Правила должны учесть следующее:

— требования к безопасности прикладных программ бизнеса;

— политики распространения информации и авторизации, например, общепризнанные принципы и уровни ИБ и классификацию информации;

— согласованность между правами доступом и политиками классификации информации систем и сетей;

— требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;

— управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;

— разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование доступа;

— требования к формальной авторизации прав доступа;

— требования к периодическому пересмотру управления доступом;

— аннулирование прав доступа;

— архивирование записей всех серьезных событий по использованию и управлению удостоверениями пользователей и секретной информацией автентификации;

— роли привилегированного доступа.

При разработке правил разграничения доступа необходимо учесть следующее:

— установление правил на основании предпосылки «Запрещено все, что не разрешено» вместо «Разрешено все, что не запрещено»;

— изменения информационных меток, инициированные автоматически средствами обработки информации и по усмотрению пользователя;

— изменения пользовательских разрешений, инициированные автоматически ИС и администратором;

— наличие правил, требующих определенного утверждения перед введением в действие и не требующих.

Правила разграничения доступа должны поддерживаться формальными процедурами и определять ответственности.

Разграничение ролевого доступа является тем подходом, которым пользуются многие организации для связывания прав доступа с бизнес-ролями.

Два общепризнанных принципа правил разграничения доступа:

— знание: наличие доступа только к информации, необходимой для выполнения задач (разные задачи/роли означают разную потребность знаний и следовательно разный профиль доступа);

— использование: наличие доступа только к средствам обработки информации, необходимым для выполнения задачи/работы/роли (ИТ оборудование, приложения, процедуры, кабинеты).

Доступ к сетям и сетевым сервисам

Меры и средства

Пользователям должен предоставляться доступ к сетям и сетевым сервисам, когда они имеют официальные полномочия на это.

Рекомендации по реализации

Следует сформулировать политику использования сетей и сетевых услуг.

В политике необходимо рассмотреть:

— сети и сетевые услуги, к которым разрешен доступ;

— процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ;

— процедуры и средства управления по защите доступа к сетевым подключениям и сетевым услугам;

— средства доступа к сетям и сетевым услугам (например, VPN или беспроводной сети);

— требования пользовательской аутентификации для доступа к разным сетевым сервисам;

— мониторинг использования сетевых сервисов.

Политика использования сетевых сервисов должна быть согласована с правилами разграничения доступа организации.

Неавторизованные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Такой контроль очень важен для сетевых подключений к чувствительным и критичным бизнес-приложениям или к пользователям в местах повышенного риска, например, публичных или удаленных регионах, находящихся вне зоны контроля и управления ИБ организации.

5.2. Управление доступом пользователей

Цель: Обеспечить авторизованный доступ пользователей и предотвратить неавторизованный доступ к системам и сервисам.

Управление доступом пользователей обеспечивают следующие мероприятия:

— регистрация и ее отмена;

— предоставление доступа;

— пересмотр прав доступа;

— удаление или изменение прав доступа.

Управление доступом пользователей обеспечивает также управление следующим:

— правами привилегированного доступа;

— паролями.

Регистрация и ее отмена

Меры и средства

Формальный процесс регистрации пользователя ее отмены должен быть внедрен для предоставления прав доступа.