Постановление Управления национальной безопасности No 56/1999 Сб.
Постановление Управления национальной безопасности о безопасности секретных информационных систем, требованиях к их сертификации и сертификации
Действующий
Приказ
Действует с 30.03.1999
Версии текста:
30.03.1999
Zobrazeno prvních 200 z celkem 250 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
56
Декларация
Управление национальной безопасности
19 марта 1999 года
о безопасности информационных систем, обрабатывающих засекреченную информацию, осуществляющих их сертификацию и сертификационные требования
В соответствии со статьями 51 (3) и 53 (3) Закона No 148/1998 Сб. Управление национальной безопасности (далее - Управление) обеспечивает защиту секретной информации и внесение изменений в некоторые акты (далее - Закон):
Тема вопроса
Настоящий Указ устанавливает требования безопасности к информационным системам обработки секретной информации (далее – Информационная система), минимальные требования в области компьютерной безопасности, а также процедуры и процедуры сертификации информационных систем и реквизиты сертификата.
Определение терминов
Для целей настоящего Указа:
(a) актив аппаратной информационной системы, программного обеспечения, засекреченной засекреченной засекреченной информации («засекреченная информация»), хранящийся в информационной системе и документации информационной системы;
(b) объектом информационной системы (далее - "объект") пассивным элементом информационной системы, который содержит или получает информацию;
(c) субъект информационной системы (далее именуемый "объект") - активный элемент информационной системы, который вызывает передачу информации между объектами или изменение статуса системы;
d анализ рисков процесса, в ходе которого осуществляются активы информационной системы, угрозы для активов информационной системы, ее уязвимости, вероятность реализации угрозы и оценка ее последствий;
(e) аудиторскую запись событий, которые могут повлиять на безопасность информационной системы;
(f) путем аутентификации организации, процесса проверки ее личности, отвечающего требуемому уровню гарантии;
(g) разрешать организации предоставлять определенные права на осуществление определенных видов деятельности;
h) механизм обеспечения безопасности для осуществления функции обеспечения безопасности;
(i) оперативный режим безопасности среды, в которой функционирует информационная система, характеризующийся уровнем классификации секретной секретной информации и уровнями авторизации пользователей;
(j) конфиденциальность секретной информации, ее свойство, которое делает невозможным раскрытие секретной информации неуполномоченному лицу;
(k) физическая безопасность информационной системы мер, используемых для обеспечения физической защиты активов информационной системы от случайных или преднамеренных угроз;
(l) целостность актива информационной системы, имущества, которое позволяет осуществить его изменение определенным образом и только уполномоченным лицом;
m меры безопасности связи, используемые для обеспечения защиты секретной информации при передаче телекоммуникационных каналов;
n компьютерная безопасность информационной системы, обеспечиваемая ее техническими и программными средствами;
(o) обязательное управление доступом означает ограничение доступа субъектов к объектам на основе сравнения уровня секретной информации, содержащейся в объекте, и уровня авторизации субъекта для доступа к секретной информации и обеспечения правильного потока информации между объектами различных уровней классификации, независимо от выбора, сделанного пользователем;
(p) риск для информационной системы вероятности возникновения угрозы с использованием уязвимости информационной системы;
(r) роль резюме определенных видов деятельности и необходимых разрешений для пользователей в информационной системе;
(s) управление доступом означает ограничение доступа субъектов к объектам, гарантируя, что доступ к ним получает только авторизованный пользователь или процесс;
t) факультативные средства управления доступом для ограничения доступа субъектов к объектам на основе проверки прав доступа субъекта к объекту, посредством чего пользователь, обладающий определенными правами доступа для доступа к объекту, может выбрать, какие другие субъекты будут передавать права доступа к этому объекту и, таким образом, могут влиять на поток информации между объектами.
Требования к безопасности информационных систем
Безопасность информационных систем
(1) Безопасность информационной системы состоит из системы мер из области:
а) компьютерная и коммуникационная безопасность;
b административные меры безопасности и организационные меры;
c) обеспечение безопасности персонала;
d) физическая безопасность информационной системы.
(2) Система действий, указанная в пункте 1, указана в документации по безопасности информационной системы.
Документация по безопасности информационной системы
(1) Защитная документация информационной системы состоит из:
а) документацию информационной системы по вопросам безопасности проекта;
b) оперативная документация информационной системы по вопросам безопасности.
(2) Документация по безопасности проекта информационной системы включает:
(a) политику безопасности информационной системы и оценку анализа рисков;
b) проект мер безопасности для различных этапов предложения по информационной системе;
c) документация для испытаний информационной системы на безопасность.
(3) Документация по эксплуатационной безопасности информационной системы включает:
(a) директиву по безопасности информационной системы, описывающую деятельность администратора системы безопасности в соответствующей информационной системе;
(b) директивы безопасности для отдельных типов пользователей информационной системы.
(4) Документация по безопасности, упомянутая в пунктах 2 и 3(а), должна классифицироваться и идентифицироваться по уровню классификации, идентичному самому высокому уровню классификации секретной информации, обрабатываемой информационной системой.
Требования к доступу к секретной информации в информационной системе
(1) Доступ к секретной информации в информационной системе может быть предоставлен только назначенному лицу, уполномоченному на такой доступ. Авторизация основана на уникальном идентификаторе пользователя в информационной системе.
(2) Доступ к секретной информации в информационной системе может быть предоставлен только тем лицам, которые обязательно нуждаются в таком доступе для осуществления своей деятельности. Такие лица должны быть уполномочены только в той мере, в какой это необходимо для осуществления их назначенной деятельности в информационной системе.
Требование ответственности за деятельность в информационной системе
(1) Пользователи информационной системы несут ответственность за выполнение своих обязательств по обеспечению безопасности информационной системы. Эти обязательства должны быть изложены в оперативной документации по безопасности информационной системы, включая определение ответственности за защиту отдельных активов информационной системы.
(2) В информационной системе роль администратора информационной системы безопасности вводится отдельно от роли администратора информационной системы.
(3) Роль администратора информационной системы безопасности включает в себя управление безопасностью информационной системы, состоящее, в частности, в распределении прав доступа, управлении информацией аутентификации и авторизации, оценке аудиторских записей, обновлении директив безопасности, подготовке отчета об инцидентах безопасности и других действиях, изложенных в оперативной документации по безопасности информационной системы.
(4) Информация о деятельности организации в информационной системе должна быть записана таким образом, чтобы нарушения или попытки безопасности в информационной системе могли быть назначены конкретному пользователю в каждой из его ролей в информационной системе. Записи хранятся в течение периода, указанного в политике безопасности информационной системы.
Запрос информации о классификационной маркировке
Засекреченная информация, которая появляется в любой форме из информационной системы, должна быть идентифицирована соответствующим уровнем классификации таким образом, чтобы обеспечить соблюдение указанного уровня конфиденциальности при любой последующей обработке этой информации.
Политика безопасности информационной системы
(1) Для каждой информационной системы политика безопасности информационной системы должна разрабатываться уже на начальном этапе ее развития. Политика безопасности информационной системы состоит из набора стандартов, правил и процедур, определяющих, каким образом должны обеспечиваться конфиденциальность, целостность и доступность секретной информации и ответственность пользователя за его деятельность в информационной системе. Принципы политики безопасности разработаны в проектной и оперативной документации информационной системы.
(2) Политика информационной системы в области безопасности должна обрабатываться в соответствии с законодательством и международными договорами, с которыми связана Чешская Республика, и политикой безопасности вышестоящего органа, если она была обработана.
(3) Международные стандартизированные спецификации безопасности 1
Требования к разработке политики информационной безопасности
Политика безопасности информационной системы формируется на основе:
а минимальные требования безопасности в области компьютерной безопасности;
b системно зависимые требования безопасности, требования пользователей и результаты анализа рисков;
c требования безопасности политики безопасности вышестоящего органа, если таковые имеются.
Минимальные требования безопасности в области компьютерной безопасности
(1) Информационная система, обрабатывающая секретную информацию уровня «Конфиденциальность» или выше, должна включать следующие минимальные функции безопасности:
(a) однозначную идентификацию и аутентификацию пользователя, которые должны предотвращать все другие действия пользователей в информационной системе и обеспечивать конфиденциальность и целостность информации аутентификации;
(b) необязательное управление доступом к объектам, основанное на различении и управлении правами доступа пользователей и личностью пользователя или его членством в группе пользователей;
(c) непрерывную запись событий, которые могут повлиять на безопасность информационной системы в аудиторских записях и безопасность аудиторских записей до несанкционированного доступа, в частности путем модификации или уничтожения. В частности, регистрируется использование информации идентификации и аутентификации, попытки изучения прав доступа, создания или нарушения объекта или деятельности авторизованных пользователей, влияющих на безопасность информационной системы,
возможность изучения аудиторских записей и определения ответственности отдельного пользователя информационной системы;
(e) обработка объектов памяти до их дальнейшего использования, в частности до назначения в другое тело, что делает невозможным определение их предыдущего содержания;
(f) защита конфиденциальности данных во время передачи по сети с необходимостью защиты секретной информации в процессе передачи между источником и целью надлежащим образом.
(2) Для обеспечения минимальных функций безопасности, указанных в пункте 1, в информационной системе реализуются идентифицируемые программные технические механизмы. Их выполнение и эксплуатационные настройки документируются таким образом, что их можно самостоятельно проверить и оценить их адекватность.
(3) Механизмы безопасности, применяющие политику безопасности информационной системы, должны быть защищены от нарушений или несанкционированных изменений на протяжении всего жизненного цикла информационной системы.
(4) В информационной системе, обрабатывающей только секретную информацию «Зарезервированного уровня», ответственность пользователя за его деятельность в информационной системе обеспечивается, и доступ к секретной информации может быть разрешен на основе принципа доступа к информации. Функции безопасности, упомянутые в пункте 1, а также меры, касающиеся персонала, административной и физической безопасности информационных систем, должны использоваться надлежащим образом.
Системно зависимые требования безопасности, вытекающие из режима эксплуатации
(1) Информационные системы могут эксплуатироваться только в одном из следующих режимов безопасности:
а) режим работы, ограниченный в плане безопасности;
b) режим эксплуатации с высоким уровнем безопасности;
c) многоуровневый режим обеспечения безопасности.
(2) Зарезервирован режим работы системы безопасности - это среда, в которой информационная система предназначена исключительно для обработки одного специализированного типа секретной информации, причем все пользователи предназначены для доступа к секретной информации самого высокого уровня, содержащейся в информационной системе, и в то же время имеют право работать со всей секретной информацией, содержащейся в информационной системе. Безопасность информационной системы, работающей в зарезервированном режиме обеспечения безопасности, обеспечивается соблюдением минимальных требований безопасности в области компьютерной безопасности, указанных в статье 10 (1) (a), (c), (d) и (f), а также мер в области административной, кадровой и физической безопасности информационных систем. Уровень мер, применяемых в этих областях, и меры по обеспечению конфиденциальности данных во время передачи должны соответствовать уровню, необходимому для наивысшего уровня секретной информации, обрабатываемой информационной системой.
(3) Операционный режим безопасности высокого уровня - это среда, которая позволяет одновременно обрабатывать классифицированную засекреченную засекреченную засекреченную засекреченную информацию, в которой все пользователи должны быть назначены для доступа к засекреченной информации самого высокого уровня, содержащейся в информационной системе, в то время как все пользователи не могут быть уполномочены обрабатывать всю засекреченную информацию. Безопасность информационной системы, работающей в оперативном режиме высокого уровня безопасности, обеспечивается соблюдением минимальных требований безопасности в области компьютерной безопасности, указанных в разделе 10, а также мер в области административной, кадровой и физической безопасности информационных систем. Уровень мер, применяемых в этих областях, и меры по обеспечению конфиденциальности данных во время передачи должны соответствовать уровню, необходимому для наивысшего уровня секретной информации, обрабатываемой информационной системой.
(4) Операционный режим многоуровневой безопасности - это среда, которая позволяет одновременно обрабатывать классифицированную засекреченную засекреченную засекреченную засекреченную засекреченную информацию в одной информационной системе, в которой все пользователи не предназначены для работы с засекреченной информацией самого высокого уровня, содержащейся в информационной системе, в то время как все пользователи не могут быть уполномочены работать со всей засекреченной информацией. Безопасность информационной системы, работающей в многоуровневом режиме безопасности, обеспечивается мерами, указанными в пункте 3, и функцией безопасности обязательного управления доступом субъектов к объектам. Уровень административной и кадровой безопасности, физической безопасности информационных систем и меры по обеспечению конфиденциальности данных при передаче определяются на основе принципа обязательного управления доступом.
(5) Функции обязательного управления доступом субъектов к объектам должны обеспечивать:
(a) постоянную связь между каждой организацией и объектом с атрибутом безопасности, который выражает организации уровень одобрения организации и уровень ее классификации для объекта;
b) защита целостности атрибута безопасности;
(c) исключительное разрешение администратора информационной системы на внесение изменений в атрибуты безопасности как субъектов, так и объектов;
d) присвоение предопределенных значений атрибутов вновь созданным объектам и сохранение атрибута при копировании объекта.
(6) При применении функции обеспечения обязательного управления доступом субъектов к объектам обеспечиваются следующие принципы:
(a) организация может считывать информацию в объекте только в том случае, если ее уровень авторизации равен или выше уровня классификации объекта;
(b) организация может вводить информацию в объект только в том случае, если уровень ее авторизации равен или меньше уровня классификации объекта;
c доступ к информации, содержащейся в объекте, возможен, если это допускается как правилами обязательного управления доступом, так и правилами необязательного управления доступом.
(7) Информационная система, работающая в многоуровневом режиме безопасности, должна иметь возможность точно указывать классификацию секретной информации, поступающей из информационной системы, и обеспечивать возможность классификации секретной информации, поступающей в информационную систему.
(8) В случае информационной системы, работающей в многоуровневом оперативном режиме безопасности и обрабатывающей секретную секретную информацию, необходимо провести идентификацию и анализ скрытых каналов. Скрытый канал означает недопустимое сообщение, посредством которого секретная информация достигает несанкционированного субъекта.
Системно-зависимые требования безопасности для компьютерной сетевой среды
(1) При передаче секретной информации по каналу связи обеспечивается конфиденциальность и целостность.
(2) Криптографическая защита является основным средством обеспечения конфиденциальности секретной информации при передаче по каналу связи.
(3) Существенным средством обеспечения целостности засекреченной информации при ее передаче по каналу связи является надежное обнаружение как намеренных, так и случайных изменений засекреченной информации.
(4) В зависимости от коммуникационной среды обеспечивается надежная идентификация и аутентификация сообщающих сторон, включая защиту информации идентификации и аутентификации. Эта идентификация и аутентификация должны предотвращать передачу секретной информации.
(5) Подключение сети, находящейся под управлением информационной системы, к внешней сети, не находящейся под управлением информационной системы, обеспечивается соответствующим интерфейсом безопасности для предотвращения проникновения в информационную систему.
Требования к доступу к секретной информации и услугам информационных систем
(1) Информационная система должна гарантировать, что запрашиваемая секретная информация доступна в определенном месте, в требуемой форме и в течение определенного периода времени.
(2) Для обеспечения безопасной работы информационной системы в политике безопасности информационной системы указываются компоненты, которые должны быть заменяемы без прерывания работы информационной системы. Должна быть дополнительно определена сфера требуемой минимальной функциональности информационной системы и указаны компоненты, для которых должна быть гарантирована минимальная функциональность информационной системы.
(3) Планирование активов информационной системы и мониторинг требований к мощности осуществляются таким образом, чтобы избежать ошибок, вызванных их дефицитом.
(4) Должен быть разработан план восстановления деятельности после аварии информационной системы. Реинтродукция информационной системы в известное безопасное состояние может быть выполнена администратором информационной системы вручную или автоматически. Вся деятельность по обновлению информационной системы, как правило, регистрируется в аудиторских документах, защищенных от несанкционированного изменения или уничтожения.
Системно зависимые требования безопасности, полученные в результате анализа рисков
(1) Для определения угроз активам информационной системы необходимо провести анализ рисков.
(2) При проведении анализа рисков определяются активы информационной системы и выявляются угрозы, влияющие на отдельные активы информационной системы. В частности, рассматриваются угрозы, которые вызывают потерю функциональности или безопасности информационной системы.
(3) После выявления угроз уязвимые точки информационной системы должны быть идентифицированы таким образом, чтобы каждая угроза была идентифицирована как уязвимая или затронутая.
(4) Анализ риска приводит к перечню угроз, которые могут угрожать информационной системе, с указанием соответствующего риска.
(5) На основе проведенного анализа рисков выбираются соответствующие контрмеры.
Возможность замены устройств компьютерной безопасности
В случае несоразмерных затрат на обеспечение функции безопасности информационной системы средства компьютерной безопасности могут быть заменены средствами кадровой или административной безопасности, физической безопасности информационных систем или организационными мерами. При замене устройств компьютерной безопасности альтернативным механизмом безопасности или группой механизмов, предназначенных для обеспечения функции безопасности, должны соблюдаться следующие принципы:
(a) функция безопасности должна быть полностью выполнена;
b) должно поддерживаться качество и уровень функции безопасности.
Требования к физической безопасности информационных систем
(1) Активы информационной системы должны размещаться в безопасной зоне, в которой обеспечивается физическая защита информационной системы от несанкционированного доступа, ущерба и воздействия. Это пространство определяется определенными элементами защиты с соответствующими средствами контроля доступа и барьерами безопасности.
(2) Актив информационной системы должен быть физически защищен от угроз безопасности и экологических рисков.
(3) Местонахождение активов информационной системы должно быть таким, чтобы не дать неуполномоченному лицу прочитать секретную информацию.
(4) Телекоммуникационная инфраструктура, передающая данные или поддерживающая услуги информационных систем, должна быть защищена от возможности захвата и повреждения передаваемой секретной информации.
(5) Физическая безопасность информационных систем дополняется мерами объектной или технической безопасности.
Защита от паразитарного излучения
(1) Компоненты информационной системы, которые обрабатывают секретную информацию, должны быть защищены от паразитного электромагнитного излучения, которое может привести к раскрытию секретной информации.
(2) Уровень безопасности зависит от уровня классификации секретной информации, обрабатываемой информационной системой.
Требования безопасности для СМИ с секретной информацией
(1) Все носители секретной информационной системы должны быть зарегистрированы.
(2) Взаимозаменяемый носитель секретной информации также идентифицируется способом, указанным для секретной информации небумажного характера.
(3) Уровень классификации взаимозаменяемой среды секретной информации, которая была классифицирована как «Совершенно секретная», не уменьшается.
(4) Уровень классификации взаимозаменяемой среды секретной информации, которая была классифицирована как «секретная», «конфиденциальная» или «зарезервированная», может быть уменьшен только в том случае, если удаление секретной информации было осуществлено способом, изложенным в пункте 5.
(5) Ликвидация секретной информации из взаимозаменяемой среды секретной информации, позволяющая снизить ее уровень классификации, осуществляется таким образом, что получение остаточной секретной информации специальными лабораторными методами и средствами невозможно или крайне затруднительно.
(6) Уничтожение среды секретной информации в информационной системе осуществляется таким образом, что она не может быть извлечена из нее каким-либо образом.
Защита секретной информации в отдельных персональных компьютерах
(1) В государственном органе или организации политика безопасности отдельных персональных компьютеров, которые обрабатывают секретную информацию, может быть разработана единообразно, в частности для управления секретной информацией через текстовые редакторы, электронные таблицы, системы баз данных с локальными базами данных или специализированные программы, установленные на отдельных персональных компьютерах.
(2) Система мер, используемых для общей защиты отдельного персонального компьютера, основана на понятии такого устройства как носитель секретной информации, классифицированной по высшему уровню секретности секретной информации, обрабатываемой отдельным персональным компьютером.
Требования к защите мобильных и портативных информационных систем
(1) Для мобильных и переносных информационных систем анализ рисков должен также оценивать риски, связанные с транспортными средствами для мобильных информационных систем и для переносных информационных систем с средами, в которых будут использоваться такие информационные системы.
(2) Защита компонента мобильной и портативной информационной системы, содержащего секретную информацию, основана на понятии такого компонента как среды классифицированной классифицированной классифицированной классифицированной классифицированной секретной информации этим компонентом.
Запрос на тестирование безопасности информационной системы
(1) Безопасность информационной системы должна быть проверена путем тестирования перед сертификацией. Тестирование проводится комиссией, члены которой не должны быть предвзятыми по отношению к информационной системе и команде разработчиков, участвуя в разработке информационной системы, имея личный интерес к результатам тестирования или связывая их с командой разработчиков с личными или рабочими и другими подобными отношениями. Засекреченная информация не используется для тестирования.
(2) Результаты испытаний должны показать, что функции безопасности полностью соответствуют политике безопасности информационной системы. Результаты испытаний должны быть документированы. Ошибки, обнаруженные во время тестирования, должны быть удалены, а их удаление проверено последующими тестами.
Требования безопасности для эксплуатируемой информационной системы
(1) Безопасность эксплуатируемой информационной системы должна постоянно проверяться и оцениваться с учетом фактического состояния информационной системы. Частичное изменение информационной системы может быть произведено только после оценки влияния этого изменения на безопасность информационной системы.
(2) Целостность программного обеспечения и секретной информации должна быть защищена от вредоносных программ.
(3) В оперативной информационной системе может использоваться только программное обеспечение, поставляемое оператором информационной системы.
(4) Программное обеспечение и секретная информация резервируются в оперативной информационной системе. Резервное копирование программного обеспечения и секретной информации должно храниться таким образом, чтобы она не могла быть повреждена или уничтожена при компрометации информационной системы.
(5) Деятельность службы в эксплуатируемой информационной системе должна быть организована таким образом, чтобы ее безопасность не была поставлена под угрозу. Средства секретной информации информационной системы, доступные в ходе служебной деятельности, удаляются, а дистанционная диагностика обеспечивается от неправомерного использования.
(6) Оценка аудиторских записей должна проводиться без промедления в момент, указанный в документации по безопасности информационной системы и при возникновении кризисной ситуации. Ревизионные записи хранятся в течение периода, указанного в документации по безопасности информационной системы.
(7) Для решения аварийной ситуации эксплуатируемой информационной системы необходимо предусмотреть меры, направленные на ее включение в документацию по безопасности информационной системы в известном безопасном состоянии. Документация по безопасности информационной системы должна включать следующие меры:
а действия, непосредственно последовавшие за кризисной ситуацией, направленные на минимизацию ущерба;
(b) действия после кризисной ситуации, направленные на разрешение последствий кризисной ситуации, включая определение личной ответственности за каждую задачу;
c) резервное копирование информационной системы;
d способ предоставления услуг;
e средства обеспечения аварийной работы информационной системы с перечнем минимальных функций, подлежащих обслуживанию;
f способ восстановления функциональности и перевода информационной системы в знакомое безопасное состояние.
(8) До уничтожения информационной системы должно быть осуществлено удаление, удаление или уничтожение секретной информации, которую обработала информационная система.
Требования безопасности персонала для работы информационной системы
(1) Пользователю информационной системы должно быть разрешено работать в информационной системе, и это разрешение должно быть изменено при изменении его роли в информационной системе или когда информационная система перестает существовать.
(2) Оператор информационной системы должен обеспечить подготовку пользователей информационной системы в соответствии с мерами, изложенными в документации по безопасности информационной системы и правильному использованию информационной системы.
Сертификация информационных систем
Порядок и способ сертификации информационной системы
(1) Заявление о сертификации информационной системы подается в Орган органом государства или организации, которая будет управлять информационной системой (далее - заявитель).
(2) Заявление, упомянутое в пункте 1, должно содержать:
а краткое описание цели и сферы применения информационной системы, включая определение ее нормальных и минимальных функций;
b классификацию секретной информации, с которой будет обрабатываться информационная система;
c установление режима работы информационной системы в области безопасности;
d) идентификация поставщика информационной системы.
(3) Ведомство составляет перечень подтверждающих документов для проверки компетентности информационной системы по обработке секретной информации (далее - "оценка") и график их представления заявителем. Для проведения оценки заявитель всегда предоставляет следующие подтверждающие документы:
политика безопасности информационной системы и результаты анализа рисков;
b) проектирование системы безопасности информационной системы;
Войдите для заметок, избранного и уведомлений
Информация об акте
| Цитирование | Постановление Управления национальной безопасности No 56/1999 Сб. о безопасности систем секретной информации, их сертификационных и сертификационных требованиях |
|---|---|
| Тип акта | Приказ |
| Автор | - |
| Сборник | Сборник законов |
| Дата опубликования | 30.03.1999 |
|---|---|
| Действует с | 30.03.1999 |
| Действует до | - |
| Статус | Действующий |
Текст нормативного акта носит информационный характер.
Комментарии 0