Процедуры регистрации с терминала

 

Доступ к информационным сервисам должен быть обеспечен путем использования безопасной процедуры входа в систему (способ регистрации). Процедуру регистрации в компьютерной системе следует проектировать так, чтобы свести к минимуму возможность неавторизованного доступа и не оказывать помощи неавторизованному пользователю. Правильно спланированная процедура регистрации должна обладать следующими свойствами:

 

а) не отображать наименований системы или приложений, пока процесс регистрации не будет успешно завершен;

 

б) отображать общее уведомление, предупреждающее, что доступ к компьютеру могут получить только авторизованные пользователи;

 

в) не предоставлять сообщений-подсказок в течение процедуры регистрации, которые могли бы помочь неавторизованному пользователю;

 

г) подтверждать информацию регистрации только по завершении ввода всех входных данных. В случае ошибочного ввода система не показывает, какая часть данных является правильной или неправильной;

 

д) ограничивать число разрешенных неудачных попыток регистрации (рекомендуется три) и предусматривать:

 

1) запись неудачных попыток;

 

2) включение временной задержки прежде, чем будут разрешены дальнейшие попытки регистрации, или отклонение любых дальнейших попыток регистрации без специальной авторизации;

 

3) разъединение сеанса связи при передаче данных;

 

е) ограничивать максимальное и минимальное время, разрешенное для процедуры регистрации. Если оно превышено, система должна прекратить регистрацию;

 

ж) фиксировать информацию в отношении успешно завершенной регистрации:

 

1) дату и время предыдущей успешной регистрации;

 

2) детали любых неудачных попыток регистрации, начиная с последней успешной регистрации.

 

Идентификация и аутентификация пользователя

 

Необходимо, чтобы все пользователи (включая персонал технической поддержки, т.е. операторов, администраторов сети, системных программистов и администраторов базы данных) имели уникальный идентификатор (пользовательский ID) для их единоличного использования с тем, чтобы их действия могли быть проанализированы ответственным лицом. Пользовательский ID не должен содержать признаков уровня привилегии пользователя (9.2.2), например, менеджера, контролера.

 

Для выполнения особо важных работ допускается использовать общий идентификатор для группы пользователей или для выполнения определенной работы. В таких случаях необходимо соответствующим образом оформленное разрешение руководства. Кроме того, для обеспечения безопасности системы от неавторизованного доступа в этих случаях может потребоваться применение дополнительных мер обеспечения информационной безопасности.

 

Существуют различные процедуры аутентификации, которые могут использоваться для доказательства заявленной идентичности пользователя. Пароли (9.3.1) - очень распространенный способ обеспечения идентификации и аутентификации (I&A), основанный на использовании пароля, который знает только пользователь. То же самое может быть достигнуто средствами криптографии и протоколами аутентификации.

 

Специальные физические устройства доступа с памятью (token) или микропроцессорные карты (смарт-карты), которыми пользуются сотрудники, могут также использоваться для идентификации и аутентификации. Биометрические методы аутентификации, которые основаны на уникальности характеристик (особенностей) индивидуума, могут также использоваться для аутентификации пользователя. Сочетание различных технологий и методов обеспечивает более надежную аутентификацию.

 

Система управления паролями

 

Пароли - одно из главных средств подтверждения полномочия пользователя, осуществляющего доступ к компьютерным сервисам. В системах управления паролем должны быть предусмотрены эффективные интерактивные возможности поддержки необходимого их качества (9.3.1).

 

Для некоторых бизнес-приложений требуется назначение пользовательских паролей независимым должностным лицом. В большинстве же случаев пароли выбираются и поддерживаются пользователями.

 

Система управления паролями должна:

 

- предписывать использование индивидуальных паролей для обеспечения установления ответственности;

 

- позволять пользователям выбирать и изменять их собственные пароли, а также включать подтверждающую процедуру для учета ошибок ввода при необходимости;

 

- предписывать выбор высококачественных паролей в соответствии с 9.3.1;

 

- там, где пользователи отвечают за поддержку своих собственных паролей, принуждать их к изменению паролей (9.3.1);

 

- там, где пользователи выбирают пароли, обеспечивать изменение временных паролей при первой регистрации (9.2.3);

 

- поддерживать хранение истории предыдущих пользовательских паролей (за предыдущий год) и предотвращать их повторное использование;

 

- не отображать пароли на экране при их вводе;

 

- хранить файлы паролей отдельно от данных прикладных систем;

 

- хранить пароли в зашифрованной форме, используя односторонний алгоритм шифрования;

 

- обеспечивать смену паролей поставщика, установленных по умолчанию, после инсталляции программного обеспечения.