Опора деревянной одностоечной и способы укрепление угловых опор: Опоры ВЛ - конструкции, предназначенные для поддерживания проводов на необходимой высоте над землей, водой...
Типы сооружений для обработки осадков: Септиками называются сооружения, в которых одновременно происходят осветление сточной жидкости...
Топ:
Комплексной системы оценки состояния охраны труда на производственном объекте (КСОТ-П): Цели и задачи Комплексной системы оценки состояния охраны труда и определению факторов рисков по охране труда...
Характеристика АТП и сварочно-жестяницкого участка: Транспорт в настоящее время является одной из важнейших отраслей народного...
Интересное:
Инженерная защита территорий, зданий и сооружений от опасных геологических процессов: Изучение оползневых явлений, оценка устойчивости склонов и проектирование противооползневых сооружений — актуальнейшие задачи, стоящие перед отечественными...
Мероприятия для защиты от морозного пучения грунтов: Инженерная защита от морозного (криогенного) пучения грунтов необходима для легких малоэтажных зданий и других сооружений...
Искусственное повышение поверхности территории: Варианты искусственного повышения поверхности территории необходимо выбирать на основе анализа следующих характеристик защищаемой территории...
Дисциплины:
2020-11-03 | 134 |
5.00
из
|
Заказать работу |
|
|
9.1.1.1 Политика и требования бизнеса
Необходимо определять и документально оформлять требования бизнеса по обеспечению контроля в отношении логического доступа. Правила контроля доступа и права каждого пользователя или группы пользователей должны однозначно определяться политикой безопасности по отношению к логическому доступу. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения требований в отношении логического доступа.
Необходимо, чтобы в политике было учтено следующее:
- требования безопасности конкретных бизнес-приложений;
- идентификация всей информации, связанной с функционированием бизнес-приложений;
- условия распространения информации и авторизации доступа, например, применение принципа "need to know" (пользователь получает доступ только к данным, безусловно необходимым ему для выполнения конкретной функции), а также в отношении категорированной информации и требуемых уровней ее защиты;
- согласованность между политиками по контролю доступа и классификации информации применительно к различным системам и сетям;
- применяемое законодательство и любые договорные обязательства относительно защиты доступа к данным или сервисам (раздел 12);
- стандартные профили доступа пользователей для типовых обязанностей и функций;
- управление правами доступа в распределенной сети с учетом всех типов доступных соединений.
9.1.1.2 Правила контроля доступа
При определении правил контроля доступа следует принимать во внимание следующее:
- дифференциацию между правилами, обязательными для исполнения, и правилами, которые являются общими или применяемыми при определенных условиях;
|
- установление правил, основанных на предпосылке "все должно быть в общем случае запрещено, пока явно не разрешено", а не на более слабом принципе "все в общем случае разрешено, пока явно не запрещено";
- изменения в признаках маркировки информации (см. 5.2) как генерируемых автоматически средствами обработки информации, так и инициируемых по усмотрению пользователей;
- изменения в правах пользователя как устанавливаемых автоматически информационной системой, так и определенных администратором;
- правила, которые требуют одобрения администратора или другого лица перед применением, а также те, которые не требуют специального одобрения.
9.2 Контроль в отношении доступа пользователей
Цель: предотвращение неавторизованного доступа к информационным системам.
Для контроля за предоставление права доступа к информационным системам и сервисам необходимо наличие формализованных процедур.
Необходимо, чтобы процедуры охватывали все стадии жизненного цикла пользовательского доступа от начальной регистрации новых пользователей до конечного снятия с регистрации пользователей, которым больше не требуется доступ к информационным системам и сервисам. Особое внимание следует уделять мероприятиям в отношении предоставления прав привилегированного доступа, с помощью которых пользователи могут обходить системные средства контроля.
Регистрация пользователей
Необходимо существование формализованной процедуры регистрации и снятия с регистрации пользователей в отношении предоставления доступа ко всем многопользовательским информационным системам и сервисам.
Доступ к многопользовательским информационным сервисам должен быть контролируемым посредством формализованного процесса регистрации пользователей, который должен включать:
- использование уникальных ID (идентификаторов или имен) пользователей таким образом, чтобы действия в системе можно было бы соотнести с пользователями и установить ответственных. Использование групповых ID следует разрешать только в тех случаях, где это необходимо, с учетом особенностей выполняемой работы;
|
- проверку того, что пользователь имеет авторизацию от владельца системы на пользование информационной системой или сервисов. Кроме того, может быть целесообразным наличие дополнительного разрешения на предоставление прав от руководства;
- проверку того, что уровень предоставленного доступа соответствует производственной необходимости (9.1), а также учитывает требования политики безопасности организации, например, не нарушает принципа разделения обязанностей (8.1.4);
- предоставление пользователям письменного документа, в котором указаны их права доступа;
- требование того, чтобы пользователи подписывали документ о том, что они понимают условия предоставления доступа;
- обеспечение уверенности в том, что поставщики услуг не предоставляют доступ, пока процедуры авторизации не завершены;
- ведение формализованного учета в отношении всех лиц, зарегистрированных для использования сервисов;
- немедленную отмену прав доступа пользователей, у которых изменились должностные обязанности или уволившихся из организации;
- периодическую проверку и удаление избыточных пользовательских ID и учетных записей;
- обеспечение того, чтобы избыточные пользовательские ID не были переданы другим пользователям.
Необходимо рассматривать возможность включения положений о применении соответствующих санкций в случае попыток неавторизованного доступа в трудовые договора сотрудников и контракты с поставщиками услуг (6.1.4 и 6.3.5).
Управление привилегиями
Предоставление и использование привилегий при применении средств многопользовательской информационной системы, которые позволяют пользователю обходить средства контроля системы или бизнес-приложения, необходимо ограничивать и держать под контролем. Неадекватное использование привилегий часто бывает главной причиной сбоев систем.
Необходимо, чтобы в многопользовательских системах, которые требуют защиты от неавторизованного доступа, предоставление привилегий контролировалось посредством формализованного процесса авторизации. При этом целесообразно применять следующие меры:
|
- идентифицировать привилегии в отношении каждого системного продукта, например, операционной системы, системы управления базами данных и каждого бизнес-приложения, а также категории сотрудников, которым эти привилегии должны быть предоставлены;
- привилегии должны предоставляться только тем сотрудникам, которым это необходимо для работы и только на время ее выполнения, например, предоставляя минимальные возможности по работе с системой для выполнения требуемых функций, только когда в этом возникает потребность;
- необходимо обеспечивать процесс авторизации и регистрации всех предоставленных привилегий. Привилегии не должны предоставляться до завершения процесса авторизации;
- следует проводить политику разработки и использования стандартных системных утилит (скриптов) для исключения необходимости в предоставлении дополнительных привилегий пользователям;
- следует использовать различные идентификаторы пользователей при работе в обычном режиме и с использованием привилегий.
|
|
Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого...
Автоматическое растормаживание колес: Тормозные устройства колес предназначены для уменьшения длины пробега и улучшения маневрирования ВС при...
История создания датчика движения: Первый прибор для обнаружения движения был изобретен немецким физиком Генрихом Герцем...
История развития пистолетов-пулеметов: Предпосылкой для возникновения пистолетов-пулеметов послужила давняя тенденция тяготения винтовок...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!