Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
Требования к 3 классу защищенности МЭ: различия между версиями
Перейти к навигации
Перейти к поиску
wikisec>Swan |
Wikiadmin (обсуждение | вклад) м (1 версия импортирована) |
(нет различий)
| |
Текущая версия на 14:01, 29 октября 2019
Содержание
- 1 (2.4.1.) Управление доступом
- 2 (2.4.2.) Идентификация и аутентификация
- 3 (2.4.3.) Регистрация
- 4 (2.4.4.) Администрирование: идентификация и аутентификация
- 5 (2.4.5.) Администрирование: регистрация
- 6 (2.4.6.) Администрирование: простота использования
- 7 (2.4.7.) Целостность
- 8 (2.4.8.) Восстановление
- 9 (2.4.9.) Тестирование
- 10 (2.4.10.) Руководство администратора МЭ
- 11 (2.4.11.) Тестовая документация
- 12 (2.4.12.) Конструкторская (проектная) документация
- 13 Ссылки
(2.4.1.) Управление доступом
- МЭ должен обеспечивать фильтрацию на сетевом уровне.
- Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.
- МЭ должен обеспечивать:
- фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
- фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
- фильтрацию с учетом любых значимых полей сетевых пакетов;
- фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, по крайней мере, учитываются транспортные адреса отправителя и получателя;
- фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по крайней мере, учитываются прикладные адреса отправителя и получателя;
- фильтрацию с учетом даты/времени.
(2.4.2.) Идентификация и аутентификация
МЭ должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.
(2.4.3.) Регистрация
- МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.
- регистрацию и учет запросов на установление виртуальных соединений;
- локальную сигнализацию попыток нарушения правил фильтрации.
(2.4.4.) Администрирование: идентификация и аутентификация
- МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия.
- МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась.
- При удаленных запросах администратора МЭ на доступ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.
(2.4.5.) Администрирование: регистрация
- МЭ должен обеспечивать регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова. Регистрация выхода из системы не проводится в моменты аппаратурного отключения МЭ;
- В параметрах регистрации указываются:
- дата, время и код регистрируемого события;
- результат попытки осуществления регистрируемого события - успешная или неуспешная;
- идентификатор администратора МЭ, предъявленный при попытке осуществления регистрируемого события.
- МЭ должен обеспечивать регистрацию запуска программ и процессов (заданий, задач).
- МЭ должен обеспечивать регистрацию действия администратора МЭ по изменению правил фильтрации.
(2.4.6.) Администрирование: простота использования
Многокомпонентный МЭ должен обеспечивать возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.
(2.4.7.) Целостность
- МЭ должен содержать средства контроля за целостностью своей программной и информационной части.
- МЭ должен обеспечиваться контроль целостности программной и информационной части МЭ по контрольным суммам.
(2.4.8.) Восстановление
МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ.
(2.4.9.) Тестирование
В МЭ должна обеспечиваться возможность регламентного тестирования:
- реализации правил фильтрации (см. п. 2.4.1);
- процесса регистрации (см. п. 2.4.3);
- процесса идентификации и аутентификации запросов (см. п. 2.4.2);
- процесса идентификации и аутентификации администратора МЭ (см. п. 2.4.4);
- процесса регистрации действий администратора МЭ (см. п. 2.4.5);
- процесса контроля за целостностью программной и информационной части МЭ (см. п. 2.4.7);
- процедуры восстановления (см. п. 2.4.8.).
(2.4.10.) Руководство администратора МЭ
Документ должен содержать:
- описание контролируемых функций МЭ;
- руководство по настройке и конфигурированию МЭ;
- описание старта МЭ и процедур проверки правильности старта;
- руководство по процедуре восстановления.
(2.4.11.) Тестовая документация
Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 2.4.9), и результаты тестирования.
(2.4.12.) Конструкторская (проектная) документация
Должна содержать:
- общую схему МЭ;
- общее описание принципов работы МЭ;
- описание правил фильтрации;
- описание средств и процесса идентификации и аутентификации;
- описание средств и процесса регистрации;
- описание средств и процесса контроля за целостностью программной и информационной части МЭ;
- описание процедуры восстановления свойств МЭ.
- описание средств и процесса централизованного управления компонентами МЭ.
