г) напоминание сотрудникам о возможных рисках, присущих использованию факсимильных аппаратов, а именно:

1)неавторизованный доступ к встроенной памяти для поиска сообщений;

2)преднамеренное или случайное перепрограммирование аппаратов с целью передачи сооб­ щений по определенным номерам;

3)отсылка документов и сообщений по неправильному номеру вследствие неправильного набора либо из-за использования неправильно сохраненного номера.

9 Контроль доступа

9.1 Требование бизнеса по обеспечению контроля в отношении логического доступа

Цель: контроль доступа к информации.

Доступ к информации и бизнес-процессам должен быть контролируемым с учетом требований биз­ неса и безопасности.

Требования к контролю доступа должны быть отражены в политиках в отношении распространения

иавторизации информации.

9.1.1Политика в отношении логического доступа

9.1.1.1 Политика и требования бизнеса Необходимо определять и документально оформлять требования бизнеса по обеспечению контроля

в отношении логического доступа. Правила контроля доступа и права каждого пользователя или группы пользователей должны однозначно определяться политикой безопасности по отношению к логическому доступу. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения требований в отношении логического доступа.

Необходимо, чтобы в политике было учтено следующее:

-требования безопасности конкретных бизнес-приложений;

-идентификация всей информации, связанной с функционированием бизнес-приложений;

-условия распространения информации и авторизации доступа, например, применение принципа «need to know» (пользователь получает доступ только к данным, безусловно необходимым ему для выполнения конкретной функции), а также в отношении категорированной информации и требуемых уровней ее защиты;

-согласованность между политиками по контролю доступа и классификации информации приме­ нительно к различным системам и сетям;

-применяемое законодательство и любые договорные обязательства относительно защиты доступа

кданным или сервисам (раздел 12);

-стандартные профили доступа пользователей для типовых обязанностей и функций;

-управление правами доступа в распределенной сети с учетом всех типов доступных соединений. 9.1.1.2 Правила контроля доступа При определении правил контроля доступа следует принимать во внимание следующее:

-дифференциацию между правилами, обязательными для исполнения, и правилами, которые являются общими или применяемыми при определенных условиях;

-установление правил, основанных на предпосылке «все должно быть в общем случае запрещено, пока явно не разрешено», а не на более слабом принципе «все в общем случае разрешено, пока явно не запрещено»;

-изменения в признаках маркировки информации (см. 5.2) как генерируемых автоматически сре­ дствами обработки информации, так и инициируемых по усмотрению пользователей;

-изменения в правах пользователя как устанавливаемых автоматически информационной систе­ мой, так и определенных администратором;

-правила, которые требуют одобрения администратора или другого лица перед применением, а также те, которые не требуют специального одобрения.

9.2 Контроль в отношении доступа пользователей

Цель: предотвращение неавторизованного доступа к информационным системам.

Для контроля за предоставление права доступа к информационным системам и сервисам необхо­ димо наличие формализованных процедур.

Необходимо, чтобы процедуры охватывали все стадии жизненного цикла пользовательского дос­ тупа от начальной регистрации новых пользователей до конечного снятия с регистрации пользователей, которым больше не требуется доступ к информационным системам и сервисам. Особое внимание следу-

28

ет уделять мероприятиям в отношении предоставления прав привилегированного доступа, с помощью которых пользователи могут обходить системные средства контроля.

9.2.1 Регистрация пользователей

Необходимо существование формализованной процедуры регистрации и снятия с регистрации пользователей в отношении предоставления доступа ко всем многопользовательским информационным системам и сервисам.

Доступ к многопользовательским информационным сервисам должен быть контролируемым посредством формализованного процесса регистрации пользователей, который должен включать:

-использование уникальных ID (идентификаторов или имен) пользователей таким образом, чтобы действия в системе можно было бы соотнести с пользователями и установить ответственных. Использо­ вание групповых ID следует разрешать только в тех случаях, где это необходимо, с учетом особенностей выполняемой работы;

-проверку того, что пользователь имеет авторизацию от владельца системы на пользование информационной системой или сервисов. Кроме того, может быть целесообразным наличие дополни­ тельного разрешения на предоставление прав от руководства;

-проверку того, что уровень предоставленного доступа соответствует производственной необхо­ димости (9.1), а также учитывает требования политики безопасности организации, например, не нарушает принципа разделения обязанностей (8.1.4);

-предоставление пользователям письменного документа, в котором указаны их права доступа;

-требование того, чтобы пользователи подписывали документ о том, что они понимают условия предоставления доступа;

-обеспечение уверенности в том, что поставщики услуг не предоставляют доступ, пока процедуры авторизации не завершены;

-ведение формализованного учета в отношении всех лиц, зарегистрированных для использования сервисов;

-немедленную отмену прав доступа пользователей, у которых изменились должностные обязан­ ности или уволившихся из организации;

-периодическую проверку и удаление избыточных пользовательских ID и учетных записей;

-обеспечение того, чтобы избыточные пользовательские ID небыли переданы другим пользовате­

лям.

Необходимо рассматривать возможность включения положений о применении соответствующих санкций в случае попыток неавторизованного доступа в трудовые договора сотрудников и контракты с поставщиками услуг (6.1.4 и 6.3.5).

9.2.2 Управление привилегиями

Предоставление и использование привилегий при применении средств многопользовательской

информационной системы, которые позволяют пользователю обходить средства контроля системы или бизнес-приложения, необходимо ограничивать и держать под контролем. Неадекватное использование привилегий часто бывает главной причиной сбоев систем.

Необходимо, чтобы в многопользовательских системах, которые требуют защиты от неавторизо­ ванного доступа, предоставление привилегий контролировалось посредством формализованного про­ цесса авторизации. При этом целесообразно применять следующие меры:

-идентифицировать привилегии в отношении каждого системного продукта, например, операци­ онной системы, системы управления базами данных и каждого бизнес-приложения, а также категории сотрудников, которым эти привилегии должны быть предоставлены;

-привилегии должны предоставляться только тем сотрудникам, которым это необходимо для работы и только на время ее выполнения, например, предоставляя минимальные возможности по работе

ссистемой для выполнения требуемых функций, только когда в этом возникает потребность;

-необходимо обеспечивать процесс авторизации и регистрации всех предоставленных привилегий. Привилегии не должны предоставляться до завершения процесса авторизации;

-следует проводить политику разработки и использования стандартных системных утилит (скрип­ тов) для исключения необходимости в предоставлении дополнительных привилегий пользователям;

-следует использовать различные идентификаторы пользователей при работе в обычном режиме и

сиспользованием привилегий.

9.2.3 Контроль в отношении паролей пользователей

Пароли являются наиболее распространенными средствами подтверждения идентификатора пользователя при доступе к информационной системе или сервису, Предоставление паролей должно контролироваться посредством формализованного процесса управления, который должен предусматривать:

29