Требования к доверенной третьей стороне в интегрированной информационной системе Евразийского экономического союза.

Презентация:

Advertisements

Похожие презентации

ЛЕКЦИЯ 7 Обеспечение безопасности корпоративных информационных систем.

Advertisements

Основные принципы защиты информации в компьютерных системах. Антонова И.М. гр. И-411.

Лекция 5 - Стандарты информационной безопасности распределенных систем 1. Введение 2. Сервисы безопасности в вычислительных сетях 3. Механизмы безопасности.

Стандарты по оценке защитных систем. стандарты и спецификации двух разных видов: оценочные стандартов, направленные на классификацию информационных систем.

1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.

Модель угроз безопасности персональных данных при их обработке в информационных системах АПЭК Выполнил студент Группы 11 инф 112: Сотников П.В. Проверил.

Организация компьютерной безопасности и защита информации автор: Чекашов а Ирин а 10А учитель: Антонова Е.П год.

Информационная безопасность электронного города. Угрозы информационной безопасности электронному городу.

1.7 Лекция 7 - Административный уровень обеспечения информационной безопасности.

8.4. Функциональные требования к IT-продукту. Требования, приведенные в "Федеральных критериях", определяют состав и функциональные возможности ТСВ. Требования,

Корт С.С., СПбГПУ. Приказ ФСТЭК России от Отсутствие требований по применению сертифицированных средств защиты Изъятие требований по лицензированию.

ЛАБОРАТОРНАЯ РАБОТА 3 РАЗРАБОТКА ДОЛЖНОСТНОЙ ИНСТРУКЦИИ АДМИНИСТРАТОРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Студент группы 4731 Смуров Александр Владимирович.

Опыт разграничения компетенции и ответственности между отделами ИС, ТО, РСиБИ и аутсорсером в УФК по Брянской области Нач. отдела ИС Любимов В.А.

ОСНОВНЫЕ НАПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ УКРЕПЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СОЮЗНОГО ГОСУДАРСТВА. Горбач Александр Николаевич Оперативно-аналитический.

Как выполнить требования регуляторов по защите среды виртуализации в государственных информационных системах и при обработке персональных данных ИНФОФОРУМ-2013.

Москва, март 2006 г. 1 Формирование Российской национальной инфраструктуры открытых ключей ( PKI, Public Key Infrastructure )

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.

Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.

ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ. ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ (ЭЦП) – ЭТО реквизит электронного документа, полученный в результате криптографического преобразования.

Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»

Транксрипт:

Требования к доверенной третьей стороне в интегрированной информационной системе Евразийского экономического союза

Функциональная схема ИИС ЕАЭС

Функциональные требования к ДТС осуществление легализации (подтверждение подлинности) электронных документов и электронных подписей субъектов информационного взаимодействия в фиксированный момент времени обеспечение гарантий доверия в международном (трансграничном) обмене электронными документами обеспечение правомерности применения электронных подписей в исходящих и (или) входящих электронных документах в соответствии с законодательством государств-членов и актами ЕАЭС

Базовые сервисы служба доверенного времени служба проверки подлинности ЭП службы реализации политик безопасности службы каталогов сертификатов служба OCSP центры атрибутирования служба архивирования электронных документов

Общи е Требования к информационной безопасности ДТС Сервис доверия должен обеспечивать безопасную обработку персональных данных При функционировании сервиса доверия должны гарантироваться конфиденциальность и целостность данных пользователей При функционировании сервиса доверия должны реализовываться надлежащие технические и организационные меры для управления угрозами безопасности

В случае возникновения при функционировании сервиса доверия нарушений безопасности необходимо уведомить компетентный орган в области информационной безопасности не позднее, чем через 24 часа после того, как о нарушениях стало известно Сервис доверия должен нести ответственность за любые прямые убытки, вызванные ненадлежащим выполнением обязанностей В части безопасности информации национальные требования, применимые к квалифицированным сервисам доверия, должны быть согласованы с требованиями, учрежденными в государственном объединении

Основные разделы Требований к информационной безопасности ДТС I.Требования к программному обеспечению ДТС Программное обеспечение ДТС: - не должно содержать средств, позволяющих модифицировать или искажать алгоритмы работы; - должно использовать только документированные функции операционной системы, не должно содержать известных уязвимостей; - должно обеспечивать разграничение доступа системного администратора, оператора и пользователей, к информации, обрабатываемой в ДТС, на основании правил разграничения доступа, заданных системным администратором; - исходные тексты должны пройти проверку на отсутствие недекларированных возможностей; - должен применяться механизм, обеспечивающий очистку оперативной и внешней памяти, используемой для хранения информации ограниченного доступа; - должен применяться механизм, обеспечивающий устойчивость к компьютерным атакам из внешних сетей.

II. Требования к аппаратным средствам ДТС: Проводится проверка (совместно с анализом программного кода BIOS) реализации целевых функций ДТС на основе системы тестов для аппаратных средств ДТС, с целью исключения негативных функциональных возможностей. Проводится оценка параметров надежности функционирования аппаратных средств. III. Требования к целостности: Средства ДТС должны содержать механизм контроля случайного или преднамеренного искажения информации, программных средств и аппаратных средств до загрузки операционной системы. IV. Требования к управлению доступом: В ДТС должен обеспечиваться дискреционный принцип контроля доступа и должно быть обеспечено создание замкнутой рабочей среды.

V. Требования к защите данных: ДТС должна обеспечивать передачу данных, содержащих информацию ограниченного доступа, способом, защищенным от НСД, должен быть реализован механизм защиты данных при передаче их между физически разделенными компонентами на основе криптографических средств. VI. Требования к регистрации событий Базовая операционная система средств ДТС должна поддерживать ведение защищенного журнала аудита системных событий и событий, связанных с выполнением ДТС своих функций. VII. Требования к резервному копированию: Средства ДТС должны реализовывать функции резервного копирования и восстановления, должны быть приняты меры обнаружения несанкционированных изменений сохраненных данных; должны быть определены требования ко времени восстановления. VIII. Требования к формату сертификатов ДТС должна использовать квалифицированные сертификаты.

IX. Требования к средствам ЭП ДТС должна использовать средства ЭП класса – КВ2, реализуемые на основе доверенного вычислительного устройства, имеющего средства отображения результатов создания/проверки ЭП. X. Требования к криптографическим стандартам ДТС должна использовать криптографические средства в которых реализуются отечественные стандарты - ГОСТ Р «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», ГОСТ Р «Информационная технология. Криптографическая защита информации. Функция хэширования», для криптографических средств обеспечения режима конфиденциальности информации ограниченного доступа - ГОСТ «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

Класс защиты ДТС национального сегмента Российской Федерации КВ2