Общие требования
Прежде всего, необходима полная идентификация пользователей, терминалов, программ, а также основных процессов и процедур, желательно до уровня записи или элемента. Кроме того, следует ограничить доступ к информации, используя совокупность следующих способов:
- иерархическая классификация доступа;
- классификация информации по важности и месту ее возникновения;
- указание ограничений к информационным объектам, например пользователь может осуществлять только чтение файла без права записи в него;
- определение программ и процедур, предоставленных только конкретным пользователям.
Система защиты должна гарантировать, что любое движение данных идентифицируется, авторизуется, обнаруживается и документируется.
Обычно формулируются общие требования к следующим характеристикам:
- способам построения СЗИ либо ее отдельных компонент (к программному, программно-аппаратному, аппаратному);
- архитектуре вычислительных средств и ИС (к классу и минимальной конфигурации ЭВМ, операционной среде, ориентации на ту или иную программную и аппаратную платформы, архитектуре интерфейса);
- применению стратегии защиты;
- затратам ресурсов на обеспечение СЗИ (к объемам дисковой памяти для программной версии и оперативной памяти для ее резидентной части, затратам производительности вычислительной системы на решение задач защиты);
- надежности функционирования СЗИ (к количественным значениям показателей надежности во всех режимах функционирования ИС и при воздействии внешних разрушающих факторов, к критериям отказов);
- количеству степеней секретности информации, поддерживаемых СЗИ;
- обеспечению скорости обмена информацией в ИС, в том числе с учетом используемых криптографических преобразований;
- количеству поддерживаемых СЗИ уровней полномочий;
- возможности СЗИ обслуживать определенное количество пользователей;
- продолжительности процедуры генерации программной версии СЗИ;
- продолжительности процедуры подготовки СЗИ к работе после подачи питания на компоненты ИС;
- возможности СЗИ реагировать на попытки несанкционированного доступа либо на «опасные ситуации»;
- наличию и обеспечению автоматизированного рабочего места администратора защиты информации в ИС;
- составу используемого программного и лингвистического обеспечения, к его совместимости с другими программными платформами, к возможности модификации и т.п.;
- используемым закупаемым компонентам СЗИ (наличие лицензии, сертификата и т.п.).
Организационные требования
Организационные требования к системе защиты предусматривают реализацию совокупности административных и процедурных мероприятий. Требования по обеспечению сохранности должны выполняться, прежде всего, на административном уровне.
Организационные мероприятия, проводимые с целью повышения эффективности защиты информации, должны предусматривать следующие процедуры:
- ограничение несопровождаемого доступа к вычислительной системе (регистрация и сопровождение посетителей);
- осуществление контроля за изменением в системе программного обеспечения;
- выполнение тестирования и верификации изменений в системе программного обеспечения и программах защиты;
- организацию и поддержку взаимного контроля за выполнением правил защиты данных;
- ограничение привилегии персонала, обслуживающего ИС;
- осуществление записи протокола о доступе к системе;
- гарантию компетентности обслуживающего персонала;
- разработку последовательного подхода к обеспечению сохранности информации для всей организации;
- организацию четкой работы службы ленточной и дисковой библиотек;
- комплектование основного персонала на базе интегральных оценок и твердых знаний;
- организацию системы обучения и повышения квалификации обслуживающего персонала.
С точки зрения обеспечения доступа к ИС необходимо выполнить следующие процедурные мероприятия:
- разработать и утвердить письменные инструкции на загрузку и остановку работы операционной системы;
- контролировать использование магнитных лент, дисков, карт, листингов, порядок изменения программного обеспечения и доведение этих изменений до пользователя;
- разработать процедуру восстановления системы при отказах;
- установить политику ограничений при разрешенных визитах в вычислительный центр и определить объем выдаваемой информации;
- разработать систему протоколирования использования ЭВМ, ввода данных и вывода результатов;
- обеспечить проведение периодической чистки архивов и хранилищ носителей информации для исключения и ликвидации неиспользуемых;
- поддерживать документацию вычислительного центра в соответствии с установленными стандартами.
