Защита от несанкционированного доступа в ПК "Учет.Анализ.Управление"
Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности и безопасного межсетевого взаимодействия для информационных систем 2 и 3 класса применительно к программному комплексу «Учет. Анализ. Управление» обеспеченные разработчиком и обеспечиваемые непосредственно оператором в соответствии с Приложением к Положению о методах и способах защиты информации в информационных системах персональных данных.
По пунктам Приложения:
2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:а) управление доступом:
идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
Реализована идентификация и проверка пользователя на уровне платформы. Вход в систему возможен для определенного списка пользователей по паролям. Пароль устанавливается для каждого пользователя в режиме конфигуратора. Ограничение доступа пользователей в режим конфигуратора с функциями администрирования, в том числе на изменение списка пользователей и их паролей, обеспечивается правами пользователя. Администрирование разрешено пользователям с правами «Администратор», «Разработчик» и «Главный бухгалтер».
Оператору необходимо контролировать список пользователей, их пароли, а также использование флага «Отключить контроль прав» (его использование в процессе работы после окончания работ по установке и отладке недопустимо).
б) регистрация и учет: регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы;
Регистрация входа/выхода производится в журнале регистрации.
Параметры, регистрируемые в журнале: дата, время, пользователь, событие, комментарий (компьютер, с которого осуществлен вход, либо открытый отчет), объект (документ), действие над которым произведено).
Попытка неудачного входа регистрируется в журнале регистрации двумя последовательными строками (вход и выход) без специальной отметки.
Оператору необходимо принять меры по периодическому сохранению файла 1cv7.mlg каталога SYSLOG.
учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета;
Прямые функции Оператора.
в) обеспечение целостности: обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;
Целостность системы защиты от несанкционированного доступа в части идентификации и проверки подлинности пользователя проводится в автоматическом режиме в момент входа в программный комплекс.
Для предотвращения нарушения функций идентификации и проверки подлинности пользователей необходимо принять меры по ограничению доступа на изменение (переименование, перенос, уничтожение) файла users.usr в каталоге usrdef функциями операционной системы.
При отсутствии данной системы, вход в программный комплекс без настройки невозможен.
физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;
Прямые функции Оператора.
периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;
Прямые функции Оператора. Тестирование попытки несанкционированного доступа производится вручную.
наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.
Восстановление (изменение, добавление и удаление элементов) списка пользователей и их паролей производится в режиме конфигуратора пользователями, указанными в п. 2.1.а. Ввиду того, что описываемая компонента защиты является встроенной функцией самой платформы, копия списка пользователей и их паролей сохраняется при создании архивной копии базы (usrdef\ users.usr в списке сохраняемых файлов). Хранение отдельной копии списка пользователей нерационально, ввиду того, что он полностью соответствует перечню лиц, допущенных к базе, и утвержденный приказом по предприятию.
Система защиты от несанкционированного доступа, обеспеченная разработчиком, единая для одно- и многопользовательского режимов (п.2.2. и 2.3. приказа)
Для многопользовательских вариантов (в данном случае рассматривается и однопользовательская система, с попеременным использованием несколькими лицами) система «Учет-Анализ-Управление» на уровне конфигурации обеспечивает разграничение прав доступа различным категориям пользователей. Запрет доступа к объектам системы производится в регистре правил «Контроль доступа» в соответствии с категорией пользователя (также присваивается в регистре правил «Категории пользователей»). Корректировка указанных регистров доступна лицам, указанным в комментарии к п. 2.1.
Для информационных систем 2 класса применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса (по тексту пп 3.1., 3.2. и 3.3 Приказа).
Применение средств межсетевого экранирования (межсетевых экранов), обеспечивающие безопасное межсетевое взаимодействие для информационных систем 3 класса (п.2.4. Приказа) и 2 класса (п.3.4. Приказа) при их подключении к сетям международного информационного обмена, а также для распределенных информационных систем при их разделении на подсистемы обеспечивается Оператором и в компетенцию Разработчика не входят.
Защита информационных систем 1 класса не рассматривается, так как программный комплекс «Учет.Анализ.Управление» не предназначен для обработки персональных данных соответствующего типа.