|
Автоматизированная
система в целом должна обеспечивать защиту от несанкционированного доступа (далее
- НСД) и разделение доступа к функциям и данным в соответствии с ролевой
моделью (матрицей доступа) пользователей, а также защиту от некорректного
использования функций системы и ввода недопустимых данных.
В ходе
разработки системы должна быть проведена категоризация обрабатываемой в ней
информации и определены соответствующие требования по защищенности в
зависимости от уровня конфиденциальности в соответствии с действующими
требованиями
Должна
предусматриваться возможность использования сертифицированных средств
криптографической защиты информации (СКЗИ), межсетевых экранов (МЭ), а также
иных программных и аппаратных средств защиты информации (СЗИ). Разработка и поставка
СЗИ в рамках настоящего ТЗ не предусматривается, соответствие программной и
аппаратной среды, в которой размещается программное обеспечение системы,
требованиям по защите информации обеспечивается Заказчиком.
При получении запросов от
клиентских приложений на доступ к любым веб-интерфейсам и ресурсам системы должна осуществляться проверка прав пользователя на получение соответствующих
данных. Проверка должна включать два этапа:
1)
Аутентификацию -
сопоставление предъявленных пользователем уникального идентификатора (логина) и
соответствующего ему пароля с учетными записями зарегистрированных
пользователей, хранящимися в информационной базе системы.
2)
Авторизацию -
сравнение набора прав, присвоенных учетной записи аутентифицированного
пользователя с требуемыми для доступа к запрошенному ресурсу, функции, интерфейсу,
информационному объекту.
Недопустимо возникновение ситуации, при которой существует
возможность получить доступ к компоненту или функции системы, минуя
авторизацию. В случае если пользователем не предъявлен логин и пароль, или они не соответствуют ни одной учетной записи, пользователь
должен рассматриваться как анонимный. Анонимный пользователь должен
аутентифицироваться специальной системной учетной записью с фиксированным набором
прав, позволяющим реализовать открытый доступ к определенным ресурсам.
Программное обеспечение системы не должно допускать
возможности использования косвенного доступа к объектам и данным. Не должно
быть возможности получения содержимого закрытого информационного объекта путем
вызова открытых функций системы с указанием адреса закрытого источника.
В том случае, если предусматривается механизм смены пароля
для пользователей, при смене пароля в обязательном порядке должно запрашиваться
его предыдущее значение. При использовании механизма отсылки по электронной почте
забытого пароля должна осуществляться проверка на соответствие учетной записи и
электронного адреса.
Все пароли в системе должны храниться в зашифрованном виде
или в виде хэша. Не допускается хранение паролей в тексте процедур или функций.
Система не должна предоставлять неавторизованным
пользователям возможности получать список идентификационных записей (логинов),
применяемых в системе.
Система должна обеспечивать журналирование (аудит) всех
прикладных операций, требующих авторизации, а также успешных попыток
аутентификации с регистрацией времени события, запрошенного компонента и
функции, результатов выполнения события.
Все параметры, получаемые серверной частью системы через ее
веб-интерфейсы, должны проверяться на соответствие типам, размерам, допустимым
диапазонам значений.
Проверка параметров на
соответствие должна осуществляться как на клиентской стороне (например,
посредством встроенных в веб-страницы сценариев), так и на серверной стороне. При
этом проверка на серверной стороне является основной и должна обеспечивать
гарантированное предотвращение несанкционированного доступа или сбоев системы в
результате отправки значений параметров, несоответствующих по типу, составу или
размеру. Проверка на клиентской стороне является вспомогательной и должна
обеспечивать защиту от случайных ошибок добросовестного пользователя, исключая
отправку ошибочных данных на серверную сторону.
Система должна контролировать получаемую информацию на
предмет отсутствия вредоносного для нее или других пользователей системы
программного кода и управляющих последовательностей. В частности, должна
предотвращаться возможность внедрения в тело сообщений, предназначенных для
публичного просмотра, какого-либо вредоносного кода. Механизм, обеспечивающий
недопущение вредоносных компонентов должен действовать не по принципу
исключения данных, соответствующих некоторым образцами или значениям, а по
принципу исключения всех данных, не соответствующих разрешенным значениям или
образцам. При этом следует проводить преобразование служебных символов в
безопасный код, обеспечивающий их отображение на стороне клиента.
При разработке системы должны быть определены возможные
типы ошибок и механизмы обработки аварийных ситуаций. При возникновении ошибок
или аварийных ситуаций, система должна выдавать пользователям сообщение об
этом, не указывая при этом никаких дополнительных данных (например, отладочной
информации, дампов памяти и т.п.). Сообщение об ошибке не должно содержать
информации об архитектуре и внутренней структуре системы.
Определенные типы ошибок должны регистрироваться в журналах
сбоев. Состав регистрируемых ошибок должен быть определен на стадии
технического проектирования.
| 
