5.2. "Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (утв. Банком России 10.07.2020)

В данном разделе дается описание целей безопасности для среды функционирования ОО.

Цель безопасности среды-1

ОО должен применяться на доверенной совместимой вычислительной платформе, которая включает как основную ОС, так и любую другую отдельную среду выполнения, под управлением которой функционирует ОО.

Цель безопасности среды-2

Должен обеспечиваться контроль установки и, при наличии технической возможности, контроль запуска компонентов программного обеспечения автоматизированных банковских систем (автоматизированных систем) финансовых организаций.

Цель безопасности среды-3

Должна обеспечиваться защита от выполнения произвольного машинного кода.

Цель безопасности среды-4

В документации должен быть отражен запрет на использование предсказуемых идентификаторов (например, производных от имени и фамилии пользователя, совпадающих с идентификаторами в адресах электронной почты, порядковых номеров, формирование идентификаторов по единому алгоритму) или отражен механизм защиты от перебора идентификаторов (например, временные задержки или capcha после определенного количества неуспешных попыток ввода), за исключением случаев использования идентификаторов в качестве аналога собственноручной подписи.

Цель безопасности среды-5

Права на восстановление или смену необратимо утраченных аутентификационных данных должны быть предоставлены:

- администраторам безопасности ППО АС;

- администраторам ППО АС;

- иным лицам по согласованию с администратором безопасности ППО АС;

- пользователям АС только при реализации безопасных механизмов автоматизированного восстановления (например, с использованием альтернативного канала связи);

- использовать безопасные механизмы автоматизированного восстановления.

Цель безопасности среды-6

Должны быть обеспечены надлежащий источник меток времени и синхронизация по времени между компонентами ОО, а также между ОО и средой его функционирования.

Цель безопасности среды-7

В ППО должны иметься средства регистрации событий и просмотра журналов регистрации событий безопасности, обеспечивающие надлежащий учет и представление событий безопасности и сопровождающей их информации.

Цель безопасности среды-8

В ППО должны обеспечиваться защита от несанкционированного доступа к разделяемым ресурсам ОС (например, к разделяемой памяти, именованным каналам, отображаемым в памяти файлам), а также корректное использование средств синхронизации доступа к разделяемым ресурсам ОС (например, критических секций, семафоров).

Цель безопасности среды-9

Условия безопасного использования сторонних программных продуктов (например, СУБД) должны быть описаны в документации на ППО и обеспечиваться при его эксплуатации.

Цель безопасности среды-10

ОС, применяемая в ППО, должна быть настроена в соответствии с политикой безопасности организации и требованиями к параметрам конфигурации механизмов безопасности, определенным в эксплуатационной документации.

Цель безопасности среды-11

В ППО должно обеспечиваться надлежащее соблюдение условий безопасного использования информационных технологий (например, технологий виртуализации).

Цель безопасности среды-12

Должен обеспечиваться доверенный маршрут/канал передачи данных между ПО и другими компонентами ППО.