Требования к безопасности Требования по безопасности определяются нормативными документами объектов автоматизации для персонала, работающего со средствами вычислительной техники.
Требования к защите информации от несанкционированного доступа (далее по тексту НСД) Необходимо обеспечить следующий режим безопасности информации, обрабатываемой и хранимой в Системе:
Конфиденциальность информации – состояние защищенности информации, сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней;
Целостность информации – обеспечение сохранности и неизменности конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения;
Доступность информации – обеспечение беспрепятственного доступа к информации субъектов, имеющих на это полномочия.
Система должна соответствовать требованиям:
Федерального закона Российской Федерации от 24.07.2004 г. № 98-ФЗ «О коммерческой тайне»;
Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
Положения об обеспечении безопасности персональных данных при их обработке в информационных системах (утв. Постановлением правительства РФ от 17 ноября 2007 г. № 781);
Указа Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении»;
ГОСТ Р 50739–95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
Система должна обеспечивать защиту от несанкционированного доступа на уровне не ниже установленного требованиями, предъявляемыми к классу защищенности 1Д по классификации действующего руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992 г. Уровень защищённости от несанкционированного доступа средств вычислительной техники, обрабатывающих информацию, должен соответствовать требованиям к классу защищённости 5 согласно требованиям действующего руководящего документа Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», 1992 г. Персональные данные, обрабатываемые в информационной системе, должны относиться к 3й категории (персональные данные, позволяющие идентифицировать субъекта персональных данных, без получения о нем дополнительной информации). Система должна удовлетворять требованиям, предъявляемым к системам класса 2 (К2 – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных).
Технические требования
Защищенность от НСД к информации при ее обработке характеризуется тем, что только надлежащим образом уполномоченные лица или процессы, инициированные ими, будут иметь доступ к чтению, записи, созданию или уничтожению информации. Защищенность обеспечивается тремя группами требований к средствам защиты, реализуемым:
требования к разграничению доступа, предусматривающие то, что должны поддерживаться непротиворечивые, однозначно определенные правила разграничения доступа;
требования к учету, предусматривающие то, что должна поддерживаться регистрация событий, имеющих отношение к защищенности информации;
требования к гарантиям, предусматривающие необходимость наличия в составе технических и программных механизмов, позволяющих получить гарантии того, что обеспечивается выполнение требований к разграничению доступа и к учету НСД.
Требования к организации и разграничению прав доступа пользователей
В пределах одной структурной единицы предприятия должно быть настроено разграничение прав доступа для каждого пользователя. Права пользователей на доступ к данным
Должна быть обеспечена установка прав доступа пользователей к отдельным объектам КАСУ (отчетам, справочникам, документам и пр.). Права пользователей на выполнение действий
Необходимо предусмотреть возможность настройки прав доступа на выполнение действий с объектами системы – просмотр, добавление, удаление, изменение элементов конкретных справочников и/или документов.
|