Законодательная база Российской Федерации

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ. ГОСТ Р ИСО/МЭК 17799-2005"(утв. Приказом Ростехрегулирования от 29.12.2005 N 447-ст)

Цель: предотвращение неавторизованного доступа к информационным системам.

Для контроля за предоставление права доступа к информационным системам и сервисам необходимо наличие формализованных процедур.

Необходимо, чтобы процедуры охватывали все стадии жизненного цикла пользовательского доступа от начальной регистрации новых пользователей до конечного снятия с регистрации пользователей, которым больше не требуется доступ к информационным системам и сервисам. Особое внимание следует уделять мероприятиям в отношении предоставления прав привилегированного доступа, с помощью которых пользователи могут обходить системные средства контроля.

9.2.1. Регистрация пользователей

Необходимо существование формализованной процедуры регистрации и снятия с регистрации пользователей в отношении предоставления доступа ко всем многопользовательским информационным системам и сервисам.

Доступ к многопользовательским информационным сервисам должен быть контролируемым посредством формализованного процесса регистрации пользователей, который должен включать:

- использование уникальных ID (идентификаторов или имен) пользователей таким образом, чтобы действия в системе можно было бы соотнести с пользователями и установить ответственных. Использование групповых ID следует разрешать только в тех случаях, где это необходимо, с учетом особенностей выполняемой работы;

- проверку того, что пользователь имеет авторизацию от владельца системы на пользование информационной системой или сервисов. Кроме того, может быть целесообразным наличие дополнительного разрешения на предоставление прав от руководства;

- проверку того, что уровень предоставленного доступа соответствует производственной необходимости (9.1), а также учитывает требования политики безопасности организации, например, не нарушает принципа разделения обязанностей (8.1.4);

- предоставление пользователям письменного документа, в котором указаны их права доступа;

- требование того, чтобы пользователи подписывали документ о том, что они понимают условия предоставления доступа;

- обеспечение уверенности в том, что поставщики услуг не предоставляют доступ, пока процедуры авторизации не завершены;

- ведение формализованного учета в отношении всех лиц, зарегистрированных для использования сервисов;

- немедленную отмену прав доступа пользователей, у которых изменились должностные обязанности или уволившихся из организации;

- периодическую проверку и удаление избыточных пользовательских ID и учетных записей;

- обеспечение того, чтобы избыточные пользовательские ID не были переданы другим пользователям.

Необходимо рассматривать возможность включения положений о применении соответствующих санкций в случае попыток неавторизованного доступа в трудовые договора сотрудников и контракты с поставщиками услуг (6.1.4 и 6.3.5).

9.2.2. Управление привилегиями

Предоставление и использование привилегий при применении средств многопользовательской информационной системы, которые позволяют пользователю обходить средства контроля системы или бизнес-приложения, необходимо ограничивать и держать под контролем. Неадекватное использование привилегий часто бывает главной причиной сбоев систем.

Необходимо, чтобы в многопользовательских системах, которые требуют защиты от неавторизованного доступа, предоставление привилегий контролировалось посредством формализованного процесса авторизации. При этом целесообразно применять следующие меры:

- идентифицировать привилегии в отношении каждого системного продукта, например, операционной системы, системы управления базами данных и каждого бизнес-приложения, а также категории сотрудников, которым эти привилегии должны быть предоставлены;

- привилегии должны предоставляться только тем сотрудникам, которым это необходимо для работы и только на время ее выполнения, например, предоставляя минимальные возможности по работе с системой для выполнения требуемых функций, только когда в этом возникает потребность;

- необходимо обеспечивать процесс авторизации и регистрации всех предоставленных привилегий. Привилегии не должны предоставляться до завершения процесса авторизации;

- следует проводить политику разработки и использования стандартных системных утилит (скриптов) для исключения необходимости в предоставлении дополнительных привилегий пользователям;

- следует использовать различные идентификаторы пользователей при работе в обычном режиме и с использованием привилегий.

9.2.3. Контроль в отношении паролей пользователей

Пароли являются наиболее распространенными средствами подтверждения идентификатора пользователя при доступе к информационной системе или сервису. Предоставление паролей должно контролироваться посредством формализованного процесса управления, который должен предусматривать:

- подписание пользователями документа о необходимости соблюдения полной конфиденциальности личных паролей, а в отношении групповых паролей - соблюдения конфиденциальности в пределах рабочей группы (это может быть включено в условия трудового договора, 6.1.4);

- в случаях, когда от пользователей требуется управление собственными паролями, необходимо обеспечивать предоставление безопасного первоначального временного пароля, который пользователя принуждают сменить при первой регистрации в системе. Временные пароли используются в тех случаях, когда пользователи забывают свой личный пароль, и должны выдаваться только после идентификации пользователя;

- обеспечение безопасного способа выдачи временных паролей пользователям. Следует избегать использования незащищенных (открытый текст) сообщений электронной почты или сообщений по электронной почте от третьей стороны. Пользователям необходимо подтверждать получение паролей.

Пароли никогда не следует хранить в компьютерной системе в незащищенной форме. При необходимости следует рассматривать возможности других технологий для идентификации и аутентификации пользователя, такие как биометрия (проверка отпечатков пальцев), проверка подписи, и использование аппаратных средств идентификации чип-карт, микросхем).

9.2.4 Пересмотр прав доступа пользователей

Для поддержания эффективного контроля доступа к данным и информационным услугам руководство периодически должно осуществлять формализованный процесс пересмотра прав доступа пользователей, при этом:

- права доступа пользователей должны пересматриваться регулярно (рекомендуемый период - 6 месяцев) и после любых изменений (9.2.1);

- авторизация специальных привилегированных прав доступа (9.2.2) должна осуществляться через меньшие интервалы времени (рекомендуемый период - 3 месяца);

- предоставленные привилегии должны периодически проверяться для обеспечения уверенности в том, что не были получены неавторизованные привилегии.