Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Правила разграничения доступа
Меры и средства
Правила разграничения доступа должны быть разработаны, задокументированы и пересматриваться на основе требований ИБ и бизнеса.
Рекомендации по реализации
Владельцы активов должны определить надлежащие правила разграничения доступа, права доступа и ограничения для определенных пользовательских ролей по отношению к их активам с детализацией и строгостью разграничений, отражающих соответствующие
Разграничения доступа являются как логическими, так и физическими, и должны рассматриваться вместе. Пользователи и провайдеры услуг должны четко обозначить требования бизнеса, которые должны удовлетворить разграничения доступа.
Правила должны учесть следующее:
– требования к безопасности прикладных программ бизнеса;
– политики распространения информации и авторизации, например, общепризнанные принципы и уровни ИБ и классификацию информации;
– согласованность между правами доступом и политиками классификации информации систем и сетей;
– требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;
– управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;
– разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование доступа;
– требования к формальной авторизации прав доступа;
– требования к периодическому пересмотру управления доступом;
– аннулирование прав доступа;
– архивирование записей всех серьезных событий по использованию и управлению удостоверениями пользователей и секретной информацией автентификации;
– роли привилегированного доступа.
При разработке правил разграничения доступа необходимо учесть следующее:
– установление правил на основании предпосылки «Запрещено все, что не разрешено» вместо «Разрешено все, что не запрещено»;
– изменения информационных меток, инициированные автоматически средствами обработки информации и по усмотрению пользователя;
– изменения пользовательских разрешений, инициированные автоматически ИС и администратором;
– наличие правил, требующих определенного утверждения перед введением в действие и не требующих.
Правила разграничения доступа должны поддерживаться формальными процедурами и определять ответственности.
Разграничение ролевого доступа является тем подходом, которым пользуются многие организации для связывания прав доступа с бизнес-ролями.
Два общепризнанных принципа правил разграничения доступа:
– знание: наличие доступа только к информации, необходимой для выполнения задач (разные задачи/роли означают разную потребность знаний и следовательно разный профиль доступа);
– использование: наличие доступа только к средствам обработки информации, необходимым для выполнения задачи/работы/роли (ИТ оборудование, приложения, процедуры, кабинеты).
Доступ к сетям и сетевым сервисам
Меры и средства
Пользователям должен предоставляться доступ к сетям и сетевым сервисам, когда они имеют официальные полномочия на это.
Рекомендации по реализации
Следует сформулировать политику использования сетей и сетевых услуг.
В политике необходимо рассмотреть:
– сети и сетевые услуги, к которым разрешен доступ;
– процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ;
– процедуры и средства управления по защите доступа к сетевым подключениям и сетевым услугам;
– средства доступа к сетям и сетевым услугам (например, VPN или беспроводной сети);
– требования пользовательской аутентификации для доступа к разным сетевым сервисам;
– мониторинг использования сетевых сервисов.
Политика использования сетевых сервисов должна быть согласована с правилами разграничения доступа организации.
Неавторизованные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Такой контроль очень важен для сетевых подключений к чувствительным и критичным бизнес-приложениям или к пользователям в местах повышенного риска, например, публичных или удаленных регионах, находящихся вне зоны контроля и управления ИБ организации.
5.2. Управление доступом пользователей
Цель: Обеспечить авторизованный доступ пользователей и предотвратить неавторизованный доступ к системам и сервисам.
Управление доступом пользователей обеспечивают следующие мероприятия:
– регистрация и ее отмена;
– предоставление доступа;
– пересмотр прав доступа;
– удаление или изменение прав доступа.
Управление доступом пользователей обеспечивает также управление следующим:
– правами привилегированного доступа;
– паролями.
Регистрация и ее отмена
Меры и средства
Формальный процесс регистрации пользователя ее отмены должен быть внедрен для предоставления прав доступа.
Рекомендации по реализации
Процесс управления идентификаторами пользователя должен включать:
– использование уникальных идентификаторов пользователя, позволяющих отследить их действия и ответственность за них; использование распространенных идентификаторов должно быть разрешено только в случае оперативной или бизнес-необходимости, задокументировано и утверждено;
– немедленную деактивацию или удаление идентификаторов пользователя после его увольнения;
– периодическую идентификацию и деактивацию или удаление ненужных идентификаторов пользователя;
– гарантию того, что деактивированные идентификаторы не достались другим пользователям.
Разрешение или запрет доступа к информации и средствам ее обработки состоит из следующих двух этапов:
– создание и активация или деактивация идентификатора пользователя;