ISO/EIC 17799:2000
9.2 Управление доступом пользователей
Цель: Предотвратить несанкционированный доступ к информационным системам.
Необходимо разработать официальные правила распределения прав доступа к информационным системам и сервисам.
Эти правила должны охватывать все этапы цикла пользовательского доступа, от первоначальной регистрации новых пользователей до окончательного удаления регистрационных данных тех пользователей, которым больше не требуется доступ к информационным системам и сервисам. При необходимости следует уделить особое внимание контролю над распределением привилегированных прав доступа, которые позволяют обходить реализованные меры защиты.
9.2.1 Регистрация пользователей
Необходимо разработать официальную процедуру регистрации и удаления регистрационных данных пользователей, которая будет использоваться для предоставления доступа ко всем многопользовательским информационным системам и сервисам.
Доступ к многопользовательским информационным сервисам должен контролироваться с помощью официального процесса регистрации пользователей, который должен включать в себя следующее:
a)использование уникальных пользовательских идентификаторов для того, чтобы каждого пользователя можно было установить и персонально привлечь к ответственности за совершенные действия. Разрешать использование групповых идентификаторов можно только в том случае, если они подходят для выполняемой задачи;
b)проверка того факта, что пользователь имеет разрешение владельца системы на использование данной информационной системы или сервиса. В дополнение к этому может потребоваться отдельное подтверждение прав доступа от руководства;
c)проверка того факта, что уровень доступа подходит для выполняемой задачи (см. раздел 9.1) и соответствует принятой в организации политике безопасности, например, не нарушает принципа разделения полномочий (см. раздел 8.1.4);
d)предоставление пользователям письменного описания их прав доступа;
e)требование к пользователям подписать заявление о том, что они знакомы с условиями доступа;
f)подтверждение того факта, что поставщики услуг не предоставляют доступа до завершения процедур авторизации;
g)поддержка официального списка всех лиц, зарегистрированных для работы с данным сервисом;
h)немедленное удаление прав доступа для пользователей, которые перешли на другую должность или покинули организацию;
i)периодическая проверка и удаление ставших ненужными пользовательских идентификаторов и учетных записей;
j)подтверждение того факта, что резервные идентификаторы не присвоены другим пользователям.
Необходимо рассмотреть возможность включения в контракты о приеме на работу и предоставлении услуг описание мер, которые последуют в случае попытки сотрудника или
52 |
© ISO/EIC 2000 |
|
© Перевод компании Информзащита 2004 |
ISO/EIC 17799:2000
агента получить несанкционированный доступ (см. также разделы 6.1.4 и 6.3.5).
9.2.2 Управление привилегиями
Распределение и использование привилегий (функций или средств многопользовательской информационной системы, позволяющих определенному пользователю обходить реализованные в системе или приложениях средства защиты) необходимо ограничить и контролировать. Неправильное использование системных привилегий зачастую является одной из основных причин нарушения работы систем, подвергшихся атаке.
В многопользовательских системах, требующих защиты от несанкционированного доступа, распределение привилегий должно контролироваться с помощью формального процесса авторизации. Рекомендуется рассмотреть следующие меры:
a)Необходимо определить привилегии, связанные с каждым компонентом системы (операционной системой, системой управления базами данных и отдельными приложениями), и категории сотрудников, которым они требуются.
b)Привилегии должны предоставляться сотрудникам только в случае необходимости их использования и для каждого события в отдельности, т. е. привилегии должны быть минимальными для их функциональной роли и только тогда, когда они необходимы.
c)Необходимо соблюдать процесс утверждения и вести запись сведений обо всех предоставленных привилегиях. Привилегии не должны предоставляться до завершения процесса утверждения.
d)Следует способствовать разработке и применению системных процедур для того, чтобы избежать необходимости предоставления привилегий пользователям.
e)Привилегии должны назначаться не для той пользовательской записи, которая используется для обычной деятельности.
9.2.3 Управление паролями пользователей
Пароли – распространенное средство проверки личности пользователя для доступа к информационной системе или сервису. Предоставление паролей должно контролироваться посредством официальной процедуры, отвечающей следующим требованиям:
a)пользователи должны подписывать заявление о том, что личные пароли будут храниться в секрете, а пароли рабочих групп будут известны только членам группы (эти условия могут быть включены в контракт о приеме на работу; см. раздел 6.1.4);
b)если пользователи должны выбирать свои пароли самостоятельно, необходимо гарантировать, что изначально им будет предоставлен надежный временный пароль, который они будут должны немедленно сменить. В том случае, если пользователь забудет свой пароль, временный пароль должен предоставляться только после однозначного подтверждения личности пользователя;
c)временные пароли должны предоставляться пользователям с соблюдением норм безопасности. Избегайте передачи через посредников и использования незащищенных (незашифрованных) сообщений электронной почты. Пользователи должны подтверждать получение паролей.
Пароли не должны храниться в компьютерной системе в незащищенном виде. При необходимости можно рассмотреть возможность использования других технологий идентификации и аутентификации пользователей, в частности, биометрических технологий (например, проверки отпечатков пальцев), проверки подписи и аппаратных средств, например, смарт-карт.
© ISO/EIC 2000, |
53 |
© Перевод компании Информзащита 2004 |
|