06. Свод правил управления ИБ (ISO/IEC 27002-2013). Часть 2

5. Управление доступом

Управление доступом определяют следующие составляющие:
- требования разграничения доступа;
- управление доступом пользователей;
- ответственность пользователя;
- управление доступом к системе и приложениям.

5.1. Требования разграничения доступа

Цель: Ограничить доступ к информации и средствам обработки информации.

Требования по управлению доступом определяют следующие составляющие:
- правила разграничения доступа;
- доступ к сетям и сетевым сервисам.

Правила разграничения доступа

Меры и средства: правила разграничения доступа должны быть разработаны, задокументированы и пересматриваться на основе требований ИБ и бизнеса.

Рекомендации по реализации: владельцы активов должны определить надлежащие правила разграничения доступа, права доступа и ограничения для определенных пользовательских ролей по отношению к их активам с детализацией и строгостью разграничений, отражающих соответствующие риски ИБ.

Разграничения доступа являются как логическими, так и физическими, и должны рассматриваться вместе. Пользователи и провайдеры услуг должны четко обозначить требования бизнеса, которые должны удовлетворить разграничения доступа.

Правила должны учесть следующее:
- требования к безопасности прикладных программ бизнеса;
- политики распространения информации и авторизации, например, общепризнанные принципы и уровни ИБ и классификацию информации;
- согласованность между правами доступом и политиками классификации информации систем и сетей;
- требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;
- управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;
- разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование доступа;
- требования к формальной авторизации прав доступа;
- требования к периодическому пересмотру управления доступом;
- аннулирование прав доступа;
- архивирование записей всех серьезных событий по использованию и управлению удостоверениями пользователей и секретной информацией автентификации;
- роли привилегированного доступа.

При разработке правил разграничения доступа необходимо учесть следующее:
- установление правил на основании предпосылки «Запрещено все, что не разрешено» вместо «Разрешено все, что не запрещено»;
- изменения информационных меток, инициированные автоматически средствами обработки информации и по усмотрению пользователя;
- изменения пользовательских разрешений, инициированные автоматически ИС и администратором;
- наличие правил, требующих определенного утверждения перед введением в действие и не требующих.

Правила разграничения доступа должны поддерживаться формальными процедурами и определять ответственности. Разграничение ролевого доступа является тем подходом, которым пользуются многие организации для связывания прав доступа с бизнес-ролями.

Два общепризнанных принципа правил разграничения доступа:

- знание: наличие доступа только к информации, необходимой для выполнения задач (разные задачи/роли означают разную потребность знаний и следовательно разный профиль доступа);

- использование: наличие доступа только к средствам обработки информации, необходимым для выполнения задачи/работы/роли (ИТ оборудование, приложения, процедуры, кабинеты).

Доступ к сетям и сетевым сервисам

Меры и средства: пользователям должен предоставляться доступ к сетям и сетевым сервисам, когда они имеют официальные полномочия на это.

Рекомендации по реализации: следует сформулировать политику использования сетей и сетевых услуг.

В политике необходимо рассмотреть:
- сети и сетевые услуги, к которым разрешен доступ;
- процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ;
- процедуры и средства управления по защите доступа к сетевым подключениям и сетевым услугам;
- средства доступа к сетям и сетевым услугам (например, VPN или беспроводной сети);
- требования пользовательской аутентификации для доступа к разным сетевым сервисам;
- мониторинг использования сетевых сервисов.

Политика использования сетевых сервисов должна быть согласована с правилами разграничения доступа организации. Неавторизованные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Такой контроль очень важен для сетевых подключений к чувствительным и критичным бизнес-приложениям или к пользователям в местах повышенного риска, например, публичных или удаленных регионах, находящихся вне зоны контроля и управления ИБ организации.

5.2. Управление доступом пользователей

Цель: Обеспечить авторизованный доступ пользователей и предотвратить несанкционированный доступ к системам и сервисам.

Управление доступом пользователей обеспечивают следующие мероприятия:
- регистрация и ее отмена;
- предоставление доступа;
- управление правами привилегированного доступа;
- управление паролями;
- пересмотр прав доступа;
- удаление или изменение прав доступа.

Регистрация и ее отмена

Меры и средства: формальный процесс регистрации пользователя ее отмены должен быть внедрен для предоставления прав доступа.

Рекомендации по реализации. Процесс управления идентификаторами пользователя должен включать:
- использование уникальных идентификаторов пользователя, позволяющих отследить их действия и ответственность за них;
- использование распространенных идентификаторов должно быть разрешено только в случае оперативной или бизнес-необходимости, задокументировано и утверждено;
- немедленную деактивацию или удаление идентификаторов пользователя после его увольнения;
- периодическую идентификацию и деактивацию или удаление ненужных идентификаторов пользователя;
- гарантию того, что деактивированные идентификаторы не достались другим пользователям.

Разрешение или запрет доступа к информации и средствам ее обработки состоит из следующих двух этапов:
- создание и активация или деактивация идентификатора пользователя;
- активация или деактивация прав доступа идентификатора пользователя.

Предоставление доступа

Меры и средства: формальный процесс предоставления доступа должен быть внедрен для назначения или отмены прав доступа для всех типов пользователя во всех системах и сервисах.

Рекомендации по реализации: процесс предоставления доступа должен включать:
- получение полномочий от собственника ИС или сервиса для их использования;
- проверку того, что уровень предоставленного доступа соответствует правилам доступа и другим требованиям, например, разделения обязанностей;
- гарантию того, что права доступа не будут активированы (например, провайдером услуг) до завершения процедур авторизации;
- ведение централизованной записи прав доступа, предоставленных идентификатору пользователя для доступа к ИС и сервисам;
- изменение прав доступа пользователей, у которых изменилась роль или работа, и немедленную отмену или блокирование прав доступа пользователей после их увольнения;
- периодический пересмотр прав доступа вместе с собственниками ИС и сервисов.

Управление правами привилегированного доступа

Меры и средства: присвоение и использование прав привилегированного доступа должно ограничиваться и контролироваться.

Рекомендации по реализации: присвоение прав привилегированного доступа должно контролироваться формальным процессом авторизации в соответствии с правилами разграничения доступа.

Необходимо рассмотреть следующие шаги:

- определение прав привилегированного доступа в отношении каждой системы или процесса, например, ОС, СУБД, приложения и пользователей, которым эти привилегии должны быть присвоены;

- права привилегированного доступа должны присваиваться пользователям на основании принципа их необходимости в соответствии с правилами разграничения доступа, т. е. минимума требований для их функциональных ролей;

- обеспечение процедуры авторизации и записи всех предоставленных привилегий; права привилегированного доступа не должны предоставляться до завершения процедуры авторизации;

- определение требований по сроку действия прав привилегированного доступа;

- идентификатор пользователя с правами привилегированного доступа должен отличаться от идентификаторов, выполняющих обычную работу, и не должен ее выполнять;

- полномочия пользователей с правами привилигированных доступа должны регулярно пересматриваться на предмет соответствия их обязанностям;

- обеспечение специальных процедур для предотвращения несанкционированного использования универсальных административных идентификаторов с учетом особенностей системной конфигурации;

- обеспечение конфиденциальности при совместном использовании пароля универсальных административных идентификаторов (например, частая смена паролей, особенно при увольнении или смене работы, их передача с помощью специальных механизмов).

Неправильное использование системных административных привилегий (любая функция или устройство ИС, предоставляющее возможность пользователю обойти системные или программные меры защиты) является главной причиной сбоев и отказов систем.

Управление паролями

Меры и средства: присвоение секретной информации аутентификации (пароля) пользователей должно контролироваться посредством формального процесса управления.

Рекомендации по реализации. Формальный процесс управления должен включать следующие требования:

- пользователи должны подписать заявление о сохранении персонального пароля в тайне и хранить групповые пароли членов группы (например, при общем доступе); это подписанное заявление должно содержать сроки и условия трудоустройства;

- если пользователям необходимо самостоятельно управлять своими паролями, им следует первоначально предоставить безопасный временный пароль, который подлежит немедленной замене после входа в систему;

- должны быть созданы процедуры проверки личности пользователя прежде, чем ему будет предоставлен новый, сеансовый или временный пароль;

- временные пароли следует выдавать пользователям безопасным способом, необходимо исключить использование незащищенного (открытого) текста сообщений электронной почты;

- временные пароли должны быть уникальны для каждого пользователя и не должны быть легко угадываемыми;

- пользователи должны подтверждать получение паролей;

- пароли поставщика, установленные по умолчанию, необходимо изменить после инсталляции систем или ПО.

Пароли являются наиболее распространенным типом секретной информации аутентификации и средством проверки личности пользователя. Другим типом секретной информации аутентификации являются криптографические ключи и другие данные, хранящиеся на «токенах» (смарт-картах), создающих коды аутентификации.

Пересмотр прав доступа

Меры и средства: владельцы активов должны пересматривать права доступа пользователей на регулярной основе.

Рекомендации по реализации. При пересмотре прав доступа должны учитываться следующие рекомендации:
- права доступа должны пересматриваться регулярно через определенные интервалы времени и после любых изменений, таких как повышение, понижение в должности или увольнение;
- права доступа пользователей должны пересматриваться и перераспределяться при переходе с одной должности на другую в пределах одной организации;
- полномочия привилигированных прав доступа должны пересматриваться чаще;
- присвоение привилегий должно регулярно проверяться, чтобы излишних привилегий никто не имел;
- изменения привилегированных учетных записей должны регистрироваться для периодического пересмотра.

Удаление или изменение прав доступа

Меры и средства: права доступа к информации и средствам обработки информации всех сотрудников и представителей сторонней организации должны быть удалены по окончании их трудового договора, контракта или соглашения или откорректированы в случае каких-либо изменений.

Рекомендации по реализации: после увольнения права доступа к информации и активам, связанным со средствами обработки информации, должны быть удалены или блокированы. Изменение работы должно повлечь удаление тех прав доступа, которые не нужны на новой работе.

При удалении или изменении прав доступа необходимо учитывать как физические, так и логические аспекты доступа. Удаление или изменение прав доступа должно сопровождаться удалением, аннулированием или заменой ключей, карт идентификации, средств обработки информации или подписок.

Любая документация, определяющая права доступа сотрудников и подрядчиков, должна отражать удаление или изменения прав доступа. Если увольняющийся сотрудник или представитель сторонней организации знает еще действующие пароли пользователей, они должны быть изменены после его увольнения или изменения условий трудового договора, контракта или соглашения.

Права доступа к информации и активам, связанным со средствами обработки информации, должны быть изменены или удалены до момента увольнения или изменения условий труда с учетом оценки следующих факторов риска:
- было ли увольнение или изменение условий труда инициировано сотрудником, представителем сторонней организации или руководством, и причина этого;
- текущие обязанности сотрудника, представителя сторонней организации или любого другого пользователя;
- ценность активов, доступных в настоящий момент.

В случае инициации увольнения руководством организации недовольные сотрудники или представители сторонней организации могут умышленно повредить информацию или средства ее обработки. Кроме того, увольняемые лица могут собирать информацию для последующего использования.

5.3. Ответственность пользователя

Цель: Сделать пользователя ответственным за хранение информации аутентификации (пароля).

Пользование паролем

Меры и средства: пользователи должны выполнять установленный в организации порядок использования секретной информации аутентификации (пароля).

Рекомендации по реализации:
- хранить секретную информацию аутентификации в тайне, исключая возможность его разглашения даже друзьям;
- не записывать секретную информацию аутентификации (например, на бумаге, ручном устройстве, в виде файла), за исключением того случая, когда используется безопасное место и надежный метод хранения (например, сейф паролей);
- менять секретную информацию аутентификации при малейшем признаке компрометации;
- если в качестве секретной информации аутентификации используется пароль, выбрать качественный пароль с минимально достаточной длиной, который:
  • легко запомнить;
  • не содержит того, что можно легко угадать, или какую-либо персональную информацию (например, имена, номера телефонов, даты рождения и т.п.);
  • неуязвим для словарных атак (т.е. не содержит слов, включенных в словари);
  • не содержит подряд идущих одинаковых символов, только цифровых или только буквенных;
  • если временный, сразу сменить при первом входе в систему;
- не делиться индивидуальной секретной информацией аутентификации пользователя;
- надлежащим образом защищать и хранить пароли, используемые в качестве секретной информации аутентификации в процедурах автоматического входа;
- не использовать одну и ту же секретную информацию аутентификации для бизнес и не бизнес-целей.

Применение технологии «единого входа» (Single Sign-On, SSO) или других инструментов управления секретной информацией аутентификации снижает ее объем и тем самым может повысить эффективность ее защиты. Однако эти инструменты могут усилить влияние от разглашения секретной информации аутентификации.

5.4. Управление доступом к системе и приложениям

Цель: Предотвратить несанкционированный доступ к системе и приложениям.

Управление доступом к системе определяют следующие составляющие:
- ограничение доступа к информации;
- процедуры безопасного входа;
- система управления паролями;
- использование системного ПО;
- контроль доступа к исходным кодам программ.

Ограничение доступа к информации

Меры и средства: доступ к информации и прикладным функциям системы должен ограничиваться в соответствии с правилами разграничения доступа.

Рекомендации по реализации: ограничения доступа должно базироваться на индивидуальных требованиях бизнес-приложений в соответствии с определенными правилами разграничения доступа.

Для обеспечения ограничения доступа необходимо рассмотреть следующее:
- создание пунктов меню управления доступом к прикладным функциям системы;
- контроль, к каким данным может получить доступ конкретный пользователь;
- контроль прав доступа пользователей, например, чтение, запись, удаление, изменение;
- контроль прав доступа других прикладных программ;
- ограничение информации, содержащейся в выходных данных;
- внедрение мер защиты физического или логического доступа для изоляции чувствительных прикладных программ, прикладных данных или систем.

Процедуры безопасного входа

Меры и средства: доступ к системе и приложениям должен контролироваться с помощью процедуры безопасного входа в соответствии с правилами разграничения доступа.

Рекомендация по реализации: должно быть выбрано соответствующее средство аутентификации для подтверждения заявленной личности пользователя.

Если требуется строгая аутентификация и проверка личности, вместо паролей должны использоваться такие методы аутентификации, как средства криптографии, биометрии, смарт-карты или токены.

Процедура входа в систему или приложение должна минимизировать возможность несанкционированного доступа. Процедура входа должна разглашать минимум информации о системе и приложении, чтобы избежать какого-либо содействия неавторизованному пользователю.

Правильная процедура входа должна:
- не отображать наименований системы и приложений, пока процесс входа не будет успешно завершен;
- отображать общее предупреждение о том, что доступ к компьютеру могут получить только авторизованные пользователи;
- не предоставлять сообщений-подсказок в течение процедуры начала сеанса, которые могли бы помочь неавторизованному пользователю;
- подтверждать информацию начала сеанса только по завершении ввода всех исходных данных, а в случае ошибочного ввода не показывать, какая часть данных является правильной или неправильной;
- защищать от перебора попыток входа;
- регистрировать успешные и неуспешные попытки входа;
- повысить событие безопасности в случае выявления потенциальных попыток и реального нарушения мер защиты входа;
- отображать следующую информацию после завершения успешного входа:
  • дату и время предыдущего успешного входа;
  • детали любых неуспешных попыток входа, начиная с последнего успешного входа;
- не отображать введенный пароль;
- не передавать пароли открытым текстом по сети;
- завершать неактивные сессии после определенного периода неактивности, особенно в местах повышенного риска, таких как публичные или удаленные регионы, вне зоны управления безопасностью организации или на мобильных устройствах;
- ограничивать время соединения для обеспечения дополнительной безопасности для прикладных программ повышенного риска и уменьшения временных возможностей неавторизованного пользователя.

Пароль является обычным средством идентификации и аутентификации, основанным на тайне, известной только пользователю. То же самое может также достигаться средствами криптографии и протоколами аутентификации. Стойкость аутентификации пользователя должна соответствовать классификации информации, к которой осуществляется доступ.

Если пароли передаются открытым текстом в течение сеанса входа по сети, они могут быть перехвачены сетевой «sniffer»-программой (анализатором трафика).

Система управление паролями

Меры и средства: системы управления паролями должны быть интерактивными и обеспечивать качество паролей.

Рекомендации по реализации:
- предписывать использование индивидуальных идентификаторов пользователя и паролей для установления ответственности;
- разрешать пользователям выбор и смену своих паролей и включать процедуру подтверждения ошибок ввода;
- предписывать использование качественных паролей;
- заставлять пользователей менять временные пароли при первом начале сеанса;
- предписывать регулярную смену паролей и по необходимости;
- вести учет ранее использованных паролей и предотвращать их повторное использование;
- не отображать пароли на экране при их вводе;
- хранить файлы паролей отдельно от прикладных системных данных;
- хранить и передавать пароли в защищенной форме.

Использование системного ПО

Меры и средства: использование системного ПО, способного обойти меры защиты системы и приложения, должно быть ограничено и строго контролироваться.

Рекомендации по реализации:
- использование процедур идентификации, аутентификации и авторизации для системного ПО;
- отделение системного ПО от прикладного;
- ограничение использования системного ПО минимальным числом доверенных авторизованных пользователей;
- авторизация на специальное использование системного ПО;
- ограничение доступности системного ПО, например, на время внесения санкционированных изменений;
- регистрация всех использований системного ПО;
- определение и документирование уровней полномочий в отношении системного ПО;
- удаление или блокирование ненужного системного ПО;
- запрет доступа к системному ПО для пользователей, имеющих доступ к приложениям в системах, где требуется разделение обязанностей.

Контроль доступа к исходному коду программы

Меры и средства: доступ к исходному коду программы должен быть ограничен.

Рекомендации по реализации: доступ к исходному коду программы и связанным с ним элементам (таким как оформление, рекомендации, планы проверки и планы утверждения) должны четко контролироваться для предотвращения появления несанкционированной функциональности и избежания неумышленных изменений, а также для конфиденциальности интеллектуальной собственности. Это можно достигнуть путем контролируемого централизованного хранения исходного кода программы, желательно в библиотеках исходного кода программ.

Чтобы снизить возможность искажения компьютерных программ, необходимо рассмотреть следующие рекомендации:
- по возможности, следует избегать хранения библиотек исходного кода программ в операционных системах;
- управление исходным кодом программы и его библиотеками следует осуществлять в соответствии с установленными процедурами;
- персонал поддержки не должен иметь неограниченный доступ к библиотекам исходного кода программ;
- обновление библиотек исходного кода программ и связанных с ним элементов, а также предоставление исходного кода программистам должны осуществляться только после получения ими соответствующих полномочий;
- распечатки (листинги) программ следует хранить в безопасной среде;
- в журнале аудита должны фиксироваться все обращения к библиотекам исходного кода программ;
- поддержку и копирование библиотек исходного кода программ следует осуществлять в соответствии с четкими процедурами контроля изменений.

Если исходный код программы необходимо опубликовать, должны быть приняты дополнительные меры защиты его целостности (например, цифровая подпись).

6. Криптография

6.1. Средства криптографии

Цель: Обеспечить корректное и эффективное использование криптографии для защиты конфиденциальности, достоверности и/или целостности информации.

Управление средствами криптографии определяют следующие составляющие:
- политика использования средств криптографии;
- управление ключами.

Политика использования средств криптографии

Меры и средства: политика использования средств криптографии для защиты информации должна быть разработана и внедрена.

Рекомендации по реализации. При разработке политики криптографии необходимо учитывать следующее:

- позицию руководства по использованию средств криптографии во всей организации, включая общие принципы защиты бизнес-информации;

- основанный на оценке риска требуемый уровень защиты, который должен быть определен с учетом типа, стойкости и качества требуемого криптоалгоритма;

- использование шифрования для защиты нформации, передаваемой с помощью мобильных устройств или сменных носителей или по линиям связи;

- подход к управлению ключами, включающему методы по защите криптоключей и восстановлению зашифрованной информации в случае потери, компрометации или повреждения ключей;

- роли и ответственности, например, кто отвечает за:
  • внедрение политики;
  • управление ключами, включая генерацию ключей;

- стандарты, которые должны быть приняты для эффективной реализации во всей организации (какое решение используется для каких бизнес-процессов);

- влияние использования зашифрованной информации на меры защиты, предназначенные для проверки содержимого (например, обнаружения вирусов).

При внедрении политики криптографии должны быть учтены правила и национальные ограничения, применяемые к использованию средств криптографии в разных частях мира и перемещению через границы зашифрованной информации.

Средства криптографии могут использоваться для достижения разных целей ИБ, например:
- конфиденциальности - шифрованием чувствительной или критичной информации как хранимой, так и передаваемой;
- целостности / достоверности - использованием цифровых подписей или кодов аутентификации сообщений для проверки целостности или аутентичности хранимой или передаваемой чувствительной или критичной информации;
- неотказуемости - использованием методов криптографии для получения подтверждения того, что событие или действие имело место;
- аутентификации - использованием методов криптографии для удостоверения пользователей и других системных объектов, запрашивающих доступ к системным пользователям, объектам и ресурсам или работающих с ними.

Выбор надлежащих средств криптографии должен рассматриваться как часть обширного процесса оценки риска и выбора мер защиты. Эта оценка может быть использована для определения соответствия средства криптографии, какой тип защиты надо применить и для какой цели и бизнес-процесса.

Политика использования средств криптографии необходима для обеспечения максимума преимуществ и минимума рисков от их использования, а также для предотвращения неправильного использования.

Управление ключами

Меры и средства: политика использования, защиты и срока действия криптоключей должна быть разработана и внедрена на протяжении всего их жизненного цикла.

Рекомендации по реализации: политика должна содержать требования по управлению криптоключами на протяжении всего их жизненного цикла, включая генерацию, хранение, архивирование, получение, распределение, изъятие и уничтожение ключей.

Криптоалгоритмы, длины ключа и правила использования должны выбираться, исходя из наилучшего практического опыта. Соответствующее управление ключами требует безопасных процессов для генерации, хранения, архивирования, получения, распределения, изъятия и уничтожения криптоключей.

Все криптоключи должны быть защищены от модификации и утери. Кроме того, секретный и личный ключи требуют защиты от несанкционированного использования, а также разглашения. Оборудование для генерации, хранения и архивирования ключей должно быть защищено физически.

Система управления ключами должна быть основана на согласованном множестве стандартов, процедур и безопасных методов для:
- генерации ключей для различных криптосистем и приложений;
- изготовления и получения сертификатов открытых ключей;
- рассылки ключей предполагаемым пользователям, включая обучение активации ключей после получения;
- хранения ключей, включая обучение авторизованных пользователей получению доступа к ключам;
- замены или обновления ключей, включая правила и сроки замены ключей;
- действий в отношении скомпрометированных ключей;
- аннулирования ключей, включая порядок изъятия и деактивации, например, при компрометации ключей или увольнении пользователя (в каком случае ключи должны быть также архивированы);
- восстановления ключей, которые были утеряны или испорчены;
- резервного копирования или архивирования ключей;
- уничтожения ключей;
- регистрации и аудита действий, связанных с управлением ключами.

Для снижения вероятности неправильного использования ключей их даты активации и деактивации должны быть определены таким образом, чтобы они использовались только на протяжении того времени, которое определено политикой управления ключами.

Свод правил управления ИБ (ISO/IEC 27002-2013). Часть 3 (продолжение)

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика