Файловый архив студентов. Файловый архив студентов.
1267 вузов, 4648 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Казанский национальный исследовательский технологический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ISO_IEC_17799_2000_rus.pdf
Скачиваний:
65
Добавлен:
12.03.2015
Размер:
831.27 Кб
Скачать
►Содержание►

ISO/EIC 17799:2000

9 Контроль доступа

9.1 Требования к контролю доступа в организации

Цель: Контроль доступа к информации.

Доступ к информации и процессам, происходящим в организации, должен контролироваться в соответствии с требованиями бизнеса и нормами безопасности.

При этом следует учитывать политику распространения и авторизации информации.

9.1.1 Политика контроля доступа

9.1.1.1 Политика и требования бизнеса

Необходимо определить и документировать бизнес-требования к контролю доступа. В политике следует четко определить правила контроля доступа и права каждого пользователя или группы пользователей. Пользователи и поставщики услуг должны получить четкое описание бизнес-требований, которым должны соответствовать средства контроля доступа. В политике должно учитываться следующее:

a)требования к безопасности различных бизнес-приложений;

b)идентификация всей информации, связанной с определенным бизнес-приложением;

c)политика распространения и авторизации информации, например, принцип распространения информации только среди тех сотрудников, которым она необходима, а также уровни безопасности и классификация информации;

d)согласование методов контроля доступа с правилами классификации информации в различных системах и сетях;

e)законы и условия контрактов, относящиеся к защите доступа к данным и сервисам (см. раздел 12);

f)стандартные профили доступа пользователей для основных категорий должностей;

g)управление правами доступа в распределенных и сетевых средах для всех имеющихся типов соединений.

9.1.1.2 Правила контроля доступа

При определении правил контроля доступа необходимо учитывать следующее:

a)различия между правилами, которые должны соблюдаться всегда, и правилами, которые являются необязательными или применяются лишь в определенных случаях;

b)установка правил на основе принципа «что не разрешено явно, то запрещено», а не на основе более слабого принципа «что не запрещено явно, то разрешено».

c)автоматическое изменение категорий информации в средствах обработки и изменение категорий информации по решению пользователя (см. раздел 5.2);

d)автоматическое изменение прав доступа пользователя информационной системой и изменение этих прав администратором;

e)правила, для исполнения которых требуется подтверждение администратора или другого лица, и правила, которые не требуют такого подтверждения.

© ISO/EIC 2000,

51

© Перевод компании Информзащита 2004

 
Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности