06. Свод норм и правил управления ИБ (ISO/IEC 27002-2013). Часть 2

5. Управление доступом

Управление доступом определяют следующие составляющие:
- требования разграничения доступа;
- управление доступом пользователей;
- ответственность пользователя;
- управление доступом к системе и приложениям.

5.1. Требования разграничения доступа

Цель: Ограничить доступ к информации и средствам обработки информации.

Требования по управлению доступом определяют следующие составляющие:
- правила разграничения доступа;
- доступ к сетям и сетевым сервисам.

Правила разграничения доступа

Меры и средства: правила разграничения доступа должны быть разработаны, задокументированы и пересматриваться на основе требований ИБ и бизнеса.

Рекомендации по реализации: владельцы активов должны определить надлежащие правила разграничения доступа, права доступа и ограничения для определенных пользовательских ролей по отношению к их активам с детализацией и строгостью разграничений, отражающих соответствующие риски ИБ.

Разграничения доступа являются как логическими, так и физическими, и должны рассматриваться вместе. Пользователи и провайдеры услуг должны четко обозначить требования бизнеса, которые должны удовлетворить разграничения доступа.

Правила должны учесть следующее:
- требования к безопасности прикладных программ бизнеса;
- политики распространения информации и авторизации, например, общепризнанные принципы и уровни ИБ и классификацию информации;
- согласованность между правами доступом и политиками классификации информации систем и сетей;
- требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;
- управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;
- разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование доступа;
- требования к формальной авторизации прав доступа;
- требования к периодическому пересмотру управления доступом;
- аннулирование прав доступа;
- архивирование записей всех серьезных событий по использованию и управлению удостоверениями пользователей и секретной информацией автентификации;
- роли привилегированного доступа.

При разработке правил разграничения доступа необходимо учесть следующее:
- установление правил на основании предпосылки «Запрещено все, что не разрешено» вместо «Разрешено все, что не запрещено»;
- изменения информационных меток, инициированные автоматически средствами обработки информации и по усмотрению пользователя;
- изменения пользовательских разрешений, инициированные автоматически ИС и администратором;
- наличие правил, требующих определенного утверждения перед введением в действие и не требующих.

Правила разграничения доступа должны поддерживаться формальными процедурами и определять ответственности. Разграничение ролевого доступа является тем подходом, которым пользуются многие организации для связывания прав доступа с бизнес-ролями.

Два общепризнанных принципа правил разграничения доступа:

- знание: наличие доступа только к информации, необходимой для выполнения задач (разные задачи/роли означают разную потребность знаний и следовательно разный профиль доступа);

- использование: наличие доступа только к средствам обработки информации, необходимым для выполнения задачи/работы/роли (ИТ оборудование, приложения, процедуры, кабинеты).

Доступ к сетям и сетевым сервисам

Меры и средства: пользователям должен предоставляться доступ к сетям и сетевым сервисам, когда они имеют официальные полномочия на это.

Рекомендации по реализации: следует сформулировать политику использования сетей и сетевых услуг.

В политике необходимо рассмотреть:
- сети и сетевые услуги, к которым разрешен доступ;
- процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ;
- процедуры и средства управления по защите доступа к сетевым подключениям и сетевым услугам;
- средства доступа к сетям и сетевым услугам (например, VPN или беспроводной сети);
- требования пользовательской аутентификации для доступа к разным сетевым сервисам;
- мониторинг использования сетевых сервисов.

Политика использования сетевых сервисов должна быть согласована с правилами разграничения доступа организации. Неавторизованные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Такой контроль очень важен для сетевых подключений к чувствительным и критичным бизнес-приложениям или к пользователям в местах повышенного риска, например, публичных или удаленных регионах, находящихся вне зоны контроля и управления ИБ организации.

5.2. Управление доступом пользователей

Цель: Обеспечить авторизованный доступ пользователей и предотвратить несанкционированный доступ к системам и сервисам.

Управление доступом пользователей обеспечивают следующие мероприятия:
- регистрация и ее отмена;
- предоставление доступа;
- управление правами привилегированного доступа;
- управление паролями;
- пересмотр прав доступа;
- удаление или изменение прав доступа.

Регистрация и ее отмена

Меры и средства: формальный процесс регистрации пользователя ее отмены должен быть внедрен для предоставления прав доступа.

Рекомендации по реализации. Процесс управления идентификаторами пользователя должен включать:
- использование уникальных идентификаторов пользователя, позволяющих отследить их действия и ответственность за них;
- использование распространенных идентификаторов должно быть разрешено только в случае оперативной или бизнес-необходимости, задокументировано и утверждено;
- немедленную деактивацию или удаление идентификаторов пользователя после его увольнения;
- периодическую идентификацию и деактивацию или удаление ненужных идентификаторов пользователя;
- гарантию того, что деактивированные идентификаторы не достались другим пользователям.

Разрешение или запрет доступа к информации и средствам ее обработки состоит из следующих двух этапов:
- создание и активация или деактивация идентификатора пользователя;
- активация или деактивация прав доступа идентификатора пользователя.

Предоставление доступа

Меры и средства: формальный процесс предоставления доступа должен быть внедрен для назначения или отмены прав доступа для всех типов пользователя во всех системах и сервисах.

Рекомендации по реализации: процесс предоставления доступа должен включать:
- получение полномочий от собственника ИС или сервиса для их использования;
- проверку того, что уровень предоставленного доступа соответствует правилам доступа и другим требованиям, например, разделения обязанностей;
- гарантию того, что права доступа не будут активированы (например, провайдером услуг) до завершения процедур авторизации;
- ведение централизованной записи прав доступа, предоставленных идентификатору пользователя для доступа к ИС и сервисам;
- изменение прав доступа пользователей, у которых изменилась роль или работа, и немедленную отмену или блокирование прав доступа пользователей после их увольнения;
- периодический пересмотр прав доступа вместе с собственниками ИС и сервисов.

Управление правами привилегированного доступа

Меры и средства: присвоение и использование прав привилегированного доступа должно ограничиваться и контролироваться.

Рекомендации по реализации: присвоение прав привилегированного доступа должно контролироваться формальным процессом авторизации в соответствии с правилами разграничения доступа.

Необходимо рассмотреть следующие шаги:

- определение прав привилегированного доступа в отношении каждой системы или процесса, например, ОС, СУБД, приложения и пользователей, которым эти привилегии должны быть присвоены;

- права привилегированного доступа должны присваиваться пользователям на основании принципа их необходимости в соответствии с правилами разграничения доступа, т. е. минимума требований для их функциональных ролей;

- обеспечение процедуры авторизации и записи всех предоставленных привилегий; права привилегированного доступа не должны предоставляться до завершения процедуры авторизации;

- определение требований по сроку действия прав привилегированного доступа;

- идентификатор пользователя с правами привилегированного доступа должен отличаться от идентификаторов, выполняющих обычную работу, и не должен ее выполнять;

- полномочия пользователей с правами привилигированных доступа должны регулярно пересматриваться на предмет соответствия их обязанностям;

- обеспечение специальных процедур для предотвращения несанкционированного использования универсальных административных идентификаторов с учетом особенностей системной конфигурации;

- обеспечение конфиденциальности при совместном использовании пароля универсальных административных идентификаторов (например, частая смена паролей, особенно при увольнении или смене работы, их передача с помощью специальных механизмов).

Неправильное использование системных административных привилегий (любая функция или устройство ИС, предоставляющее возможность пользователю обойти системные или программные меры защиты) является главной причиной сбоев и отказов систем...

Чтобы прочитать лекцию полностью, напишите автору

Свод правил управления ИБ (ISO/IEC 27002-2013). Часть 3 (продолжение)

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика