ГОСТ Р ИСО МЭК 17799 (1027767), страница 13
Текст из файла (страница 13)
Особое внимание сле28дует уделять мероприятиям в отношении предоставления прав привилегированного доступа, спомощью которых пользователи могут обходить системные средства контроля.9.2.1 Регистрация пользователейНеобходимо существование формализованной процедуры регистрации и снятия с регистрациипользователей в отношении предоставления доступа ко всем многопользовательским информационным системам и сервисам.Доступ к многопользовательским информационным сервисам должен быть контролируемымпосредством формализованного процесса регистрации пользователей, который должен включать:- использование уникальных ID (идентификаторов или имен) пользователей таким образом, чтобыдействия в системе можно было бы соотнести с пользователями и установить ответственных.
Использование групповых ID следует разрешать только в тех случаях, где это необходимо, с учетом особенностейвыполняемой работы;- проверку того, что пользователь имеет авторизацию от владельца системы на пользованиеинформационной системой или сервисов. Кроме того, может быть целесообразным наличие дополнительного разрешения на предоставление прав от руководства;- проверку того, что уровень предоставленного доступа соответствует производственной необходимости (9.1), а также учитывает требования политики безопасности организации, например, не нарушает принципа разделения обязанностей (8.1.4);- предоставление пользователям письменного документа, в котором указаны их права доступа;- требование того, чтобы пользователи подписывали документ о том, что они понимают условияпредоставления доступа;- обеспечение уверенности в том, что поставщики услуг не предоставляют доступ, пока процедурыавторизации не завершены;- ведение формализованного учета в отношении всех лиц, зарегистрированных для использования сервисов;- немедленную отмену прав доступа пользователей, у которых изменились должностные обязанности или уволившихся из организации;- периодическую проверку и удаление избыточных пользовательских ID и учетных записей;- обеспечение того, чтобы избыточные пользовательские ID небыли переданы другим пользователям.Необходимо рассматривать возможность включения положений о применении соответствующихсанкций в случае попыток неавторизованного доступа в трудовые договора сотрудников и контракты споставщиками услуг (6.1.4 и 6.3.5).9.2.2 Управление привилегиямиПредоставление и использование привилегий при применении средств многопользовательскойинформационной системы, которые позволяют пользователю обходить средства контроля системы илибизнес-приложения, необходимо ограничивать и держать под контролем.
Неадекватное использованиепривилегий часто бывает главной причиной сбоев систем.Необходимо, чтобы в многопользовательских системах, которые требуют защиты от неавторизованного доступа, предоставление привилегий контролировалось посредством формализованного процесса авторизации. При этом целесообразно применять следующие меры:- идентифицировать привилегии в отношении каждого системного продукта, например, операционной системы, системы управления базами данных и каждого бизнес-приложения, а также категориисотрудников, которым эти привилегии должны быть предоставлены;- привилегии должны предоставляться только тем сотрудникам, которым это необходимо дляработы и только на время ее выполнения, например, предоставляя минимальные возможности по работе с системой для выполнения требуемых функций, только когда в этом возникает потребность;- необходимо обеспечивать процесс авторизации и регистрации всех предоставленных привилегий.
Привилегии не должны предоставляться до завершения процесса авторизации;- следует проводить политику разработки и использования стандартных системных утилит (скриптов) для исключения необходимости в предоставлении дополнительных привилегий пользователям;- следует использовать различные идентификаторы пользователей при работе в обычном режимеи с использованием привилегий.9.2.3 Контроль в отношении паролей пользователейПароли являются наиболее распространенными средствами подтверждения идентификаторапользователя при доступе к информационной системе или сервису, Предоставление паролей должноконтролироватьсяпосредством формализованного процесса управления,который долженпредусматривать:29- подписание пользователями документа о необходимости соблюдения полной конфиденциальности личных паролей, а в отношении групповых паролей — соблюдения конфиденциальности в пределах рабочей группы (это может быть включено в условия трудового договора, 6.1.4);- в случаях, когда от пользователей требуется управление собственными паролями, необходимообеспечивать предоставление безопасного первоначального временного пароля, который пользователя принуждают сменить при первой регистрации в системе.
Временные пароли используются в тех случаях, когда пользователи забывают свой личный пароль, и должны выдаваться только послеидентификации пользователя;- обеспечение безопасного способа выдачи временных паролей пользователям. Следует избегать использования незащищенных (открытый текст) сообщений электронной почты или сообщений поэлектронной почте от третьей стороны. Пользователям необходимо подтверждать получение паролей.Пароли никогда не следует хранить в компьютерной системе в незащищенной форме. При необходимости следует рассматривать возможности других технологий для идентификации и аутентификациипользователя, такие как биометрия (проверка отпечатков пальцев), проверка подписи, и использованиеаппаратных средств идентификации (чип-карт, микросхем).9.2.4 Пересмотр прав доступа пользователейДля поддержания эффективного контроля доступа к данным и информационным услугам руководство периодически должно осуществлять формализованный процесс пересмотра прав доступапользователей, при этом:- права доступа пользователей должны пересматриваться регулярно (рекомендуемый период —6 месяцев) и после любых изменений (9.2.1);- авторизация специальных привилегированных прав доступа (9.2.2) должна осуществлятьсячерез меньшие интервалы времени (рекомендуемый п е р и о д — 3 месяца);- предоставленные привилегии должны периодически проверяться для обеспечения уверенностив том, что не были получены неавторизованные привилегии,9.3 Обязанности пользователейЦель: предотвращение неавторизованного доступа пользователей к информации.Взаимодействие авторизованных пользователей является важным аспектом эффективностибезопасности.Необходимо, чтобы пользователи были осведомлены о своих обязанностях по использованиюэффективных мероприятий по управлению доступом, в частности, в отношении паролей и безопасностиоборудования, с которым они работают.9.3.1 Использование паролейПользователи должны соблюдать определенные правила обеспечения безопасности при выбореи использовании паролей.С помощью паролей обеспечивается подтверждение идентификатора пользователя и, следовательно, получение доступа к средствам обработки информации или сервисам.
Все пользователи должны быть осведомлены о необходимости:а) сохранения конфиденциальности паролей;б) запрещения записи паролей на бумаге, если только не обеспечено безопасное их хранение;в) изменения паролей всякий раз, при наличии любого признака возможной компрометациисистемы или пароля;г) выбора качественных паролей с минимальной длиной в шесть знаков, которые:1) легко запомнить;2) не подвержены легкому угадыванию или вычислению с использованием персональнойинформации, связанной с владельцем пароля, например, имен, номеров телефонов, дат рождения и т.д.;3) не содержат последовательных идентичных символов и не состоят из полностью числовыхили полностью буквенных групп;д) изменения паролей через равные интервалы времени или после определенного числа доступов и исключения повторного или цикличного использования старых паролей (пароли для привилегированных учетных записей следует менять чаще, чем обычные пароли);е) изменения временных паролей при первой регистрации в системе;ж) запрещения включения паролей в автоматизированный процесс регистрации, например,с использованием хранимых макрокоманд или функциональных клавиш;з) исключения коллективного использования индивидуальных паролей.30Если пользователи нуждаются в доступе к многочисленным услугам или бизнес-приложениям ивынуждены использовать многочисленные пароли, можно порекомендовать возможность использования одного качественного пароля (9.3.1.г) для всех сервисов, обеспечивающих разумный уровень защиты хранимого пароля.9.3.2 Оборудование, оставленное пользователями без присмотраПользователи должны обеспечивать соответствующую защиту оборудования, оставленного безприсмотра.
Оборудование, установленное в рабочих зонах, например рабочие или файловые станции,требует специальной защиты от неавторизованного доступа в случае оставления их без присмотра надлительный период. Всем пользователям и подрядчикам необходимо знать требования безопасности иметоды защиты оставленного без присмотра оборудования также, как и свои обязанности по обеспечению такой защиты, Пользователям рекомендуется:-завершать активные сеансы по окончании работы, если отсутствует механизм блокировки,например, хранитель экрана, защищенный паролем;- отключаться от мэйнфрейма, когда сеанс закончен (то есть не только выключать PC или терминал);- защищать PC или терминалы от неавторизованного использования посредством замка или эквивалентного средства контроля, например, защита доступа с помощью пароля, когда оборудование неиспользуется.9.4 Контроль сетевого доступаЦель: защита сетевых сервисов.Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым.
Этонеобходимо для уверенности в том, что пользователи, которые имеют доступ к сетям и сетевым сервисам, не компрометируют их безопасность, обеспечивая:-соответствующие интерфейсы между сетью организации и сетями, принадлежащими другиморганизациям, или общедоступными сетями;- соответствующие механизмы аутентификации в отношении пользователей и оборудования;- контроль доступа пользователей к информационным сервисам.9.4.1 Политика в отношении использования сетевых службНесанкционированные подключения к сетевым службам могут нарушать информационную безопасность целой организации. Пользователям следует обеспечивать непосредственный доступ только ктем сервисам, в которых они были авторизованы.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
