Требования к защите информации от несанкционированного доступа
Система предназначена для организации работы в многопользовательском режиме, в котором одновременно обрабатывается и хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации Системы.
Для обеспечения защиты информации от несанкционированного доступа требуется реализация следующих функций:
1) В части управления доступом:
− должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в Систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести символов;
− должна осуществляться идентификация АРМ, серверов, каналов связи, внешних устройств ЭВМ по логическим именам;
− должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записи по именам;
− должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
В части регистрации и учета:
− должна осуществляться регистрация входа./выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останов не проводится в моменты аппаратного отключения Системы. В параметрах регистрации должны указываться:
· время и дата входа/выхода субъекта доступа в систему/из системы или загрузки/останова системы;
· идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
− должна осуществляться регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах указываются:
· дата и время запуска;
· имя (идентификатор) программы (процесса, задания);
· идентификатор субъекта доступа, запросившего программу (процесс, задание);
· результат запуска (успешный, неуспешный)
В части обеспечения целостности:
− должна обеспечиваться целостность программных средств, а также неизменность программной среды, при этом целостность программной среды обеспечивается отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
В части реализации организационно-режимных мер защиты должны быть предусмотрены:
− физическая охрана средств вычислительной техники (устройств и носителей информации), предусматривающая контроль доступа в помещения Системы посторонних лиц;
− принудительная периодическая смена паролей пользователей;
− разделение процессов реальной работы от процессов отладки и корректировки программного обеспечения.
Требования по сохранности информации при авариях
Сохранность информации в Системе должна обеспечиваться при следующих аварийных ситуациях:
− импульсные помехи, сбои и перерывы в электропитании;
− нарушение или выход из строя каналов связи локальной сети КСА;
− нарушение или выход из строя каналов связи между КСА;
− сбой общего или специального программного обеспечения КСА (отдельного АРМ или сервера);
− ошибки в работе персонала.
Требования к защите от влияния внешних воздействий
Реализация КСА Системы должна обеспечивать функционирование при следующих условиях окружающей среды:
− температура воздуха: 5 - +40°;
− относительная влажность воздуха: от 40 до 80 % при Т=25 С;
− атмосферное давление: 630 - 800 мм. рт. ст.
Требования по стандартизации и унификации
Для работы с БД должен использоваться язык SQL в рамках стандарта ANSI SQL-92.
Для разработки пользовательского интерфейса и средств генерации отчетов (любых твердых копий) должны использоваться языки 4-го поколения.
При создании Системы должно использоваться стандартное общее программное обеспечение, включающее лицензионные ОС, СУБД, сетевую операционную систему
Дополнительные требования
В Системе должны быть предусмотрены механизмы исправления неверно проведенных операций. При этом должна соблюдаться принятая Заказчиком технология, предусматривающая подобные случаи, а также обеспечиваться регистрация исправительных действий в соответствующих журналах для последующего контроля. Состав таких операций должен быть определен на стадии «Технический проект».
Для выполнения функций, требующих дополнительного контроля и подтверждения, система должна обеспечивать привязку ответственных лиц к функциям и документам. Состав таких функций должен быть определен на стадии «Технический проект».
В состав системы должно входить программное обеспечение, необходимое для инсталляции системы и начальной загрузки информации, а также для ведения в системе нормативно-справочной информации.
Реализация КСА Системы должна обеспечивать возможность функционирования при колебаниях напряжения электропитания в пределах от 155 до 265 В (220 + 20 % - 30 %).