Управление информационной безопасностью. Стандарты СУИБ

– политики распространения информации и авторизации, например, общепризнанные принципы и уровни ИБ и классификацию информации;

– согласованность между правами доступом и политиками классификации информации систем и сетей;

– требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;

– управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;

– разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование доступа;

– требования к формальной авторизации прав доступа;

– требования к периодическому пересмотру управления доступом;

– аннулирование прав доступа;

– архивирование записей всех серьезных событий по использованию и управлению удостоверениями пользователей и секретной информацией автентификации;

– роли привилегированного доступа.

При разработке правил разграничения доступа необходимо учесть следующее:

– установление правил на основании предпосылки «Запрещено все, что не разрешено» вместо «Разрешено все, что не запрещено»;

– изменения информационных меток, инициированные автоматически средствами обработки информации и по усмотрению пользователя;

– изменения пользовательских разрешений, инициированные автоматически ИС и администратором;

– наличие правил, требующих определенного утверждения перед введением в действие и не требующих.

Правила разграничения доступа должны поддерживаться формальными процедурами и определять ответственности.

Разграничение ролевого доступа является тем подходом, которым пользуются многие организации для связывания прав доступа с бизнес-ролями.

Два общепризнанных принципа правил разграничения доступа:

– знание: наличие доступа только к информации, необходимой для выполнения задач (разные задачи/роли означают разную потребность знаний и следовательно разный профиль доступа);

– использование: наличие доступа только к средствам обработки информации, необходимым для выполнения задачи/работы/роли (ИТ оборудование, приложения, процедуры, кабинеты).

Доступ к сетям и сетевым сервисам

Меры и средства

Пользователям должен предоставляться доступ к сетям и сетевым сервисам, когда они имеют официальные полномочия на это.

Рекомендации по реализации

Следует сформулировать политику использования сетей и сетевых услуг.

В политике необходимо рассмотреть:

– сети и сетевые услуги, к которым разрешен доступ;

– процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ;

– процедуры и средства управления по защите доступа к сетевым подключениям и сетевым услугам;

– средства доступа к сетям и сетевым услугам (например, VPN или беспроводной сети);

– требования пользовательской аутентификации для доступа к разным сетевым сервисам;

– мониторинг использования сетевых сервисов.

Политика использования сетевых сервисов должна быть согласована с правилами разграничения доступа организации.

Неавторизованные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Такой контроль очень важен для сетевых подключений к чувствительным и критичным бизнес-приложениям или к пользователям в местах повышенного риска, например, публичных или удаленных регионах, находящихся вне зоны контроля и управления ИБ организации.

5.2. Управление доступом пользователей

Цель: Обеспечить авторизованный доступ пользователей и предотвратить неавторизованный доступ к системам и сервисам.

Управление доступом пользователей обеспечивают следующие мероприятия:

– регистрация и ее отмена;

– предоставление доступа;

– пересмотр прав доступа;

– удаление или изменение прав доступа.

Управление доступом пользователей обеспечивает также управление следующим:

– правами привилегированного доступа;

– паролями.

Регистрация и ее отмена

Меры и средства

Формальный процесс регистрации пользователя ее отмены должен быть внедрен для предоставления прав доступа.

Рекомендации по реализации

Процесс управления идентификаторами пользователя должен включать:

– использование уникальных идентификаторов пользователя, позволяющих отследить их действия и ответственность за них; использование распространенных идентификаторов должно быть разрешено только в случае оперативной или бизнес-необходимости, задокументировано и утверждено;