Please enable JavaScript.

Coggle requires JavaScript to display documents.

Лб16 НД ТЗІ 2.5-010-03 Вимоги до захисту інформації веб-сторінки від…

- - - - Фізичне середовище, що призначене для розміщення, експлуатації, адміністрування WEB-сторінки установи, включає: - приміщення, в яких розташовані сервер і робочі станції з усіма компонентами (ОС, сховища для носіїв інформації та документації, робочі місця обслуговуючого персоналу і т.і.); - засоби енергопостачання, заземлення, життєзабезпечення та сигналізації приміщення; - допоміжні технічні засоби та засоби зв’язку
    - - 6.4.2.1 Приміщення, де розміщуються компоненти ОС, повинні знаходитися на контрольованій території і мати охорону. Доступ до цих приміщень дозволяється тільки особам, що належать: - до категорій "б" і "в" за 6.3.1 - без обмежень; - до категорій "г" і "д" за 6.3.1 - за необхідністю. Доступ здійснюється у порядку, визначеному СЗІ та затвердженому власником WEBсторінки, або у відповідності до умов, передбачених договором (угодою) між власником WEB-сторінки та оператором (провайдером).
      - 6.4.2.2 Вимоги до засобів енергопостачання, заземлення, життєзабезпечення, сигналізації приміщення та допоміжних технічних засобів і засобів зв’язку не висуваються.
  - - - 6.1.1.1 Інформація WEB-сторінки поділяється на дві категорії: - загальнодоступна інформація; - технологічна інформація.
      - 6.1.1.2 До загальнодоступної інформації відноситься публічно оголошувана інформація, користуватися якою можуть будь-які фізичні або юридичні особи (користувачі інформаційних ресурсів), що мають доступ до мережі Інтернет.
      - 6.1.1.3 До технологічної інформації WEB-сторінки відноситься технологічна інформація КСЗІ та технологічна інформація щодо адміністрування та управління обчислювальною системою АС і засобами обробки інформації – дані про мережеві адреси, імена, персональні ідентифікатори та паролі користувачів, їхні повноваження та права доступу до об’єктів, інформація журналів реєстрації дій користувачів, інша інформація баз даних захисту, встановлені робочі параметри окремих механізмів або засобів захисту, інформація про профілі обладнання та режими його функціонування, робочі параметри функціонального ПЗ тощо.
      - 6.1.1.4 Способи і методи обробки інформації WEB-сторінки (зберігання, супроводження, передачі, введення, актуалізації та використання інформації) визначають технології оброблення інформації.
      - 6.1.1.5 Технологічні особливості роботи користувачів із загальнодоступною інформацією WEB-сторінки визначаються особливостями системного та функціонального ПЗ, зокрема броузерів, які ними використовуються.
      - 6.1.1.6 Можливі наступні способи здійснення доступу до технологічної інформації та передавання даних для актуалізації загальнодоступної інформації: - з робочої станції, розміщеної на тій самій території, що і WEB-сервер (установивласника WEB-сторінки або оператора) або з терміналу WEB-сервера; 5 - з робочої станції, яка розміщена на території установи-власника WEB-сторінки, до WEB-сервера, що розміщений на території оператора, з використанням мереж передачі даних.
    - - 6.1.2.1 КСЗІ повинна забезпечувати реалізацію вимог із захисту цілісності та доступності розміщеної на WEB-сторінці загальнодоступної інформації, а також конфіденційності та цілісності технологічної інформації WEB-сторінки.
      - 6.1.2.2 Технологія оброблення інформації повинна відповідати вимогам політики безпеки інформації, визначеної для АС, що забезпечує функціонування WEB-сторінки.
      - 6.1.2.3 Вимоги щодо забезпечення цілісності загальнодоступної інформації WEBсторінки та конфіденційності й цілісності технологічної інформації вимагають застосування технологій, що забезпечують реалізацію контрольованого і санкціонованого доступу до інформації та заборону неконтрольованої й несанкціонованої її модифікації.
      - 6.1.2.4 Технологія оброблення інформації повинна бути здатною реалізовувати можливість виявлення спроб несанкціонованого доступу до інформації WEB-сторінки та процесів, які з цією інформацією пов’язані, а також забезпечити реєстрацію в системному журналі визначених політикою відповідної послуги безпеки подій (як НСД, так і авторизованих звернень).
      - 6.1.2.5 Для користувачів, які порушили встановлені правила розмежування доступу до WEB-сторінки, засоби КСЗІ на період сеансу роботи повинні забезпечити блокування доступу до WEB-сторінки.
      - 6.1.2.6 Технологічними процесами повинна бути реалізована можливість створення резервних копій інформації WEB-сторінки та процедури їх відновлення з використанням резервних копій.
      - 6.1.2.7 Технологія оброблення інформації повинна передбачати можливість аналізу використання користувачами і процесами обчислювальних ресурсів АС і забезпечувати керування ресурсами.
  - - - За рівнем повноважень щодо доступу до інформації, характером та складом робіт, які виконуються в процесі функціонування АС, користувачі поділяються на такі категорії: а) користувачі, яким надано право доступу тільки до загальнодоступної інформації WEB-сторінки; б) користувачі, яким надано повноваження супроводжувати КСЗІ та забезпечувати керування АС (адміністратор безпеки, інші співробітники СЗІ, користувачі з функціональними обов’язками WEB-майстрів, адміністраторів сервісів, адміністраторів мережевого обладнання, адміністраторів ресурсів DNS (Domain Name System), PROXY, FTP (File Transfer Protocol) та ін., якщо передбачається їх взаємодія з WEB-сторінкою, тощо); в) технічний обслуговуючий персонал, що забезпечує належні умови функціонування АС, повсякденну підтримку життєдіяльності фізичного середовища (електрики, технічний персонал з обслуговування приміщень будівель, ліній зв’язку тощо); г) розробники ПЗ, які здійснюють розробку та впровадження нових функціональних процесів, а також супроводження вже діючого функціонального ПЗ сервера, розробники та проектанти фізичної структури АС; д) постачальники обладнання і технічних засобів та фахівці, що здійснюють його монтаж, поточне гарантійне й післягарантійне обслуговування.
    - - 6.3.2.1 Користувачі, яким надано повноваження супроводжувати КСЗІ та забезпечувати управління АС, повинні володіти навиками обслуговування засобів захисту інформації та використання технічних і програмних засобів, що застосовуються ними під час виконання своїх службових і функціональних обов’язків.
      - 6.3.2.2 Користувачі, що належать до категорії "в" за 6.3.1, повинні мати належний рівень кваліфікації для виконання своїх службових та функціональних обов’язків у відповідності до визначених в установі технологічних процесів та режимів експлуатації обладнання.
      - 6.3.2.3 Доступ до інформації WEB-сторінки повинен надаватися користувачам у відповідності до положень політики безпеки інформації, визначеної для АС, що забезпечує функціонування WEB-сторінки. 7 Порядок доступу до ПЗ та компонентів АС користувачів різних категорій розробляється СЗІ й затверджується керівником установи.
      - 6.3.2.4 Обов’язковою є реєстрація в АС користувачів, що належать до категорії "б" за 6.3.1, чим забезпечується можливість однозначного їх ідентифікування, а також їхніх дій щодо інформації WEB-сторінки.
      - 6.3.2.5 Користувачі, що належать до категорій "в" – "д" за 6.3.1, можуть мати доступ до програмних та апаратних засобів АС лише під час робіт із тестування й інсталяції ПЗ, встановлення і регламентного обслуговування обладнання тощо, за умови обмеження їхнього доступу до технологічної інформації КСЗІ.
      - 6.3.2.6 Вимоги до користувачів, яким надається право доступу до загальнодоступної
        інформації WEB-сторінки, не висуваються.
  - - - 6.2.1.1 Узагальнена функціонально-логічна структура обчислювальної системи АС включає: - підсистему обробки інформації; - підсистему взаємодії з користувачами АС; - підсистему обміну даними.
      - 6.2.1.2 Підсистема обробки інформації забезпечує створення, зберігання, актуалізацію інформації WEB-сторінки і складається із засобів обробки інформації, системного та функціонального ПЗ.
      - 6.2.1.3 Підсистема взаємодії з користувачами АС забезпечує за запитами користувачів надання доступу до загальнодоступної інформації WEB-сторінки, яка має вигляд HTLMдокументу, з використанням мереж передачі даних та стандартних Інтернет-протоколів.
      - 6.2.1.4 Підсистема обміну даними забезпечує підготовку та безпосередньо 6 імпорт/експорт інформації в/із АС, а також внутрішньосистемний обмін інформацією між WEB-сервером та робочими станціями з реалізацією фаз встановлення, підтримання та завершення з’єднання.
      - 6.2.1.5 Відповідно до політики безпеки інформації в АС підсистеми комплектуються засобами захисту інформації (можуть використовуватися штатні засоби захисту системного і функціонального ПЗ та/або спеціалізовані засоби), які складають компоненти КЗЗ.
    - - 6.2.2.1 Програмно-апаратні засоби захисту, що входять до складу КЗЗ, повинні мати належним чином оформлені документи (експертні висновки, сертифікати), які засвідчують відповідність цих засобів вимогам нормативних документів системи ТЗІ.
      - 6.2.2.2 Встановлення на ОС нових (додаткових) компонентів, ПЗ (системного та/або функціонального), сервісів та розміщення будь-яких інших мережевих ресурсів, які не належать до категорії WEB-сторінки установи, не повинно порушувати політику безпеки інформації в АС, що забезпечує функціонування WEB-сторінки.
      - 6.2.2.3 Вимоги до робочих станцій фізичних і юридичних осіб, які є користувачами
        загальнодоступної інформації WEB-сторінки, та їхнього ПЗ не висуваються.
- - - - Програмне забезпечення, призначене для реалізації КЗЗ, повинне, як правило, будуватися за модульним принципом. Склад послуг безпеки, а також механізмів захисту, що реалізують кожну з послуг, визначається політикою безпеки інформації в АС і повинен відповідати її вимогам. Якщо не всі вимоги політики безпеки реалізуються КЗЗ, то вони повинні підтримуватися організаційними та іншими заходами захисту КСЗІ. У складі КЗЗ не повинні міститися послуги та використовуватися засоби, які мають не передбачені політикою безпеки функції. Використання таких засобів можливе за умови вилучення цих функцій або гарантування неможливості їх активізації. Мають бути описані особливості архітектури компонентів КСЗІ та їх призначення. Стиль опису – неформалізований, вимоги щодо детального опису не висуваються.
    - - Мають бути визначені всі стадії та етапи життєвого циклу АС, а для кожної стадії та етапу – перелік і обсяги необхідних робіт та порядок їх виконання. Всі стадії та етапи робіт повинні бути задокументовані. Види та зміст документів встановлено державними стандартами. На всіх стадіях життєвого циклу повинні існувати процедури керування конфігурацією АС. Ці процедури повинні визначати технологію відслідковування та внесення змін в апаратне та програмне забезпечення КСЗІ, тестове покриття і документацію та гарантувати, що без дотримання цієї технології ніякі зміни не можуть бути внесені. Технологія відслідковування та внесення змін повинна гарантувати постійну відповідність між документацією і реалізацією поточної версії КЗЗ.
    - - Для всіх стадій життєвого циклу АС повинні бути розроблені функціональні специфікації КСЗІ. На підготовчому етапі створення КСЗІ має бути виконане обстеження середовищ функціонування АС, в результаті якого визначаються об’єкти захисту, здійснюється класифікація інформації та розробляється модель загроз для інформації і концепція політики безпеки інформації в АС. На підставі цих даних мають бути сформульовані функціональні специфікації вимог із захисту інформації в АС. Ці специфікації мають бути викладені в окремому розділі в технічному завданні на створення АС або окремому технічному завданні на створення КСЗІ. Функціональні специфікації політики безпеки і моделі політики безпеки повинні містити перелік і опис послуг безпеки, що надаються КЗЗ, а також правила розмежування доступу до захищених об’єктів АС.
    - - Повинні існувати засоби інсталяції, генерації і запуску КЗЗ, які гарантують, що експлуатація АС починається з безпечного стану, а також існувати документи (інструкції), які регламентують порядок керування цими процедурами. Якщо можливі різні варіанти конфігурації КЗЗ, то всі вони повинні бути описані в інструкціях.
    - - Документація на КЗЗ у вигляді окремих документів або розділів інших документів повинна містити опис послуг безпеки, що реалізуються КЗЗ, а також настанови для різних категорій користувачів (адміністратора безпеки, адміністратора баз даних, адміністратора сервісів, звичайного користувача тощо) стосовно використання послуг безпеки. Вимоги до складу і змісту документації на інші компоненти КСЗІ, організаційні або інші заходи захисту визначаються технічним завданням на створення КСЗІ.
    - - Випробування КЗЗ можуть проводитись як самостійно, так і у складі КСЗІ. Для проведення випробувань розробник КЗЗ повинен підготувати програму і методику випробувань, розробити процедури (тести) випробувань усіх механізмів, що реалізують послуги безпеки. Розробник КЗЗ повинен надати докази тестування у вигляді детального переліку результатів тестів і відповідних процедур тестування, з тим, щоб отримані результати могли бути перевірені шляхом повторення тестування. Розробник КЗЗ повинен усунути або нейтралізувати всі знайдені “слабкі місця” і виконати повторне тестування КЗЗ для підтвердження того, що виявлені недоліки були усунені і не з'явилися нові “слабкі місця ”. Програма і методика випробувань КЗЗ, тестове покриття, результати випробувань КЗЗ входять до складу обов’язкового комплекту документації, яка надається організатору експертизи під час проведення державної експертизи КСЗІ в АС.
  - - - КЗЗ повинен реалізувати рівень НО-1. Ця послуга дозволяє розмежувати повноваження користувачів, визначивши категорії користувачів з певними і притаманними для кожної з категорій функціями (ролі). Послуга призначена для зменшення потенційних збитків від навмисних або помилкових дій користувачів і обмеження авторитарності керування АС. Політика розподілу обов’язків, що реалізується КЗЗ, стосується користувачів усіх категорій і повинна визначати щонайменше такі ролі: - адміністратора безпеки; - користувачів, яким надано право доступу до певних видів інформації (публічної, технологічної, системного та функціонального ПЗ).
    - - Цілісність комплексу засобів захисту КЗЗ повинен реалізувати рівень НЦ-1. Ця послуга визначає міру здатності КЗЗ WEB-сторінки захищати себе і гарантувати свою спроможність керувати захищеними об’єктами. Політика цілісності КЗЗ повинна визначати склад КЗЗ, механізми контролю цілісності його компонентів та порядок їх використання. Політика цілісності КЗЗ стосується: адміністратора безпеки; окремих компонентів системного та функціонального програмного забезпечення, які задіяні для реалізації механізмів КЗЗ; засобів захисту інформації, а також технологічної інформації КСЗІ - і забезпечує взаємодію зазначених об’єктів.
    - - КЗЗ повинен реалізувати рівень НК-1. Ця послуга повинна гарантувати користувачу будь-якої категорії можливість безпосередньої взаємодії з КЗЗ, а також те, що ніяка взаємодія користувача з АС не може бути модифікованою іншим користувачем або процесом. Послуга визначає вимоги до механізму встановлення достовірного зв'язку між користувачем і КЗЗ. Політика достовірного каналу стосується користувачів усіх категорій та компонентів системного та функціонального програмного забезпечення, які задіяні для реалізації механізмів КЗЗ.
    - - КЗЗ повинен реалізувати рівень НТ-1. Самотестування дозволяє КЗЗ перевірити і на підставі цього гарантувати правильність функціонування і цілісність певної множини функцій захисту WEB-сторінки. Політика самотестування поширюється на адміністратора безпеки, компоненти системного та функціонального програмного забезпечення, які задіяні для реалізації механізмів КЗЗ, засоби захисту інформації.
    - - КЗЗ повинен реалізувати рівень НВ-1. 13 Ця послуга дозволяє у разі використання технології Т2 компонентам КЗЗ WEBсервера і віддаленої робочої станції здійснити взаємну ідентифікацію, перш ніж розпочати взаємодію. Послуга ідентифікації і автентифікації при обміні стосується адміністратора безпеки та користувачів, яким надані повноваження щодо супроводження WEB-сторінки, технологічної інформації КСЗІ.
    - - КЗЗ повинен реалізувати рівень НИ-2. Ідентифікація і автентифікація дозволяють КЗЗ визначити і перевірити особу суб’єкта, що намагається одержати доступ до захищених об’єктів WEB-сторінки. Політика ідентифікації і автентифікації стосується: всіх користувачів WEB-сторінки, які намагаються одержати доступ до системного та функціонального програмного забезпечення, що використовується для актуалізації, захисту публічної інформації та супроводження WEB-сторінки; створеної в процесі супроводження WEB-сторінки технологічної інформації КСЗІ та технологічної інформації щодо управління АС; задіяного для цього периферійного обладнання
    - - КЗЗ повинен реалізувати рівень НР-2. Послуга дозволяє контролювати небезпечні відповідно до політики безпеки WEBсторінки дії користувачів всіх категорій із захищеними об’єктами. Політика реєстрації стосується: користувачів усіх категорій; публічної інформації WEB-сторінки; системного та функціонального програмного забезпечення, що використовується для актуалізації, захисту публічної інформації та супроводження WEBсторінки; створеної в процесі супроводження WEB-сторінки технологічної інформації КСЗІ та технологічної інформації щодо управління АС.
    - - КЗЗ повинен реалізувати рівень ДВ-1. Політика відновлення після збоїв, що реалізується КЗЗ, стосується: системного та функціонального програмного забезпечення; засобів захисту інформації та засобів управління КСЗІ; засобів адміністрування та управління обчислювальною системою АС – і гарантує повернення АС у відомий захищений стан після відмов або переривання обслуговування, спричинених помилковими діями користувачів, неврахованою функціональною недостатністю програмного та апаратного забезпечення (наприклад, можливою наявністю не виявлених під час проектування незадекларованих функцій), іншими непередбачуваними ситуаціями.
    - - КЗЗ повинен реалізувати рівень ДР-1. Ця послуга дозволяє керувати використанням користувачами послуг та ресурсів. Політика використання ресурсів, що реалізується КЗЗ, стосується: користувачів загальнодоступної інформації; адміністратора безпеки та користувачів, яким надано 11 повноваження щодо управління АС; файлової системи; системного та функціонального програмного забезпечення; технологічної інформації щодо управління АС; окремих периферійних пристроїв (принтерів, накопичувачів інформації і т.ін.); обчислювальних ресурсів АС і передбачає можливість встановлення обмежень на їх використання. Обмеження щодо використання окремим користувачем та/або процесом обсягів обчислювальних ресурсів АС або кількості об’єктів встановлюються адміністратором безпеки або користувачами, яким надано повноваження щодо управління АС. Запити на зміну встановлених обмежень повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від зазначених користувачів
    - - КЗЗ повинен реалізувати рівень ЦО-1. Ця послуга забезпечує можливість відмінити окрему операцію або послідовність операцій і повернути захищений об'єкт після внесення до нього змін до попереднього наперед визначеного стану. Політика обмеженого відкату стосується користувачів, яким надано право супроводження КСЗІ та управління АС; об’єктів, які містять публічну інформацію; функціонального програмного забезпечення, що використовується для актуалізації, захисту публічної інформації та супроводження WEB-сторінки; створеної в процесі супроводження WEB-сторінки технологічної інформації КСЗІ та технологічної інформації щодо управління АС. Якщо стосовно якогось з об’єктів зазначених категорій в процесі обробки не передбачається можливості його модифікації, політика послуги на нього не розповсюджується
    - - Цілісність при обміні КЗЗ повинен реалізувати рівень ЦВ-1. Ця послуга дозволяє забезпечити захист WEB-сторінки від несанкціонованої модифікації інформації, яка передається між WEB-сервером та робочими станціями у разі використання технології Т2, під час експорту/імпорту інформації через незахищене середовище. Політика послуги стосується всіх об’єктів, що передаються. КЗЗ повинен забезпечувати контроль за цілісністю інформації в повідомленнях, які передаються, а також бути здатним виявляти факти їх несанкціонованого видалення або дублювання. КЗЗ повинен забезпечувати можливість реєстрації подій, які призвели до порушення цілісності повідомлень, їх несанкціонованого видалення або дублювання.
    - - КЗЗ повинен реалізувати рівень ЦА-1. Ця послуга дозволяє керувати потоками інформації від користувачів до захищених об’єктів WEB-сторінки. Політика мінімальної адміністративної цілісності стосується: користувачів усіх категорій; загальнодоступної інформації WEB-сторінки; файлової системи та функціонального ПЗ, що використовується для актуалізації, захисту загальнодоступної інформації та супроводження WEB-сторінки; створеної в процесі супроводження WEBсторінки технологічної інформації КСЗІ та технологічної інформації щодо управління АС. КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу користувачів і захищених об’єктів. Розмежування доступу здійснюється на рівні надання (встановлення заборони) користувачеві прав модифікувати об’єкт. Право визначати множину об'єктів АС, цілісність яких забезпечується КЗЗ, надається адміністратору безпеки
    - - КЗЗ повинен реалізувати рівень КВ-1. Ця послуга дозволяє забезпечити захист об’єктів від несанкціонованого ознайомлення з інформацією, що міститься в них, під час їх експорту/імпорту через незахищене середовище. Політика мінімальної конфіденційності при обміні стосується: користувачів, яким надано право супроводження КСЗІ та управління АС; об’єктів, які містять технологічну інформацію КСЗІ та технологічну інформацію щодо управління АС під час її передавання між віддаленими компонентами АС.
    - - КЗЗ повинен реалізувати рівень КА-2. Ця послуга дозволяє адміністратору безпеки керувати потоками інформації від захищених об'єктів до користувачів. Політика адміністративної конфіденційності стосується: користувачів усіх категорій, крім визначених згідно з 6.3.1 "а"; об'єктів, що містять технологічну інформацію КСЗІ та технологічну інформацію щодо управління АС; системного та функціонального програмного 9 забезпечення, що використовується для актуалізації, захисту загальнодоступної інформації та супроводження WEB-сторінки; доступу користувачів до окремих видів периферійних пристроїв (принтерів, накопичувачів інформації тощо), використання яких передбачено технологією обробки інформації.