Компоненты подсистемы защиты от НСД должны обеспечивать:
– идентификацию пользователя;
– проверку полномочий пользователя при работе с АС;
– разграничение доступа пользователей на уровне задач и информационных массивов.
В рамках обеспечения соответствия требованиям по классу защиты в АС:
– должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно—постоянного действия длиной не менее шести символов;
– должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
– должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
– должна осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останов не проводится в моменты аппаратурного отключения АС;
– должна осуществляться регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
– должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
– должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: программам, томам, каталогам, файлам, записям, полям записей;
– должен проводиться учет всех защищаемых носителей информации с помощью любой их маркировки;
– должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов);
– должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды, при этом:
– целостность проверяется при загрузке системы по контрольным суммам компонент,
– целостность программной среды обеспечивается отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
– должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
– конфиденциальная и секретная информация должна подвергаться криптографическому преобразованию при записи и чтении;
– для обеспечения безопасности информации должны использоваться сертифицированные средства защиты информации;
– должно проводиться периодическое тестирование функций СЗИ при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;
– должны быть в наличии средства восстановления СЗИ, предусматривающие ведение двух копий программных средств СЗИ и их периодическое обновление и контроль работоспособности.
Перечень параметров, подлежащих регистрации в тех или иных ситуациях осуществления доступа приведен в соответствующем разделе вышеупомянутого руководящего документа.
Допускается расширение вышеперечисленных механизмов защиты от несанкционированного доступа для достижения их соответствия современному технологическому уровню.
