1. Общие сведения
Требования к защите информации от несанкционированного
Download 1.06 Mb. Pdf ko'rish
|
Техническое задание IT программироавние
|
4.1.9. Требования к защите информации от несанкционированного
доступа В автоматизированной системе для обеспечения защиты информации от несанкционированного доступа на уровне программного обеспечения должны быть реализованы следующие функции: ● Аутентификация пользователей; ● Управление доступом пользователя к данным и режимам работы системы; ● Аудит действий пользователя и администратора; Функция аутентификации пользователей предназначена для проверки данных подключающихся к системе пользователей и регистрации подключения. Аутентификация пользователей (администраторов) будет осуществляться вводом логина и пароля. Функция управление доступом пользователя к данным и режимам работы системы должна программным способом регулировать доступ пользователя к информации в базе данных и доступ пользователя к функциям, выполняемым системой, путем распределения прав доступа пользователей к отдельным режимам работы и предоставления прав доступа к информации системы по критериям, устанавливаемым администратором системы. Функция аудита должна обеспечивать протоколирование в системе всех выбранных администратором действий для выбранного администратором пользователя. Исполнитель внедряет систему администрирования пользователей, с использованием ролевого разграничения прав доступа пользователей и администраторов к автоматизированной системе в соответствии разработанной матрице доступа. Матрицей доступа является отношение множества бизнес-ролей пользователей системы к набору ее бизнес-функций (операций, отчетов, данных и др.). Исполнитель должен разработать отдельную роль, позволяющую получить доступ без возможности изменения ко всем настройкам и данным автоматизированной системы и протоколирования информации. Автоматизированная система должно ограничивать одновременных параллельных подключений уникального пользователя с разных устройств, местоположений и клиентских программ. Также автоматизированная система должно ограничить максимальное число параллельных сеансов с базой данных, предоставляемых одному и тому же пользователю базы данных, одним потоком. Аудиторские записи, генерируемые как результат отслеживания запросов, вводов, привилегий или объектов, нужно помещать в аудиторскую таблицу базы данных. Администратор автоматизированной системы обязан контролировать рост аудиторского журнала и его размер. Аудиторские записи необходимо хранить как минимум за 3 (три) года. Права на удаления старых данных должен быть только у администратора автоматизированной системы. Все остальные действие должны происходить только с правами записи и чтения. В автоматизированной системе ни у кого не должно быть прав на обновления данных аудиторской таблицу. Аудиторский журнал необходимо резервировать и хранить дубликат на удаленном хранилище данных. Download 1.06 Mb. Do'stlaringiz bilan baham: 
|