный контроль ключевых компонентов системы;
автоматическое затирание данных на диске при удалении конфиденциальных файлов пользователем;
регистрация событий безопасности в журнале безопасности;
возможность автоматического оповещения по электронной почте о событиях несанкционированного доступа;
возможность формирования отчетов по результатам аудита;
реакции СЗИ при нарушении целостности:
регистрацию события в журнале;
блокировку компьютера;
восстановление повреждённой/модифицированной информации;
отклонение или принятие изменений;
функциональный самоконтроль подсистем защиты.
Требования к централизованному управлению в доменной сети:
централизованный мониторинг и оперативное управление рабочими станциями;
централизованный сбор и хранение журналов безопасности, регистрация событий безопасности;
аудит безопасности, формирования отчетов по результатам аудита;
возможность создания централизованной политики безопасности по использованию отчуждаемых USB носителей информации;
возможность создания централизованной политики замкнутой программной среды;
возможность интеграции с политиками безопасности Active Directory;
централизованное управление в сложной доменной сети (domain tree) должно функционировать по иерархическому принципу;
должно обеспечивать создание доменов безопасности в территориально-распределенной сети, при этом предоставляется возможность делегирования административных полномочий по информационной безопасности;
возможность создания отчетов по перечню установленного ПО, сведениям о ресурсах, объектах и параметрах защищаемого компьютера;
|