Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

Требования к 3 классу защищенности МЭ

Материал из wikisec
Версия от 14:56, 6 октября 2009; wikisec>Swan (→‎(2.4.12.) Конструкторская (проектная) документация)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к навигации Перейти к поиску

(2.4.1.) Управление доступом

  • МЭ должен обеспечивать фильтрацию на сетевом уровне.
  • Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.
  • МЭ должен обеспечивать:
    • фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
    • фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
    • фильтрацию с учетом любых значимых полей сетевых пакетов;
    • фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, по крайней мере, учитываются транспортные адреса отправителя и получателя;
    • фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по крайней мере, учитываются прикладные адреса отправителя и получателя;
    • фильтрацию с учетом даты/времени.

(2.4.2.) Идентификация и аутентификация

МЭ должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.

(2.4.3.) Регистрация

  • МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.
  • регистрацию и учет запросов на установление виртуальных соединений;
  • локальную сигнализацию попыток нарушения правил фильтрации.

(2.4.4.) Администрирование: идентификация и аутентификация

  • МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия.
  • МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась.
  • При удаленных запросах администратора МЭ на доступ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.

(2.4.5.) Администрирование: регистрация

  • МЭ должен обеспечивать регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова. Регистрация выхода из системы не проводится в моменты аппаратурного отключения МЭ;
  • В параметрах регистрации указываются:
    • дата, время и код регистрируемого события;
    • результат попытки осуществления регистрируемого события - успешная или неуспешная;
    • идентификатор администратора МЭ, предъявленный при попытке осуществления регистрируемого события.
    • МЭ должен обеспечивать регистрацию запуска программ и процессов (заданий, задач).
  • МЭ должен обеспечивать регистрацию действия администратора МЭ по изменению правил фильтрации.

(2.4.6.) Администрирование: простота использования

Многокомпонентный МЭ должен обеспечивать возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.

(2.4.7.) Целостность

  • МЭ должен содержать средства контроля за целостностью своей программной и информационной части.
  • МЭ должен обеспечиваться контроль целостности программной и информационной части МЭ по контрольным суммам.

(2.4.8.) Восстановление

МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ.

(2.4.9.) Тестирование

В МЭ должна обеспечиваться возможность регламентного тестирования:

  • реализации правил фильтрации (см. п. 2.4.1);
  • процесса регистрации (см. п. 2.4.3);
  • процесса идентификации и аутентификации запросов (см. п. 2.4.2);
  • процесса идентификации и аутентификации администратора МЭ (см. п. 2.4.4);
  • процесса регистрации действий администратора МЭ (см. п. 2.4.5);
  • процесса контроля за целостностью программной и информационной части МЭ (см. п. 2.4.7);
  • процедуры восстановления (см. п. 2.4.8.).

(2.4.10.) Руководство администратора МЭ

Документ должен содержать:

  • описание контролируемых функций МЭ;
  • руководство по настройке и конфигурированию МЭ;
  • описание старта МЭ и процедур проверки правильности старта;
  • руководство по процедуре восстановления.

(2.4.11.) Тестовая документация

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 2.4.9), и результаты тестирования.

(2.4.12.) Конструкторская (проектная) документация

Должна содержать:

  • общую схему МЭ;
  • общее описание принципов работы МЭ;
  • описание правил фильтрации;
  • описание средств и процесса идентификации и аутентификации;
  • описание средств и процесса регистрации;
  • описание средств и процесса контроля за целостностью программной и информационной части МЭ;
  • описание процедуры восстановления свойств МЭ.
  • описание средств и процесса централизованного управления компонентами МЭ.

Ссылки

Порядок проведения сертификации

Источник — https://wikisec.ru/index.php?title=Требования_к_3_классу_защищенности_МЭ&oldid=1942