ГОСТ Р 56875—2016
11.6 Средства разграничения доступа
11.6.1 Средства разграничения доступа пользователей к материальным и информационным ре
сурсам предприятия должны обеспечивать:
- двухфакторную идентификацию и опознание (аутентификацию) зарегистрированных пользова
телей и при необходимости определение привязки к месту его нахождения;
- регистрацию действий пользователей по несанкционированному доступу к оборудованию и ин
формационным ресурсам предприятия и их использованию;
- исключение и включение новых пользователей и объектов доступа, а также изменение полно
мочий пользователей;
- реакцию на попытки НСД. например сигнализацию, блокировку, восстановление после НСД;
- очистку оперативной памяти и рабочих областей на магнитных носителях после завершения
работы пользователя с защищенными данными;
- контроль целостности баз данных информационных ресурсов и СРД.
11.6.2 Способы реализации СРД зависят от конкретных особенностей объектов мониторинга пред
приятия. Допускается применять следующие способы защиты и любые их сочетания:
- СРД. локализованная в программно-техническом комплексе (ядро защиты);
- СРД на уровне операционных систем, систем управления базами данных или прикладных про
грамм:
- СРД в средствах реализации сетевых взаимодействий или на уровне приложений;
- использование криптографических преобразований или методов непосредственного контроля
доступа;
- распределенная СРД;
- программная и (или) техническая реализация СРД.
- организация доступа уполномоченного лица к разрешенной информации, защищенный элек
тронной подписью.
11.6.3 СРД и средства защиты информационных ресурсов предприятия должны обеспечивать
конфиденциальность и целостность получаемой информации с учетом назначения, важности и специ
фики объектов мониторинга.
Примерами отдельных решений могут быть следующие:
- конфиденциальность и целостность передаваемой по сети информации путем криптографиче
ской обработки каждого сетевого пакета с помощью криптографических алгоритмов;
- аутентификация отдельного пользователя и реализация
индивидуальных политик доступа к заданным компьютерам, прикладным программам обработки
данных и к разделам баз данных;
- вход в защищенную сеть только для владельца легитимного криптоключа;
- выполнение требований стандартов безопасности IKE/IPsec с применением российских алго
ритмов криптографического преобразования по ГОСТ 28147. ГОСТ Р 34.10 и ГОСТ Р 34.11.
11.7 Инструменты управления и поддержки эксплуатации программно-аппаратной
платформы интегрированной интеллектуальной системы мониторинга и обеспечения
безопасности предприятия
Инструменты управления и поддержки эксплуатации ПАП ИИСМиОБП должны включать в себя
средства реализации политики безопасности VPN клиентов и шлюзов, осуществлять управление эти ми
устройствами, включая настройки сетевых интерфейсов, системы протоколирования, обеспечивать
возможность плановой замены сертификатов без прерывания цикла эксплуатации и связи, удаленного
обновления программного обеспечения.
11.8 Топология построения
Шлюзы безопасности должны обеспечивать построение любых топологических схем («звезда»,
«дерево», «полносвяэная сеть»). При необходимости реализуют схемы с повышенной надежностью,
обеспечиваемой как за счет резервирования шлюзов, так и за счет использования альтернативных
маршрутов сети. Пример такой схемы изображен на рисунке 4.
28