№ п/п | Наименование функций | Содержание функций |
1 | 2 | 3 |
Аудит безопасности | ||
1 | Автоматическая реакция аудита безопасности |
Обеспечение мониторинга информационной безопасности средствами сбора и анализа событий информационной безопасности. |
2 | Генерация данных аудита безопасности | Наличие протоколирования, по крайней мере, запуска и завершения регистрационных функций, а также всех событий базового уровня аудита, т.е. в каждой регистрационной записи присутствие даты и времени события, типа события, идентификатора субъекта и результата (успех или неудача) события. |
3 | Анализ аудита безопасности | Осуществление (с целью выявления вероятных нарушений), по крайней мере, путем накопления и/или объединения неуспешных результатов использования механизмов аутентификации, а также неуспешных результатов выполнения криптографических операций. |
4 | Просмотр аудита безопасности | Обеспечение и предоставление администратору возможности просмотра (чтения) всей регистрационной информации. Прочим пользователям доступ к регистрационной информации должен быть закрыт, за исключением явно специфицированных случаев. |
5 | Выбор событий аудита безопасности |
Наличие избирательности регистрации событий, основывающейся, по крайней мере, на следующих атрибутах: |
6 | Хранение данных аудита безопасности | Наличие регистрационной информации о надежности защиты от несанкционированной модификации. |
Криптографическая поддержка | ||
7 | Управление криптографическими ключами |
Наличие поддержки: |
8 | Криптографические операции |
1. Наличие для всей информации, передаваемой по доверенному каналу, шифрования и контроля целостности в соответствии с требованиями технической документации, нормативных правовых актов Республики Казахстан и действующих на территории Республики Казахстан стандартов в сфере информационной безопасности. |
Защита данных пользователя | ||
9 | Политика управления доступом | Осуществление разграничения доступа для пользователей, прямо или косвенно выполняющих операции с сервисом безопасности. |
10 | Функции управления доступом |
Применение функций разграничения доступа основывается, по крайней мере, на следующих атрибутах безопасности: |
11 | Аутентификация данных | Поддержка гарантии правильности специфического набора данных, который впоследствии используется для верификации того, что содержание информации не было подделано или модифицировано мошенническим путем. |
12 | Экспорт данных за пределы действия функций безопасности ОИ (далее - ФБО) | Обеспечение при экспорте данных пользователя из OИ защиты и сохранности или игнорирования их атрибутов безопасности. |
13 | Политика управления информационными потоками | Обеспечение предотвращения раскрытия, модификации и/или недоступности данных пользователя при их передаче между физически разделенными частями сервиса безопасности. |
14 | Функции управления информационными потоками | Организация и обеспечение контроля доступа к хранилищам данным с целью исключения бесконтрольного распространения информации, содержащейся в них (управление информационными потоками для реализации надежной защиты от раскрытия или модификации в условиях недоверенного программного обеспечения (далее - ПО). |
15 | Импорт данных из-за пределов действия ФБО | Наличие механизмов для передачи данных пользователя в OИ таким образом, чтобы эти данные имели требуемые атрибуты безопасности и защиту. |
16 | Передача в пределах ОИ | Наличие защиты данных пользователя при их передаче между различными частями OИ по внутреннему каналу. |
17 | Защита остаточной информации | Обеспечение полной защиты остаточной информации, то есть недоступности предыдущего состояния при освобождении ресурса. |
18 | Откат текущего состояния | Наличие возможности отмены последней операции или ряда операций, ограниченных некоторым пределом (например, периодом времени), и возврат к предшествующему известному состоянию. Откат предоставляет возможность отменить результаты операции или ряда операций, чтобы сохранить целостность данных пользователя. |
19 | Целостность хранимых данных | Обеспечение защиты данных пользователя во время их хранения в пределах ФБО. |
20 | Защита конфиденциальности данных пользователя при передаче между ФБО | Обеспечение конфиденциальности данных пользователя при их передаче по внешнему каналу между ОИ и другим доверенным продуктом IT. Конфиденциальность осуществляется путем предотвращения несанкционированного раскрытия данных при их передаче между двумя оконечными точками. Оконечными точками могут быть ФБО или пользователь. |
21 | Защита целостности данных пользователя при передаче между ФБО | Обеспечивается целостность данных пользователя при их передаче между ФБО и другим доверенным продуктом ИТ, а также возможность их восстановления при обнаруживаемых ошибках. |
Идентификация и аутентификация | ||
22 | Отказы аутентификации | Наличие возможности при достижении определенного администратором числа неуспешных попыток аутентификации отказать субъекту в доступе, сгенерировать запись регистрационного журнала и сигнализировать администратору о вероятном нарушении безопасности. |
23 | Определение атрибутов пользователя |
Для каждого пользователя необходимо поддерживать, по крайней мере, следующие атрибуты безопасности: |
24 | Спецификация секретов | Если аутентификационная информация обеспечивается криптографическими операциями, поддерживается также открытые и секретные ключи. |
25 | Аутентификация пользователя | Наличие механизмов аутентификации пользователя, предоставляемых ФБО. |
26 | Идентификация пользователя |
Обеспечение: |
27 | Связывание пользователь-субъект | Следует ассоциировать соответствующие атрибуты безопасности пользователя с субъектами, действующими от имени этого пользователя. |
Управление безопасностью | ||
28 | Управление отдельными функциями ФБО | Наличие единоличного права администратора на определение режима функционирования, отключения, подключения, модификации режимов идентификаци и аутентификации, управления правами доступа, протоколирования и аудита. |
29 | Управление атрибутами безопасности | Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, создания атрибутов безопасности, правил управления потоками информации. При этом необходимо обеспечить присваивание атрибутам безопасности только безопасных значений. |
30 | Управление данными ФБО | Наличие единоличного права администратора на изменения подразумеваемых значений, опрос, изменения, удаления, очистки, определения типов регистрируемых событий, размеров регистрационных журналов, прав доступа субъектов, сроков действия учетных записей субъектов доступа, паролей, криптографических ключей. |
31 | Отмена атрибутов безопасности | Наличие осуществления отмены атрибутов безопасности в некоторый момент времени. Только у уполномоченных администраторов имеется возможность отмены атрибутов безопасности, ассоциированных с пользователями. Важные для безопасности полномочия отменяются немедленно. |
32 | Срок действия атрибута безопасности | Обеспечение возможности установления срока действия атрибутов безопасности. |
33 | Роли управления безопасностью |
1) Обеспечение поддержки, по крайней мере, следующих ролей: уполномоченный пользователь, удаленный пользователь, администратор; |
Защита ФБО | ||
34 | Безопасность при сбое | Сохранение сервисом безопасного состояния при аппаратных сбоях (вызванных, например, перебоями электропитания). |
35 | Доступность экспортируемых данных ФБО | Предоставление сервисом возможности верифицировать доступность, всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены. |
36 | Конфиденциальность экспортируемых данных ФБО | Предоставление сервисом возможности верифицировать конфиденциальность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены. |
37 | Целостность экспортируемых данных ФБО | Предоставление сервисом возможности верифицировать целостность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены. |
38 | Передача данных ФБО в пределах ОИ | Сервис предоставляет возможность верифицировать доступность, Предоставление сервисом возможности конфиденциальность и целостность всех данных при их передаче между ним и удаленным доверенным продуктом информационных технологий и выполнять повторную передачу информации, а также генерировать запись регистрационного журнала, если модификации обнаружены. |
39 | Надежное восстановление | Когда автоматическое восстановление после сбоя или прерывания обслуживания невозможно, сервис переходит в режим аварийной поддержки, позволяющей вернуться к безопасному состоянию. После аппаратных сбоев обеспечивается возврат к безопасному состоянию с использованием автоматических процедур. |
40 | Обнаружение повторного использования | Обеспечение обнаружения сервисом повторного использования аутентификационных данных, отказа в доступе, генеририрования записи регистрационного журнала и сигнализирования администратору о вероятном нарушении безопасности. |
41 | Посредничество при обращениях | Обеспечение вызова и успешного выполнения функций, осуществляющих политику безопасности сервиса, прежде, чем разрешается выполнение любой другой функции сервиса. |
42 | Разделение домена | Поддержка отдельного домена для собственного выполнения функций безопасности, который защищает их от вмешательства и искажения недоверенными субъектами. |
43 | Протокол синхронизации состояний | Обеспечение синхронизации состояний при выполнении идентичных функций на серверах. |
44 | Метки времени | Предоставление для использования функциями безопасности надежных меток времени. |
45 | Согласованность данных между ФБО | Обеспечение согласованной интерпретации регистрационной информации, а также параметров используемых криптографических операций. |
46 | Согласованность данных ФБО при дублировании в пределах ОИ | Обеспечение согласованности данных функций безопасности при дублировании их в различных частях объекта испытаний. Когда части, содержащие дублируемые данные, разъединены, согласованность обеспечивается после восстановления соединения перед обработкой любых запросов к заданным функциям безопасности. |
47 | Использование сценариев (скриптов) | Отсутствие в ОИ возможных сценариев (скриптов) с правами на модификацию, применение которых может повлечь возникновение инцидентов информационной безопасности. |
Использование ресурсов | ||
48 | Отказоустойчивость | Обеспечение доступности функциональных возможностей объекта испытаний даже в случае сбоев. Примеры таких сбоев: отключение питания, отказ аппаратуры, сбой ПО. |
49 | Распределение ресурсов |
1. Обеспечение управления использованием ресурсов пользователями и субъектами таким образом, чтобы не допустить несанкционированные отказы в обслуживании из-за монополизации ресурсов другими пользователями или субъектами. |
Доступ к ОИ | ||
50 | Ограничение области выбираемых атрибутов | Ограничение как атрибутов безопасности сеанса, которые может выбирать пользователь, так и атрибутов субъектов, с которыми пользователь может быть связан, на основе метода или места доступа, порта, с которого осуществляется доступ, и/или времени (например, времени суток, дня недели). |
51 | Ограничение на параллельные сеансы | Ограничение максимального числа параллельных сеансов, предоставляемых одному пользователю. У этой величины подразумеваемое значение устанавливается администратором. |
52 | Блокирование сеанса | Принудительное завершение сеанса работы по истечении установленного администратором значения длительности бездействия пользователя. |
53 | Предупреждения перед предоставлением доступа к ОИ | Обеспечение возможности еще до идентификации и аутентификации отображения для потенциальных пользователей предупреждающего сообщения относительно характера использования объекта испытаний. |
54 | История доступа к ОИ | Обеспечение возможности отображения для пользователя, при успешном открытии сеанса, истории неуспешных попыток получить доступ от имени этого пользователя. Эта история может содержать дату, время, средства доступа и порт последнего успешного доступа к объекту испытаний, а также число неуспешных попыток доступа к объекту испытаний после последнего успешного доступа идентифицированного пользователя. |
55 | Открытие сеанса с ОИ | Обеспечение сервисом способности отказать в открытии сеанса, основываясь на идентификаторе субъекта, пароле субъекта, правах доступа субъекта. |
Функции защиты от вредоносного кода | ||
56 | Наличие средств антивирусной защиты | Применение для защиты от вредоносного кода средств мониторинга, обнаружения и блокирования или удаления вредоносного кода на серверах и при необходимости, на рабочих станциях объекта испытаний. |
57 | Лицензии для средств антивирусной защиты | Наличие у средств антивирусной защиты лицензии (приобретенной, ограниченной, свободно распространяемой) на сервера и рабочие станции. |
58 | Обновление баз сигнатур и программного обеспечения средств антивирусной защиты | Обеспечение регулярного обновления и поддержания в актуальном состоянии средств антивирусной защиты. |
59 | Управление доступом к средствам антивирусной защиты | Осуществление централизованного управления и конфигурирования средств антивирусной защиты. |
60 | Управление защитой от вредоносного кода на внешних электронных носителях информации средствами антивирусной защиты | Обеспечение управлением защитой от вредоносного кода на внешних электронных носителях информации проверки и блокировки файлов и при необходимости носителей информации. |
Безопасность при обновлении ПО | ||
61 | Регулярное обновления ПО | Обеспечение регулярного обновления общесистемного и прикладного ПО серверов и рабочих станций. |
62 | Обновление ПО в сетевых средах без доступа к серверам обновления в Интернете | Обеспечение обновления ПО в сетевых средах без доступа к серверам обновления в Интернете от специализированного сервера обновлений. |
Безопасность при внесении изменений в прикладное ПО | ||
63 | Среда разработки и тестирования прикладного ПО | Обеспечение наличия среды для разработки и тестирования прикладного ПО, изолированной от среды промышленной эксплуатации прикладного ПО. |
64 | Разграничение доступа в средам разработки и тестирования прикладного ПО | Обеспечение управления доступом к средам разработки и тестирования прикладного ПО для программистов и администраторов. |
65 | Система развертывания прикладного ПО | Наличие системы развертывания (распространения) прикладного ПО на серверах и рабочих станциях среды промышленной эксплуатации. |
66 | Разграничение доступа к системе развертывания прикладного ПО | Обеспечение управления доступом к системе развертывания (распространения) прикладного ПО на серверах и рабочих станциях среды промышленной эксплуатации. |
"Защита от утечек конфиденциальной информации" на объектах информатизации государственных органов, местных исполнительных органах и критически важных объектов информационно-коммуникационной инфраструктуры | ||
67 | Политика управления доступом | Управление системой защиты от утечек конфиденциальной информации |
68 | Обновление компонентов системы | Обеспечение регулярного обновления и поддержания в актуальном состоянии системы защиты от утечек информации. |
69 | Атрибут безопасности раздела | Обеспечение применения парольной политики, согласно правилам организации процедур аутентификации. |
70 | Хранение данных | Хранение журналов событий системы защиты от утечки конфиденциальной информации не менее трех лет и в оперативном доступе не менее двух месяцев. |