Адвокат

Требования к паролю фстэк

Охренеть. Мужики, ради бога — ограничьте свою «созидательную» деятельность защитой гостайны.

Алекс,
ситуация, когда в ходе внешнего пентеста удается получить доступ к машине админа, встречается довольно часто. Обычно мы отмечаем это в отчете как ошибку, которую может совершить любой (и я в том числе).

Но если при этом на машине этого человека присутствует файлик с паролями пользователей (редко, но бывает), мы обращаем внимание заказчика на профессиональную непригодность этого специалиста. Выводы делайте сами.

Давайте я поясню свою реплику про «созидательную» деятельность, а выводы делайте сами. Итак, вы решили записывать пароли в журнал (файлик, тетрадку и т.п.).

1. Нарушена конфиденциальность пароля, и чыеловек, ведущий журнал, получает неограниченные права на действия в защищаемой системе. Вы же не будете утверждать, что безопасник не является потенциальным нарушителем?

2. В силу п. 1 нарушен принцип неотказуемости от действий. Пользовтель никаму ничего доказывать не должен, это вам придется доказывать, что именно этот человек совершил данное нарушение.

Доказательная сила логов основана на том, что «кроме него никто этого сделать не мог — пароль-то никто больше не знает».

В вашем случае этот принцип нарушен, и придется искать дополнительные доказательства того, что нарушение совершгшил именно пользователь.

3. Появляется сложность в смене пароля. Мало того, что пользщователь не любит менять пароли, так вы еще и усложнили процедуру: он должен придти к вам, застать вас на рабочем месте, вы сгенерите ему пароль, запишете в журнал, он распишется в получении. Ntv самым вы получили дополнительные трудозатраты на ведение паролей пользователей.

4. Вследствие этого пароли пользователей в вашей системе меняются крайне редко. Правда? А это мегакосяк.

Это минусы. Плюсов не наблюдаю, если видите — расскажите (вариант «по инструкции положено» не рассматривается).

Единственное, ради чего стоит хранить НЕКОТОРЫЕ пароли — это аварийный доступ в систему в экстренной ситуации в отсутствии специалистов, которые должны штатным образом выполнить нужную операцию. Но для этого заводится отдельный «пожарный» пользователь, пароль которого хранится в сейфе в запечатанном конверте и используется только в случае крайней необходимости.

Присоединюсь к Прохожему: учите матчасть.

Средства защиты, применяемые для защиты гостайны, в обязательном порядке сертифицируются (см. положение по сертификации СЗИ, утвержденное Правительством).

BIosmart, Biolink и прочие и прочие системы биометрической аутентификации соответствующих сертификатов не имеют. Более того, РД на биометрическую сертификацию пока нет (если не ошибаюсь, НПФ «Прософт» участвовала в разработке проекта?), а сертификат по ГОСТ 51241 в данном случае за отмазку не катит.

При всем уважении к вашей компании — вы малость не по адресу..

> А то что вы базу данных с отпечатками даже не кодируете

Разве? С трудом верится. Про Прософтовсие сканеры не скажу, но все сканеры отпечатков, которые я видел, работают по одному принципу по «сырому» отпечатку строится вектор папиллярных узлов, а от вектора считается хэш. Сырой отпечаток не хранят — он на фиг никому не нужен, потому что отпечатки получаются разные, а вот вектор на них получается один и тот же. Так что в базе только хэш от этого вектора (обезличенные данные).

Источник: https://zealint.ru/trebovanija-k-parolju-fstjek

Сертификат соответствия ФСТЭК

Сертификат соответствия ФСТЭК – это дословно документ, выданный федеральной структурой ФСТЭК, подтверждающий соответствие сертифицируемого объекта требованиям нормативных российских актов. Попробуем это расшифровать на понятийном уровне, и определиться, с чем это связано и о чем идет речь.

ФСТЭК России — Федеральная служба по техническому и экспортному контролю, в функции которой включен специальный контроль в некоторых областях. ФСТЭК  в настоящее время подчинена Министерству обороны РФ.

До августа 2004 года данная служба имела другое название и подчинение. Это была Государственная техническая комиссия при Президенте РФ.

Одна из функций, которые определены ФСТЭК государством, является техническая защита информации.

К сфере деятельности сертификата соответствия ФСТЭК относятся средства защиты информации (СЗИ) без использования средств криптографии и не составляющих государственную тайну. Т.е обеспечение защиты информационной безопасности некриптографическими методами.

Продукция, подлежащая сертификации ФСТЭК

К объектам, для которых оформляется сертификат соответствия ФСТЭК, относятся следующие:

  • антивирусные программы массового использования для реализации на российском рынке (центр «РеГОСТ» сертификат ФСТЭК на программное обеспечение не оформляет);
  • межсетевые экраны ;
  • средства защиты системного и сетевого уровня (сканеры безопасности, средства мониторинга безопасности, средства защиты от несанкционированного доступа);
  • операционные системы;
  • системы управления базами данных;
  • прикладные информационные системы;
  • системы генерации паролей для доступа к информационным ресурсам;
  • электронные системы документооборота и другие.

В органах государственной власти, а также в государственных корпорациях могут применяться  только программные средства, имеющие требуемые по закону лицензии и сертификаты безопасности информации, включая сертификаты соответствия ФСТЭК.

Основным законом, который регулирует сертификацию в сфере СЗИ является Постановление Правительства РФ № 608 «О сертификации СЗИ» , введенное в действие в 1995 году.

Этот закон предписывает: обязательная сертификация и  оформление сертификата соответствия ФСТЭК предусмотрено только для продукции, относящейся к средствам защиты информации для предохранения  сведений, являющимися  государственной тайной.

Для защиты от несанкционированного доступа к конфиденциальным данным не требуется обязательный сертификат соответствия ФСТЭК или Декларация соответствия на СЗИ. В этом случае оценка соответствия СЗИ является  добровольной.

Система сертификации ФСТЭК

ФСТЭК (ранее Правительственная комиссия) создала Систему сертификации средств защиты информации по требованиям безопасности информации, которая  имеет Свидетельство № Р0СС RU.0001.01БИ00 и зарегистрирована в Государственном реестре в 1995 году.

Органы сертификации данной системы производят оценку соответствия СЗИ на основе Руководящих документов (РД) «Защита от несанкционированного доступа к информации». Данные документы разработаны на разные группы продуктов, относящихся к программному, техническому обеспечению, к автоматизированным системам в целом.

Во всех документах имеется показатель — Оценочный уровень доверия (ОУД). Он  введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187. ОУД характеризует уровень доверия к практическому исполнению требований по защите информации.

Классы защищенности изделий

Для защиты информации, значимость которой определяется градацией «секретность/конфиденциальность», установлены следующие классы защищенности изделий Информационных Технологий (ИТ):

  • четвертый класс защищенности изделий ИТ является достаточным для защиты конфиденциальной информации;
  • третий класс защищенности используется для  защиты информации с грифом «Секретно»;
  • второй класс — с грифом «Совершенно секретно»;
  • первый класс используется для защиты информации с грифом «Особой важности».

Сертификат соответствия ФСТЭК содержит сведения: на основе каких нормативных документов происходило  изготовление продукции, содержащей СЗИ и соответствует ли конечный товар требованиям, изложенным в указанном нормативном акте. Здесь же указывается класс защищенности продукта по классификации уровня контроля отсутствия недекларированных возможностей.

Сертификат соответствия ФСТЭК также содержит сведения о сертификационных испытаниях, об экспертном заключении и о лаборатории, где проходили лабораторные исследования с указанием, когда и кем был выполнен инспекционный контроль данной сертификационной лаборатории.

Процедура получения сертификата соответствия ФСТЭК

Сертификационные лаборатории для оформления сертификата соответствия ФСТЭК могут проводить целый ряд различных испытаний:

  • на соответствие требованиям, связанным с защитой от неразрешенного доступа к информации;
  • на соответствие требованиям Технических условий;
  • на соответствие функциональных возможностей, которые реально имеются у исследуемого продукта описаниям, указанным в документации на эксплуатацию;
  • на соответствие декларируемой безопасности исследуемого товара;
  • на отсутствие возможностей, которые не указаны в документации, и связанные с безопасностью информации будущего пользователя;
  • на соответствие требованиям стандартов предприятий, международным стандартам в сфере СЗИ;
  • исследование датчиков случайных чисел на соответствие криптографическим требованиям и другие исследования.

 Федеральный Закон «О персональных данных»

Приказ ФСТЭК N 58 ввел в действие  5 февраля 2010 года Положение, определяющее способы и методы защиты информации о персональных данных в различных в информационных системах . В нем указано, что СЗИ должны пройти сертификацию  в установленном порядке.  Но такого документа, установленного  Президентом или Правительством РФ, пока не издано.

Тем не менее поставщики информационных систем, которые могут попасть под действие ФЗ № 152 «О персональных данных», стремятся получить Сертификат соответствия ФСТЭК, который подтверждает, что заказчики информационной системы, имеющей данный документ, защищают  информацию о персональных данных от  несанкционированного доступа по требованиям закона.

Добровольный сертификат ФСТЭК

Добровольный сертификат на СЗИ можно оформить не только как сертификат соответствия ФСТЭК, но и обратиться в другие системы сертификации. К ним относятся:

  • Система добровольной сертификации «Газпромсерт». Данная система создана ОАО «Газпром» для нужд своей корпорации.  В некоторых случаях при проведении тендеров на поставки требуется от участника получить сертификат соответствия в данной системе.
  • Система добровольной сертификации «АйТиСертифика» создана ассоциацией «ЕВРААС».

Остались вопросы по оформление сертификата или разрешительного документа? Получите полную информацию о сроках, стоимости и особенностях получения документа у специалистов Центра сертификации РеГОСТ.

Источник: http://regost.ru/sertifikat-sootvetstviya-fstek/

Инструкция по организации парольной защиты в информационной системе персональных данных — Инфекционная больница ЕАО

Приложение №1 к Инструкции Карточка паролей

1. Общие положения

1.1. Настоящая Инструкция разработана на основании «Специальных требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденных приказом Гостехкомиссии России от 30.08.

2002 и Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119, «Положением об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных ОГБУЗ «Инфекционная больница» и других нормативно-правовых актов регулирующих обработку персональных данных в автоматизированных системах. 1.2. Инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах персональных данных (далее – ИСПДн), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями. 1.3. Требования настоящей инструкции являются обязательными для исполнения всеми пользователями ИСПДн, а также другими сотрудниками, использующими в своей работе средства вычислительной техники. 1.4. Весь личный состав должен быть ознакомлены с требованиями Инструкции под роспись. 1.5. Контроль за выполнением требований Инструкции возлагается на ответственного за обеспечение безопасности персональных данных.

1.6. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам защиты информации и не исключает обязательного выполнения их требований.

2. Организация парольной защиты

2.1.

Парольная защита применяется для решения следующих задач: — обеспечение защиты информационных ресурсов информационных систем персональных данных от непреднамеренного воздействия, несанкционированного воздействия, разглашения, утечки, а также хищения, утраты, уничтожения, искажения или подделки за счет специальных воздействий. — предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок. — защита информации ограниченного распространения (защита персональных данных).

2.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ИСПДн и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на ответственного за обеспечение безопасности персональных данных.

3. Требования, предъявляемые к паролю

3.1.

Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями системы самостоятельно с учетом следующих требований: — пароль сотрудником выбирается самостоятельно (при самостоятельном выборе пароля пользователем); — пароль должен знать только его владелец (при самостоятельном выборе пароля пользователем); — пароль сотрудник вводит собственноручно (при самостоятельном выборе пароля пользователем); — длина пароля должна быть не менее 6 символов; — должна быть соблюдена сложность пароля (в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры); — пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.); — при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях; — личный пароль пользователь не имеет права сообщать никому. 3.2. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 90 дней. 3.3. В случае компрометации личного пароля пользователя ИСПДн должна быть немедленно произведена внеплановая смена пароля в присутствии ответственного за обеспечение безопасности персональных данных. 3.4. Хранение сотрудником значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за обеспечение безопасности персональных данных или начальника отдела в опечатанном личной печатью пенале (возможно вместе с персональными идентификаторами). 3.5. В случае генерировании пароля и его централизованном распределении пароль выдается под роспись в «Карточке паролей». Форма «Карточки паролей» приведена в приложении №1 к Инструкции. «Карточка паролей» должна хранится в сейфе у ответственного за обеспечение безопасности персональных данных.

3.5. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность (руководителей подразделений), периодический контроль — возлагается на ответственного за обеспечение безопасности персональных данных.

4. Ответственность

4.1. Пароль является служебной тайной, и каждый сотрудник несет ответственность за сохранность в тайне собственного пароля в соответствии с действующим законодательством.
4.2.

В случае генерировании пароля и его централизованном распределении ответственность за сохранность пароля несут ответственный за обеспечение безопасности персональных данных и пользователь, которому выдан пароль.

Источник: http://www.ib79.ru/document5

Об авторе

Здравствуйте! На страницах своего журнала я собираю интересную и любопытную информацию из разных источников в интернете, обрабатываю, проверяю и выкладываю. Если вы видите ошибки и неточности, то напишите о них в комментариях, в группе ВК или Одноклассниках. Также, я всегда отвечу на любые вопросы. Задавайте их на соответствующей странице вверху сайта.