Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
– защищать от перебора попыток входа;
– регистрировать успешные и неуспешные попытки входа;
– повысить событие безопасности в случае выявления потенциальных попыток и реального нарушения мер защиты входа;
– отображать следующую информацию после завершения успешного входа:
• дату и время предыдущего успешного входа;
• детали любых неуспешных попыток входа, начиная с последнего успешного входа;
– не отображать введенный пароль;
– не передавать пароли открытым текстом по сети;
– завершать неактивные сессии после определенного периода неактивности, особенно в местах повышенного
– ограничивать время соединения для обеспечения дополнительной безопасности для прикладных программ повышенного риска и уменьшения временных возможностей неавторизованного пользователя.
Пароль является обычным средством идентификации и аутентификации, основанным на тайне, известной только пользователю. То же самое может также достигаться средствами криптографии и протоколами аутентификации. Стойкость аутентификации пользователя должна соответствовать классификации информации, к которой осуществляется доступ.
Если пароли передаются открытым текстом в течение сеанса входа по сети, они могут быть перехвачены сетевой «sniffer» -программой (анализатором трафика).
Система управление паролями
Меры и средства
Системы управления паролями должны быть интерактивными и обеспечивать качество паролей.
Рекомендации по реализации
Система управления паролями должна:
– предписывать использование индивидуальных идентификаторов пользователя и паролей для установления ответственности;
– разрешать пользователям выбор и смену своих паролей и включать процедуру подтверждения ошибок ввода;
– предписывать использование качественных паролей;
– заставлять пользователей менять временные пароли при первом начале сеанса;
– предписывать регулярную смену паролей и по необходимости;
– вести учет ранее использованных паролей и предотвращать их повторное использование;
– не отображать пароли на экране при их вводе;
– хранить файлы паролей отдельно от прикладных системных данных;
– хранить и передавать пароли в защищенной форме.
Ограничение доступа к информации
Меры и средства
Доступ к информации и прикладным функциям системы должен ограничиваться в соответствии с правилами разграничения доступа.
Рекомендации по реализации
Ограничения доступа должно базироваться на индивидуальных требованиях бизнес-приложений в соответствии с определенными правилами разграничения доступа.
Для обеспечения ограничения доступа необходимо рассмотреть следующее:
– создание пунктов меню управления доступом к прикладным функциям системы;
– контроль, к каким данным может получить доступ конкретный пользователь;
– контроль прав доступа пользователей, например, чтение, запись, удаление, изменение;
– контроль прав доступа других прикладных программ;
– ограничение информации, содержащейся в выходных данных;
– внедрение мер защиты физического или логического доступа для изоляции
чувствительных прикладных программ, прикладных данных или систем.Использование системного программного обеспечения
Меры и средства
Использование системного программного обеспечения (далее – ПО), способного обойти меры защиты системы и приложения, должно быть ограничено и строго контролироваться.
Рекомендации по реализации
Необходимо рассмотреть следующие рекомендации:
– использование процедур идентификации, аутентификации и авторизации для системного ПО;
– отделение системного ПО от прикладного;
– ограничение использования системного ПО минимальным числом доверенных авторизованных пользователей;
– авторизация на специальное использование системного ПО;
– ограничение доступности системного ПО, например, на время внесения санкционированных изменений;
– регистрация всех использований системного ПО;
– определение и документирование уровней полномочий в отношении системного ПО;
– удаление или блокирование ненужного системного ПО;
– запрет доступа к системному ПО для пользователей, имеющих доступ к приложениям в системах, где требуется разделение обязанностей.
Контроль доступа к исходному коду программы
Меры и средства
Доступ к исходному коду программы должен быть ограничен.
Рекомендации по реализации
Доступ к исходному коду программы и связанным с ним элементам (таким как оформление, рекомендации, планы проверки и планы утверждения) должны четко контролироваться для предотвращения появления несанкционированной функциональности и избежания неумышленных изменений, а также для конфиденциальности интеллектуальной собственности. Это можно достигнуть путем контролируемого централизованного хранения исходного кода программы, желательно в библиотеках исходного кода программ.
Чтобы снизить возможность искажения компьютерных программ, необходимо рассмотреть следующие рекомендации:
– по возможности, следует избегать хранения библиотек исходного кода программ в операционных системах;
– управление исходным кодом программы и его библиотеками следует осуществлять в соответствии с установленными процедурами;
– персонал поддержки не должен иметь неограниченный доступ к библиотекам исходного кода программ;
– обновление библиотек исходного кода программ и связанных с ним элементов, а также предоставление исходного кода программистам должны осуществляться только после получения ими соответствующих полномочий;
– распечатки (листинги) программ следует хранить в безопасной среде;
– в журнале аудита должны фиксироваться все обращения к библиотекам исходного кода программ;
– поддержку и копирование библиотек исходного кода программ следует осуществлять в соответствии с четкими процедурами контроля изменений.
Если исходный код программы необходимо опубликовать, должны быть приняты дополнительные меры защиты его целостности (например, цифровая подпись).