Требования к защите информации от несанкционированного доступа

Требования к  защите информации от несанкционированного доступа

ИС должна обеспечивать защиту от несанкционированного доступа (НСД) на уровне не ниже установленного требованиями, предъявляемыми к категории 1Д по классификации действующего руководящего документа Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем" 1992 г.

Компоненты подсистемы защиты от НСД должны обеспечивать:

• идентификацию пользователя;
• проверку полномочий пользователя при работе с системой;
• разграничение доступа пользователей на уровне задач и информационных массивов.

Протоколы аудита системы  и приложений должны быть защищены от несанкционированного доступа как  локально, так и в архиве.

Уровень защищённости от несанкционированного доступа средств вычислительной техники, обрабатывающих конфиденциальную информацию, должен соответствовать  требованиям к классу защищённости 6 согласно требованиям действующего руководящего документа Гостехкомиссии России "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации".

Защищённая часть системы  должна использовать "слепые" пароли (при наборе пароля его символы  не показываются на экране либо заменяются одним типом символов; количество символов не соответствует длине  пароля).

Защищённая часть системы  должна автоматически блокировать  сессии пользователей и приложений по заранее заданным временам отсутствия активности со стороны пользователей  и приложений.

Защищённая часть системы  должна использовать многоуровневую систему  защиты. Защищённая часть системы  должна быть отделена от незащищённой части системы межсетевым экраном.

Источник - опыт, ведомственные документы заказчика

Требования по сохранности информации при авариях

Программное обеспечение  АС Кадры должно восстанавливать  свое функционирование при корректном перезапуске аппаратных средств. Должна быть предусмотрена возможность  организации автоматического и (или) ручного резервного копирования  данных системы средствами системного и базового программного обеспечения (ОС, СУБД), входящего в состав программно технического комплекса Заказчика.

Приведенные выше требования не распространяются на компоненты системы, разработанные третьими сторонами  и действительны только при соблюдении правил эксплуатации этих компонентов, включая своевременную установку  обновлений, рекомендованных производителями  покупного программного обеспечения.

Требования к  защите от влияния внешних воздействий

Требования к  патентной чистоте

Установка системы в целом, как и установка отдельных  частей системы не должна предъявлять  дополнительных требований к покупке  лицензий на программное обеспечение  сторонних производителей, кроме  программного обеспечения, указанного в разделе.

Требования по стандартизации и унификации

Экранные формы должны проектироваться с учетом требований унификации:

• все экранные формы пользовательского интерфейса должны быть выполнены в едином графическом дизайне, с одинаковым расположением основных элементов управления и навигации;
• для обозначения сходных операций должны использоваться сходные графические значки, кнопки и другие управляющие (навигационные) элементы. Термины, используемые для обозначения типовых операций (добавление информационной сущности, редактирование поля данных), а также последовательности действий пользователя при их выполнении, должны быть унифицированы;
• внешнее поведение сходных элементов интерфейса (реакция на наведение указателя "мыши", переключение фокуса, нажатие кнопки) должны реализовываться одинаково для однотипных элементов.

Источник - опыт

Требования к  функциям (задачам), выполняемым системой

Подсистема хранения данных

Подсистема хранения данных должна осуществлять хранение оперативных  данных системы, данных для формирования аналитических отчетов, документов системы, сформированных в процессе работы отчетов.

Подсистема должна обеспечивать периодическое резервное копирование  и сохранение данных на дополнительных носителях информации.

декомпозиции IDEF0

Подсистема управления нормативно-справочной информацией

Подсистема должна решать задачу обеспечения информационной совместимости данных, которыми обмениваются отдельные компоненты Системы между  собой, а также со смежными системами  в процессе функционирования. В число  функций подсистемы должны быть включены функции ведения справочной информации. Справочники и классификаторы, входящие в состав подсистемы, должны проектироваться  и разрабатываться в соответствии с действующими общероссийскими  и международными справочниками  и классификаторами, где это представляется возможным. Подсистема должна предоставлять  пользователю удобные инструменты  для поиска и применения необходимой  справочной информации.

Все справочники, входящие в  состав НСИ системы, должны обладать следующей основной функциональностью:

• Постоянное хранение данных справочников;
• Добавление новых элементов;
• Редактирование элементов;
• Удаление (удаление элементов возможно лишь в том случае, если другие существующие объекты системы не ссылаются на удаляемый элемент);
• Просмотр элементов;
• Просмотр списка элементов;
• Фильтрация и сортировка списка элементов;
• Поиск элементов;
• Экспорт и импорт элементов.

Перечень функций справочников должен быть уточнен на стадиях технического проектирования и опытной эксплуатации.

Подсистема управления нормативно-справочной информацией должна обеспечивать ведение  следующих справочников и реестров:

• Реестр "Сотрудники";
• Реестр "Предприятия";
• Реестр "Штатные расписания";

Реестр "Сотрудники"

Реестр "Сотрудники" должен обеспечивать возможность обработки  необходимого набора атрибутов, включая:

• Фамилия;
• Имя;
• Отчество;
• Должность;
• т.п.

Источник - DFD, ERD

Требования к  видам обеспечения

Требования к  математическому обеспечению системы

Математические методы и  алгоритмы, используемые для шифрования/дешифрования данных, а также программное обеспечение, реализующее их, должны быть сертифицированы  уполномоченными организациями  для использования в государственных  органах Российской Федерации.

Требования к  информационному обеспечению системы

Состав, структура и способы  организации данных в системе  должны быть определены на этапе технического проектирования.

Хранение данных должно осуществляться на основе современных реляционных  или СУБД. Для обеспечения целостности  данных должны использоваться встроенные механизмы СУБД.

Средства СУБД, а также  средства используемых операционных систем должны обеспечивать документирование и протоколирование обрабатываемой в системе информации.

Структура базы данных должна поддерживать кодирование хранимой и обрабатываемой информации в соответствии с общероссийскими классификаторами (там, где они применимы).

Доступ к данным должен быть предоставлен только авторизованным пользователям с учетом их служебных  полномочий, а также с учетом категории  запрашиваемой информации.

Структура базы данных должна быть организована рациональным способом, исключающим единовременную полную выгрузку информации, содержащейся в  базе данных системы.

Технические средства, обеспечивающие хранение информации, должны использовать современные технологии, позволяющие  обеспечить повышенную надежность хранения данных и оперативную замену оборудования (распределенная избыточная запись/считывание данных; зеркалирование; независимые дисковые массивы; кластеризация).

В состав системы должна входить специализированная подсистема резервного копирования и восстановления данных.

При проектировании и развертывании  системы необходимо рассмотреть  возможность использования накопленной  информации из уже функционирующих  информационных систем. Перечень функционирующих  информационных систем приведен в разделе 3 настоящего документа.

Требования к  лингвистическому обеспечению системы

Все прикладное программное  обеспечение системы для организации  взаимодействия с пользователем  должно использовать русский язык.

Источник - документация заказчика,опыт разработки и эксплуатации ИС

Требования к  программному обеспечению системы

При проектировании и разработке системы необходимо максимально  эффективным образом использовать ранее закупленное программное  обеспечение, как серверное, так  и для рабочих станций.

Используемое при разработке программное обеспечение и библиотеки программных кодов должны иметь  широкое распространение, быть общедоступными и использоваться в промышленных масштабах. Базовой программной  платформой должна являться операционная система MS Windows.

Требования к  техническому обеспечению

Техническое обеспечение  системы должно максимально и  наиболее эффективным образом использовать существующие в органах федерального агентства технические средства.

В состав комплекса должны следующие технические средства:

• Серверы БД;
• Серверы приложений;
• Сервер системы формирования отчетности;
• Веб сервер;
• ПК пользователей;
• ПК администраторов.

Требования к  метрологическому обеспечению

Требования к  организационному обеспечению

Организационное обеспечение  системы должно быть достаточным  для эффективного выполнения персоналом возложенных на него обязанностей при  осуществлении автоматизированных и связанных с ними неавтоматизированных функций системы.

Заказчиком должны быть определены должностные лица, ответственные  за:

• обработку информации АС;
• администрирование АС;
• обеспечение безопасности информации АС;
• управление работой персонала по обслуживанию АС.

К работе с системой должны допускаться сотрудники, имеющие  навыки работы на персональном компьютере, ознакомленные с правилами эксплуатации и прошедшие обучение работе с  системой.

Требования к  методическому обеспечению

В состав методического обеспечения  системы должны входить следующие  законодательные акты, стандарты, нормативы, инструкции.

Состав и содержание работ по созданию (развитию) системы

Раздел "Состав и содержание работ по созданию (развитию) системы" должен содержать перечень стадий и  этапов работ по созданию системы  в соответствии с ГОСТ, сроки их выполнения, перечень организаций - исполнителей работ, ссылки на документы, подтверждающие согласие этих организаций на участие  в создании системы, или запись, определяющую ответственного (заказчик или разработчик) за проведение этих работ.

Порядок контроля и приемки системы

Виды, состав, объем  и методы испытаний системы

Виды, состав, объем, и методы испытаний подсистемы должны быть изложены в программе и методике испытаний  АС Кадры, разрабатываемой в составе  рабочей документации.

Общие требования к приемке работ по стадиям

Сдача-приёмка работ производится поэтапно, в соответствии с рабочей  программой и календарным планом, являющимися приложениями к Госконтракту №... от ... года.

Сдача-приемка осуществляется комиссией, в состав которой входят представители Заказчика и Исполнителя. По результатам приемки подписывается  акт приемочной комиссии.

Все создаваемые в рамках настоящей работы программные изделия (за исключением покупных) передаются Заказчику, как в виде готовых  модулей, так и в виде исходных кодов, представляемых в электронной  форме на стандартном машинном носителе (например, на компакт-диске).

Статус приемочной комиссии

Статус приемочной комиссии определяется Заказчиком до проведения испытаний.

Требования к  составу и содержанию работ по подготовке объекта автоматизации  к вводу системы в действие

В ходе выполнения проекта  на объекте автоматизации требуется  выполнить работы по подготовке к  вводу системы в действие. При  подготовке к вводу в эксплуатацию АС Кадры Заказчик должен обеспечить выполнение следующих работ:

• Определить подразделение и ответственных должностных лиц, ответственных за внедрение и проведение опытной эксплуатации АС Кадры;
• Обеспечить присутствие пользователей на обучении работе с системой, проводимом Исполнителем;
• Обеспечить соответствие помещений и рабочих мест пользователей системы в соответствии с требованиями, изложенными в настоящем ЧТЗ;
• Обеспечить выполнение требований, предъявляемых к программно-техническим средствам, на которых должно быть развернуто программное обеспечение АС Кадры;
• Совместно с Исполнителем подготовить план развертывания системы на технических средствах Заказчика;
• Провести опытную эксплуатацию АС Кадры.