Законодательная база Российской Федерации

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ. ГОСТ Р ИСО/МЭК 17799-2005"(утв. Приказом Ростехрегулирования от 29.12.2005 N 447-ст)

Цель: контроль доступа к информации.

Доступ к информации и бизнес-процессам должен быть контролируемым с учетом требований бизнеса и безопасности.

Требования к контролю доступа должны быть отражены в политиках в отношении распространения и авторизации информации.

9.1.1. Политика в отношении логического доступа

9.1.1.1. Политика и требования бизнеса

Необходимо определять и документально оформлять требования бизнеса по обеспечению контроля в отношении логического доступа. Правила контроля доступа и права каждого пользователя или группы пользователей должны однозначно определяться политикой безопасности по отношению к логическому доступу. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения требований в отношении логического доступа.

Необходимо, чтобы в политике было учтено следующее:

- требования безопасности конкретных бизнес-приложений;

- идентификация всей информации, связанной с функционированием бизнес-приложений;

- условия распространения информации и авторизации доступа, например, применение принципа "need to know" (пользователь получает доступ только к данным, безусловно необходимым ему для выполнения конкретной функции), а также в отношении категорированной информации и требуемых уровней ее защиты;

- согласованность между политиками по контролю доступа и классификации информации применительно к различным системам и сетям;

- применяемое законодательство и любые договорные обязательства относительно защиты доступа к данным или сервисам (раздел 12);

- стандартные профили доступа пользователей для типовых обязанностей и функций;

- управление правами доступа в распределенной сети с учетом всех типов доступных соединений.

9.1.1.2. Правила контроля доступа

При определении правил контроля доступа следует принимать во внимание следующее:

- дифференциацию между правилами, обязательными для исполнения, и правилами, которые являются общими или применяемыми при определенных условиях;

- установление правил, основанных на предпосылке "все должно быть в общем случае запрещено, пока явно не разрешено", а не на более слабом принципе "все в общем случае разрешено, пока явно не запрещено";

- изменения в признаках маркировки информации (см. 5.2) как генерируемых автоматически средствами обработки информации, так и инициируемых по усмотрению пользователей;

- изменения в правах пользователя как устанавливаемых автоматически информационной системой, так и определенных администратором;

- правила, которые требуют одобрения администратора или другого лица перед применением, а также те, которые не требуют специального одобрения.