Управление информационной безопасностью

а) проверять, предоставлено ли пользователю разрешение на использование сервиса владельцем системы;

б) проверять, достаточен ли уровень доступа к системе, предоставленного пользователю, для выполнения возложенных на него функций (см. Документированная политика управления доступом к информации) и не противоречит ли он политике безопасности, принятой в организации, например, не компрометирует ли он принцип разделения обязанностей (см. Разделение обязанностей);

в) предоставлять пользователям их права доступа в письменном виде;

г) потребовать от пользователей подписания обязательства, чтобы показать, что они понимают условия доступа;

д) потребовать от поставщиков услуг, чтобы они не предоставляли доступ к системам до тех пор, пока не будут закончены процедуры определения полномочий;

е) вести формальный учет всех зарегистированных лиц, использующих систему;

ж) немедленно изымать права доступа у тех пользователей, которые сменили работу или покинули организацию;

з) периодически проверять и удалять пользовательские идентификаторы и учетные записи, которые больше не требуются;

и) проверять, не выданы ли пользовательские идентификаторы, которые больше не нужны, другим пользователям.

Управление привилегиями

Использование специальных привилегий (см. Инцидент в системе безопасности) следует ограничить и контролировать.

Примечание. Предоставление и использование излишних системных привилегий зачастую оказывается одним из основных факторов, способствующих нарушению режима безопасности систем (уязвимость).

Для многопользовательских систем, требующих защиты от несанкционированного доступа, предоставление привилегий необходимо контролировать посредством формального процесса определения полномочий следующим образом:

а) Идентифицировать привилегии, связанные с каждым программным продуктом, поддерживаемым системой, например, с операционной системой или СУБД, а также категории сотрудников, которым их необходимо предоставить.

б) Предоставить привилегии отдельным лицам только в случае крайней необходимости и в зависимости от ситуации, т.е. только когда они нужны для выполнения ими своих функций.

в) Реализовать процесс определения полномочий и вести учет всех предоставленных привилегий. Не следует предоставлять привилегии до окончания процесса определения полномочий.

г) Содействовать разработке и использованию системных программ, чтобы избежать необходимость предоставления привилегий пользователям.

д) Пользователи, которым предоставлены большие привилегии для специальных целей, должны использовать другой пользовательский идентификатор для обычной работы.

Управление пользовательскими паролями

В настоящее время пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Назначение паролей необходимо контролировать посредством формального процесса управления, требования к которому должны быть следующими:

а) Потребовать от пользователей подписания обязательства по хранению персональных паролей и паролей рабочих групп в секрете.

б) В тех случаях, когда пользователи дожны сами выбирать свои пароли, выдать им надежные временные пароли, которые они обязаны немедленно сменить. Временные пароли также выдаются в случае, когда пользователи забывают свои пароли. Временные пароли должны выдаваться только после положительной идентификации пользователя.

в) Передавать временные пароли пользователям надежным способом. Следует избегать передачу паролей через посредников или посредством незащищенных (незашифрованных) сообщений электронной почты. Пользователи должны подтвердить получение паролей.

Существуют другие технологии, например, проверка подлинности подписи, которые следует рассмотреть в том случае, если обеспечение более высокого уровеня безопасности оправдано.

Пересмотр прав доступа пользователей

Для обеспечения эффективного контроля за доступом к данным и информационным системам руководство должно реализовывать формальный процесс пересмотра прав доступа пользователей через регулярные промежутки времени. Такой процесс должен обеспечивать следующее:

а) пересмотр полномочий доступа пользователей через регулярные промежутки времени; рекомендуется период в 6 месяцев;

б) пересмотр разрешения на предоставление специальных привилегированных прав доступа через более короткие промежутки времени; рекомендуется период в 3 месяца;

в) проверка предоставленных привелигий через регулярные промежутки времени, чтобы не допустить получения пользователями несанкционированных привилегий.

Обязанности пользователей

Цель: Предотвратить несанкционированный доступ пользователей.

Крайне важным условием поддержания надлежащего режима безопасности является участие и помощь зарегистрированных пользователей.

Пользователи должны знать свои обязанности по обеспечению эффективного контроля доступа, особенно что касается использования паролей и защиты пользовательского оборудования.

Использование паролей

Пользователи должны следовать установленным процедурам поддержания режима безопасности при выборе и использовании паролей.

Пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Предлагаются следующие рекомендации по выбору и использованию паролей:

а) Назначать индивидуальные пароли для обеспечения подотчетности.

б) Хранить пароли в секрете.

в) Не записывать пароли на бумаге, если не представляется возможным ее хранение в защищенном месте.

г) Изменять пароли всякий раз, когда есть указания на возможную компрометацию систем или паролей.

д) Выбирать пароли, содержащие не менее шести символов.

е) При выборе паролей не следует использовать:

       месяцы года, дни недели и т.п.;

       фамилии, инициалы и регистационные номера автомобилей;

       названия и идентификаторы организаций;

       номера телефонов или группы символов, состоящие из одних цифр;

       пользовательские идентификаторы и имена, а также идентификаторы групп и другие системные идентификаторы;

       более двух одинаковых символов, следующих друг за другом;

       группы символов, состоящие из одних букв.

ж) Изменять пароли через регулярные промежутки времени (приблизительно через 30 суток) и избегать повторное или ╚циклическое╩ использование старых паролей.

з) Чаще изменять пароли для привилегированных системных ресурсов, например, пароли доступа к определенным системным утилитам.

и) Изменять временные пароли при первом входе в системы.

и) Не включать пароли в сценарии автоматического входа в системы, например, в макросы или функциональные клавиши.

Если пользователям необходим доступ ко многим сервисам и платформам и от них требуется поддержание нескольких паролей, то им следует рекомендовать использовать один единственный надежный пароль (см. Система управления паролями) для входа во все системы, которые обеспечивают минимальный уровень защиты для хранения паролей.

Примечание 1. Рекомендуемый уровень защиты — использование алгоритма одностороннего шифрования пользовательских паролей.

Примечание 2. Руководство по разработке и выбору систем управления паролями см. также Система управления паролями.

Пользовательское оборудование, оставленное без присмотра

Пользователи должны обеспечить надлежащую защиту оборудования, оставленного без присмотра. Оборудование, установленное на рабочих местах пользователей, например, рабочие станции и файловые серверы, может потребовать специальной защиты от несанкционированного доступа в тех случаях, когда оно оставляется без присмотра на продолжительное время. Все пользователи и подрядчики должны знать требования к безопасности и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты. Предлагаются следующие рекомендации:

а) Завершить активные сеансы связи по окончанию работы, если их нельзя защитить посредством соответствующей блокировки.

б) Выйти из мэйнфреймов по окончании сеанса связи. Не ограничиваться только выключением ПК или терминала.

в) Защитить ПК или терминалы, которые не используются, с помощью блокировки с ключом или эквивалентного средства контроля, например, доступом по паролю.

Управление доступом к сети

Цель: Обеспечить защиту систем, объединенных в сеть.

Подключения к системам, объединенным в сеть, следует контролировать.

Это необходимо для того, чтобы подключенные пользователи и компьютерные системы не нарушали зашиту других сетевых сервисов. Средства контроля должны включать в себя следующее:

а) а. соответствующие интерфейсы между сетевыми сервисами;

б) надлежащие механизмы аутентификации удаленных пользователей и оборудования;

в) контроль доступа пользователей к информационным системам.

Предоставление ограниченных услуг

Доступ к сети и компьютерным системам, осуществляемый пользователем с конкретного терминала, должен предоставляться в соответствии с политикой управления доступом, принятой в организации (см. Документированная политика управления доступом к информации). В частности, пользователям следует предоставить только прямой доступ к сервисам, использование которых им разрешено.

Примечание. Данное средство контроля является особенно важным для сетевых подключений к конфиденциальным или критически важным производственным приложениям, а также для пользователей в зонах повышенного риска, например, в общедоступных местах или местах, находящихся вне пределов досягаемости администраторов безопасности организации.

Принудительная маршрутизация

В ряде случаев путь от пользовательского терминала к компьютерной системе необходимо контролировать. Современные сети предоставляют максимальные возможности для коллективного использования ресурсов и гибкость маршрутизации. Эти особенности также дают возможность несанкционированного доступа к производственным приложениям или незаконного использования информационных систем. Такой риск можно уменьшить, привлекая средства контроля для ограничения маршрута между пользовательским терминалом и компьютерными системами, доступ к которым пользователю разрешен, т.е. создавая принудительный маршрут.

Цель такой принудительной маршрутизации — предотвратить нежелательное ╚отклонение╩ пользователей от маршрута между пользовательским терминалом и системами, доступ к которым пользователю разрешен. Для этого обычно требуется реализация ряда средств контроля в нескольких точках пути. Принцип состоит в том, чтобы ограничить возможности выбора маршрута в каждой точке сети посредством предопределенных вариантов.

Примерами такого ограничения пути являются:

а) предоставление выделенных линий связи или телефонных номеров;

б) автоматическое подключение портов к определенным прикладным системам или шлюзам безопасности;

в) ограничение возможностей выбора маршрута с помощью системы меню и подменю для отдельных пользователей;

г) предотвращение неограниченного ╚блуждания╩ по сети.

В основе требований к принудительной маршрутизации должна лежать политика управления доступом, принятая в организации (см. Документированная политика управления доступом к информации).

Аутентификация пользователей

Несанкционированный доступ к производственным приложениям может быть осуществлен посредством внешнего подключения к компьютерам организации через общедоступные сети или сети, не принадлежащие организации. Поэтому необходима аутентификация подключений, осуществляемых удаленными пользователями через общедоступные (или не принадлежащие организации) сети.

Аутентификация может выполняться на уровне компьютера, поддерживающего приложение, или на сетевом уровне. Для определения необходимого уровня аутентификации, возможно потребуется оценка рисков и непосредственного ущерба от реализации угроз для организации.

Как на сетевом уровне, так и на уровне компьютера аутентификацию удаленных пользователей можно осуществлять с помощью, например, систем оперативного реагирования на проблемы и шифрования линии связи. Использование выделенных частных линий связи или средства проверки сетевых адресов пользователей также дает уверенность в источнике подключений.

Аутентификация узлов сети

Несанкционированный доступ к производственному приложению может быть осуществлен посредством автоматического подключения удаленного компьютера, поэтому необходимо аутентифицировать подключения удаленных компьютерных систем. Это особенно важно если подключение осуществляется через открытую сеть, находящуюся вне пределов досягаемости администраторов безопасности организации.

Аутентификацию можно выполнять на уровне компьютера, поддерживающего приложение, или на сетевом уровне. Для определения требований к аутентификации удаленных систем, возможно потребуется оценка рисков и непосредственного ущерба от реализации угроз для организации. На сетевом уровне аутентификация удаленной системы может быть осуществлена посредством аутентификации узлов сети с помощью, например, систем оперативного реагирования на проблемы или шифрования линии связи. Использование выделенных частных линий связи или средств проверки сетевых адресов пользователей также дает уверенность в источнике подключений.

Примечание. Аутентификация узлов сети может также служить в качестве альтернативного, менее дорогостоящего средства аутентификации групп удаленных пользователей в случае, когда они подключены к защищенной, совместно используемой компьютерной системе (см. Аутентификация пользователей).

Защита удаленного диагностического порта

Доступ к диагностическим портам необходимо контролировать.

Многие компьютеры оснащены портами для диагностики удаленного, коммутируемого подключения, используемые специалистами по техническому обслуживанию. Если такие диагностические порты не защищены, то их можно использовать для несанкционированного доступа. Поэтому их следует защитить с помощью надлежащих механизмов безопасности, например, посредством блокировки с ключом, и процедуры, которая гарантирует, что эти порты становятся доступными только после получения санкции от администратора компьютерной системы на доступ специалистов по техническому обслуживанию программно-аппаратного обеспечения.