В статье собраны требования по информационной безопасности (ИБ), полученные от заказчиков и комментарии к ним

Описание требования

Реализация в Vitro

1          

Обеспечение конфиденциальности, целостности и доступности обрабатываемой в Системах информации предотвращением НСД неуполномоченных лиц в части несанкционированного доступа, копирования, предоставления, распространения, модификации, уничтожения и блокирования.

Да

2          

Доступ в Системы – многопользовательский, должна быть реализована ролевая модель разграничения доступа к данным и функциональным возможностям системы:

– обеспечение разграничения доступа всех пользователей, включая администраторов системы и администраторов безопасности к информации, обрабатываемой в Системе, 

– предоставление возможности управления списком пользователей, допущенных к обработке конфиденциального документа(ов), и предоставляемыми этим пользователям правами, например: «только чтение», «модификация», «разрешена печать» и «управление доступом к документу».

Да
Исключение: отдельного права на печать в системе нет

3          

Система аутентификации должна работать, используя механизм Windows-аутентификации, поддерживая механизм SSO в рамках используемой у Заказчика модели ресурсного леса.

Да

4          

Обеспечение категорирования ресурсов Систем по следующим типам: общедоступно, конфиденциально, коммерческая тайна и персональные данные, с присвоением соответствующим документам и содержащемся в них контенту видимых реквизитов (грифы) и невидимых пользователями меток (технических признаков).

Да
Можно настроить зонирование хранения и разный доступ в зоны и к документам в зависимости от значения атрибутов

Можно настроить присвоение штампов для файлов формата PDF

5          

Обеспечение сбора (логирования) событий безопасности, выполняющего регистрацию следующих действий администраторов и пользователей:

-         дата, время и результат входа (успешный / неуспешный / несанкционированный / отказ в доступе и т.п.) в Систему

-         создание/удаление/модификация учетных записей администраторов и пользователей и предоставление/изменение им прав доступа

-         содержание вносимых пользователями и администраторами изменений в данные, обрабатываемые в Системе, в том числе, создание, копирование, удаление и модификацию отдельных записей, документов и иных информационных сущностей.

Да

6          

Обеспечение целостности и достоверности журнала безопасности, а также сбор событий, связанных с журналом (очистка, модификация). По умолчанию доступ к журналу событий имеет только Администратор ИБ.

Да
Роль Администратора ИБ и доступ к журналу событий может быть настроен

7          

Наличие инструментария для анализа накопленной в журнале администратора безопасности информации, поиска по критериям и фильтрации событий информационной безопасности, создания собственных отчётных форм и подготовки отчётов.

Да

8          

Обеспечение возможности выгрузки журнала событий безопасности администратором безопасности в табличном виде (csv, xls, xml и т.п.).

Да

9          

Возможность формирования шаблонов отчётных форм, структура и содержание которых определяется на этапе проектирования Систем с привлечением работников Управлением информационной безопасности Заказчика.

Да

10       

Системы должны быть развернуты внутри периметра безопасности Заказчика, на оборудовании, управляемом и администрируемом работниками Заказчика.

Да

11       

Сервисы и приложения Систем должны запускаться с минимально необходимыми правами и не должны запускаться с правами администратора домена и выше.

Да

12       

Должна быть разработана «Матрица доступа» и ролевая модель на основе групп безопасности AD.

Да

13       

Все учетные данные для проверки подлинности (например, пароли/парольные фразы) должны передаваться только в зашифрованном виде с использованием стойкого алгоритма шифрования не ниже TLS 1.2 и храниться только в виде результата необратимого преобразования (хэш) алгоритмом не хуже SHA-256 (или аналогичного по стойкости) на всех компонентах Систем.

Да.

В системе Vitro-CAD передача учетных данных пользователей осуществляется по защищённым каналам связи с использованием протокола TLS версии не ниже 1.2.
Пароли пользователей не хранятся в открытом виде и сохраняются только в виде результата криптографического преобразования (хэш) с использованием стойких алгоритмов не хуже SHA-256

14       

Должна быть обеспечена возможность автоматического отключения сессии пользователя после заданного (не более 8 часов) периода неактивности пользователя.

Да.

Возможность автоматического отключения сессии пользователя после заданного (не более 8 часов) периода неактивности пользователя настраивается Администратором системы

15       

Процессы обработки персональных данных, реализуемые в рамках Систем, должны соответствовать требованиям к их обработке и защите, устанавливаемых законодательными и другими нормативными актами РФ (Федеральным законом РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных», Приказом №21 ФСТЭК от 18 февраля «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и др.), а также соответствующими нормативными документами Компании.

Да.

Система Vitro-CAD является программным средством для управления проектными данными в строительстве.

В рамках эксплуатации системы возможна обработка персональных данных пользователей (например, ФИО, учетные данные), относящихся к категории общедоступных или обычных персональных данных. При этом оператором персональных данных является организация-заказчик, которая определяет цели и состав обрабатываемых персональных данных, а также условия их обработки.

Реализация требований Федерального закона №152-ФЗ и Приказа ФСТЭК России №21 в части организационных и технических мер по защите персональных данных обеспечивается в ходе внедрения и эксплуатации системы Vitro-CAD на инфраструктуре заказчика, включая при необходимости использование аттестованных площадок и дополнительных средств защиты информации.

16       

Должна быть предусмотрена возможность оповещения администраторов ИБ при возникновении критических ошибок в системе, в том числе связанных с работой штатных механизмов защиты информации.

Да.

При необходимости можно настроить

17       

При организации порядка хранения данных в ИС обеспечить:

  1.  статическая, служебная, журнальная и конфигурационная информация, а также макеты и параметры всех документов должны храниться в базе данных;
  2. общесистемная информация (состав доступных подсистем, параметры взаимодействия подсистем), настройки пользовательского интерфейса (макет экранных форм, параметры печати) должны храниться в базе данных;
  3. трассировочная и отладочная информация хранится в файловой системе серверов ИС;
  4.  данные, участвующие во взаимодействии с Информационными ресурсами Общества, должны храниться в базе данных;
  5.  данные, участвующие во взаимодействии с внешними ресурсами, должны храниться в базе данных, расположенной в DMZ (демилитаризованная зона);
  6. журналы событий должны храниться в базе данных;
  7. должен быть предусмотрен механизм хранения журналов событий и их архивной и резервной копий на разных носителях информации.
  1. Соответствует: в базе данных хранятся статические, служебные, конфигурационные и журнальные данные. 
  2. Соответствует: общесистемная информация Vitro-CAD, а также настройки пользовательского интерфейса хранятся в базе данных и используется системой в процессе выполнения.
  3. Соответствует: трассировочная и отладочная информация хранится в файловой системе вычислительной инфраструктуры, в которой развернуты компоненты Vitro-CAD.
  4. Объем и состав сохраняемых данных взаимодействия определяется регламентом интеграции и требованиями информационной безопасности заказчика. 
  5. Взаимодействие с внешними информационными ресурсами осуществляется через выделенный интеграционный сервис Vitro-CAD (API) без выделенной БД в DMZ. Но возможность развертывания DMZ-контура предусмотрена архитектурой.
  6. Соответствует требованию, основное хранение — база данных; архив: выгрузка в отдельное хранилище (S3 / NAS); резервное копирование: отдельный носитель; отдельный контур доступа.
  7. Соответствует требованию, журналы хранятся в базе данных: audit Log 
  • No labels