При вводе в эксплуатацию программного средства должна быть обеспечена защита аппаратного и программного обеспечения программного средства от НСД. При размещении технических средств программного средства:

  • Должны быть приняты меры по исключению несанкционированного доступа к ПЭВМ/устройствам, на которых установлено программное средство, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе с указанными ПЭВМ/устройствами. В случае такой необходимости должен быть обеспечен контроль за их действиями и обеспечена невозможность негативных действий с их стороны на ПЭВМ/устройства, на которых эксплуатируется программное средство, и защищаемую информацию.
  • Должны быть приняты меры по исключению возможности доступа неавторизованного персонала к консоли, системе питания и дополнительным устройствам, подключенным к защищаемому серверу путём установки оборудования в специально выделенное и запираемое помещение (аппаратную или серверную комнату). Доступ персонала в серверную комнату должен быть регламентирован внутренним распорядком эксплуатирующей организации и должностными инструкциями.
  • Должны быть приняты меры, исключающие несанкционированное вскрытие корпусов ПЭВМ, устройств и средств, входящих в состав СФ программного средства.
  • Внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях, в которых расположены ПЭВМ с установленным программным средством, должны обеспечивать исполнителям работ сохранность доверенных им конфиденциальных документов и сведений, включая ключевую информацию.
  • Размещение программного средства в помещениях, в которых осуществляется обработка информации, содержащей сведения, составляющие государственную тайну, осуществляется установленным порядком.
  • Размещение аппаратно-программных компонентов, являющихся средой функционирования СУБД (при ее развертывании на отдельном хосте), кластеров (как виртуальных, так и физических) и программно-аппаратного криптографического модуля «КриптоПро HSM» должно выполняться в пределах одной контролируемой зоны.
  • Для исключения сбоев компьютера, вызванных отключением электропитания, необходимо обеспечить электропитание сервера от источника бесперебойного питания достаточной мощности. Как минимум, мощности батарей источника бесперебойного питания должно хватать на время достаточное для корректного автоматического завершения работы сервера.

При вводе в эксплуатацию программного средства должны быть выполнены следующие требования по обеспечению безопасности информации:

  • Для аппаратных компонентов, на которых функционирует программное средство, должны быть проведены проверки ПО BIOS на соответствие методическим документам ФСБ России в области исследований программного обеспечения BIOS.
  • При использовании СКЗИ «КриптоПро CSP» исполнения 2-Base должны быть выполнены процедуры установки и настройки средств доверенной загрузки, обладающих сертификатом ФСБ России.
  • Для программных компонентов должна быть выполнена установка, конфигурация и настройка в соответствии с требованиями документов [5]-[7].
  • При установке, конфигурации и настройке программного средства должен быть выполнен выбор криптографических алгоритмов в соответствии с правилами пользования [1] и [2].
  • Политика реализации парольной защиты информации должна обеспечивать выполнение следующих требований:
    • парольная защита должна обеспечивать разграничение доступа на следующих рубежах: при запуске ОС, при входе в BIOS, при доступе к ключевой информации, при доступе к конфигурированию и использованию функций прикладного ПО, конфигурированию и использованию функций программного средства;
    • парольная защита при запуске ОС, при входе в BIOS, при доступе к ключевой информации, при доступе к конфигурированию и использованию функций прикладного ПО, конфигурированию и использованию функций программного средства должна осуществлять с использованием независимых паролей;
    • запрещено сохранять пароли, в том числе с использованием средств ОС, прикладного ПО и программного средства. Запрещено записывать пароли, в том числе с целью облегчения процесса эксплуатации.
    • парольная защита должна обеспечивать правила задания, смены и обращения с паролями в соответствии с п.5.4 [1], [2].
    • политика парольной защиты обязательна для всех учётных записей, зарегистрированных в программном средстве;
    • при использовании СКЗИ «КриптоПро CSP» исполнения 2-Base в дополнение к парольной защите должен использоваться механизм разграничения доступа, реализуемый используемым средством доверенной загрузки.
  • При установке, конфигурации и настройке средств защиты канала (веб-сервер «cpnginx» из состава СКЗИ «КриптоПро CSP») должен быть выполнен выбор криптографических алгоритмов в соответствии с правилами пользования [1] и [2].
  • При обработке с помощью программного средства конфиденциальной информации, передаваемой по каналам связи, выходящим за пределы контролируемой территории, необходимо использовать СКЗИ сертифицированные по классу не ниже КС1 (при использовании СКЗИ «КрпитоПро CSP» исполнения 1-Base) и по классу не ниже КС2 (при использовании СКЗИ «КрпитоПро CSP» исполнения 2-Base). При этом связь должна осуществляться по волоконно-оптическим линиям связи либо должны использоваться оптические развязывающие устройства, устанавливаемые в тракт передачи информации для создания оптоволоконного фрагмента сети.
  • Для программных компонентов должна быть исключена возможность неконтролируемого использования иных криптопровайдеров (кроме СКЗИ «КриптоПро CSP»);
  • Администратор не должен иметь возможность доступа к конфиденциальной информации пользователей и операторов.
  • Администратор должен ознакомить каждого пользователя (оператора) программного средства с требованиями по безопасной эксплуатации программного средства.