Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;
– управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;
– разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование доступа;
– требования к формальной авторизации прав доступа;
– требования к периодическому пересмотру управления доступом;
– аннулирование прав доступа;
– архивирование записей
– роли привилегированного доступа.
При разработке правил разграничения доступа необходимо учесть следующее:
– установление правил на основании предпосылки «Запрещено все, что не разрешено» вместо «Разрешено все, что не запрещено»;
– изменения информационных меток, инициированные автоматически средствами обработки информации и по усмотрению пользователя;
– изменения пользовательских разрешений, инициированные автоматически ИС и администратором;
– наличие правил, требующих определенного утверждения перед введением в действие и не требующих.
Правила разграничения доступа должны поддерживаться формальными процедурами и определять ответственности.
Разграничение ролевого доступа является тем подходом, которым пользуются многие организации для связывания прав доступа с бизнес-ролями.
Два общепризнанных принципа правил разграничения доступа:
– знание: наличие доступа только к информации, необходимой для выполнения задач (разные задачи/роли означают разную потребность знаний и следовательно разный профиль доступа);
– использование: наличие доступа только к средствам обработки информации, необходимым для выполнения задачи/работы/роли (ИТ оборудование, приложения, процедуры, кабинеты).
Доступ к сетям и сетевым сервисам
Меры и средства
Пользователям должен предоставляться доступ к сетям и сетевым сервисам, когда они имеют официальные полномочия на это.
Рекомендации по реализации
Следует сформулировать политику использования сетей и сетевых услуг.
В политике необходимо рассмотреть:
– сети и сетевые услуги, к которым разрешен доступ;
– процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ;
– процедуры и средства управления по защите доступа к сетевым подключениям и сетевым услугам;
– средства доступа к сетям и сетевым услугам (например, VPN или беспроводной сети);
– требования пользовательской аутентификации для доступа к разным сетевым сервисам;
– мониторинг использования сетевых сервисов.
Политика использования сетевых сервисов должна
Неавторизованные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Такой контроль очень важен для сетевых подключений к чувствительным и критичным бизнес-приложениям или к пользователям в местах повышенного риска, например, публичных или удаленных регионах, находящихся вне зоны контроля и управления ИБ организации.
5.2. Управление доступом пользователей
Цель: Обеспечить авторизованный доступ пользователей и предотвратить неавторизованный доступ к системам и сервисам.
Управление доступом пользователей обеспечивают следующие мероприятия:
– регистрация и ее отмена;
– предоставление доступа;
– пересмотр прав доступа;
– удаление или изменение прав доступа.
Управление доступом пользователей обеспечивает также управление следующим:
– правами привилегированного доступа;
– паролями.
Регистрация и ее отмена
Меры и средства
Формальный процесс регистрации пользователя ее отмены должен быть внедрен для предоставления прав доступа.
Рекомендации по реализации
Процесс управления идентификаторами пользователя должен включать:
– использование уникальных идентификаторов пользователя, позволяющих отследить их действия и ответственность за них; использование распространенных идентификаторов должно быть разрешено только в случае оперативной или бизнес-необходимости, задокументировано и утверждено;
– немедленную деактивацию или удаление идентификаторов пользователя после его увольнения;
– периодическую идентификацию и деактивацию или удаление ненужных идентификаторов пользователя;
– гарантию того, что деактивированные идентификаторы не достались другим пользователям.
Разрешение или запрет доступа к информации и средствам ее обработки состоит из следующих двух этапов:
– создание и активация или деактивация идентификатора пользователя;
– активация или деактивация прав доступа идентификатора пользователя.
Предоставление доступа
Меры и средства
Формальный процесс предоставления доступа должен быть внедрен для назначения или отмены прав доступа для всех типов пользователя во всех системах и сервисах.
Рекомендации по реализации
Процесс предоставления доступа должен включать:
– получение полномочий от собственника ИС или сервиса для их использования;