Оборудование, оставленное пользователями без присмотра

 

Пользователи должны обеспечивать соответствующую защиту оборудования, оставленного без присмотра. Оборудование, установленное в рабочих зонах, например рабочие или файловые станции, требует специальной защиты от неавторизованного доступа в случае оставления их без присмотра на длительный период. Всем пользователям и подрядчикам необходимо знать требования безопасности и методы защиты оставленного без присмотра оборудования так же, как и свои обязанности по обеспечению такой защиты. Пользователям рекомендуется:

 

- завершать активные сеансы по окончании работы, если отсутствует механизм блокировки, например, хранитель экрана, защищенный паролем;

 

- отключаться от мэйнфрейма, когда сеанс закончен (то есть не только выключать PC или терминал);

 

- защищать PC или терминалы от неавторизованного использования посредством замка или эквивалентного средства контроля, например, защита доступа с помощью пароля, когда оборудование не используется.

 

9.4 Контроль сетевого доступа

 

Цель: защита сетевых сервисов.

 

Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Это необходимо для уверенности в том, что пользователи, которые имеют доступ к сетям и сетевым сервисам, не компрометируют их безопасность, обеспечивая:

 

- соответствующие интерфейсы между сетью организации и сетями, принадлежащими другим организациям, или общедоступными сетями;

 

- соответствующие механизмы аутентификации в отношении пользователей и оборудования;

 

- контроль доступа пользователей к информационным сервисам.

 

Политика в отношении использования сетевых служб

 

Несанкционированные подключения к сетевым службам могут нарушать информационную безопасность целой организации. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Контроль доступа, в частности, является необходимым для сетевых подключений к важным или критичным бизнес-приложениям или для пользователей, находящихся в зонах высокого риска, например, в общественных местах или за пределами организации - вне сферы непосредственного управления и контроля безопасности со стороны организации.

 

Следует предусматривать меры безопасности в отношении использования сетей и сетевых сервисов. При этом должны быть определены:

 

- сети и сетевые услуги, к которым разрешен доступ;

 

- процедуры авторизации для определения кому, к каким сетям и сетевым сервисам разрешен доступ;

 

- мероприятия и процедуры по защите от несанкционированного подключения к сетевым сервисам.

 

Необходимо, чтобы эти меры согласовывались с требованиями бизнеса в отношении контроля доступа (9.1).

 

Предопределенный маршрут

 

Маршруты от пользовательского терминала до точек предоставления компьютерных сервисов требуют особого контроля. Сети проектируются с учетом обеспечения максимальных возможностей для совместного использования ресурсов и гибкости маршрутизации. Эти особенности повышают риск неавторизованного доступа к бизнес-приложениям или неавторизованного использования информационного оборудования. Мероприятия, которые ограничивают маршруты между пользовательским терминалом и компьютерными сервисами, к которым пользователь авторизован осуществлять доступ, например, путем создания оптимального маршрута, могут уменьшать такие риски.

 

Цель оптимизации маршрута состоит в том, чтобы исключить выбор пользователями иных маршрутов, кроме маршрута между пользовательским терминалом и сервисами, по которому пользователь авторизован осуществлять доступ.

 

Этот подход обычно требует внедрения набора средств контроля в различных точках маршрута. Принцип заключается в ограничении вариантов маршрутизации в каждой точке сети посредством определенных способов, например:

 

- распределения выделенных линий или номеров телефона;

 

- автоматического подключения портов к определенным системным приложениям или шлюзам безопасности;

 

- ограничения опций меню и подменю для индивидуальных пользователей;

 

- предотвращения неограниченного сетевого роуминга;

 

- использования определенных прикладных систем и/или шлюзов безопасности для внешних пользователей сети;

 

- активного контроля разрешенного источника с целью направления соединения через шлюзы безопасности, например, межсетевые экраны;

 

- ограничения доступа к сети посредством создания отдельных логических доменов, например виртуальных частных сетей для пользовательских групп в пределах организации (9.4.6).

 

Выбор конкретных способов должен основываться на требованиях бизнеса в отношении контроля доступа (9.1).