3.1.5. Требования по обеспечению информационной безопасности

Для защиты информации, находящейся под управлением в модуле, от несанкционированного доступа, должны использоваться следующие средства:

- идентификация пользователя средствами ЕСИА (при доступе к ресурсам ТОР КНД);

- процедуры аутентификации на основе OAuth2 и Open ID Connect;

- идентификация пользователя встроенными средствами идентификации операционной системы или другими системными средствами - ПК или устройства (при отсутствии доступа к ТОР КНД);

- проверка полномочий пользователя средствами модуля при применимости;

- разграничение доступа пользователей на уровне задач и информационных массивов к общедоступной и конфиденциальной информации на основании ролевой модели (RBAC и/или ABAC) средствами модуля при применимости;

Программные и/или аппаратные средства, используемые для наложения и проверки электронной подписи, должны иметь сертификат соответствия ФСБ России на соответствие требованиям к средствам компьютерной защиты информации для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну. Функционал использования электронной подписи должен удовлетворять требованиям ГОСТ Р 34.10-2012.

Используемые средства защиты информации должны удовлетворять требованиям нормативно-правовых актов Российской Федерации, включая требования ФСТЭК (Гостехкомиссии) России и ФСБ России.