Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Контроль в отношении паролей пользователей
Пароли являются наиболее распространенными средствами подтверждения идентификатора пользователя при доступе к информационной системе или сервису. Предоставление паролей должно контролироваться посредством формализованного процесса управления, который должен предусматривать:
- подписание пользователями документа о необходимости соблюдения полной конфиденциальности личных паролей, а в отношении групповых паролей - соблюдения конфиденциальности в пределах рабочей группы (это может быть включено в условия трудового договора, 6.1.4);
- в случаях, когда от пользователей требуется управление собственными паролями, необходимо обеспечивать предоставление безопасного первоначального временного пароля, который пользователя принуждают сменить при первой регистрации в системе. Временные пароли используются в тех случаях, когда пользователи забывают свой личный пароль, и должны выдаваться только после идентификации пользователя;
- обеспечение безопасного способа выдачи временных паролей пользователям. Следует избегать использования незащищенных (открытый текст) сообщений электронной почты или сообщений по электронной почте от третьей стороны. Пользователям необходимо подтверждать получение паролей.
Пароли никогда не следует хранить в компьютерной системе в незащищенной форме. При необходимости следует рассматривать возможности других технологий для идентификации и аутентификации пользователя, такие как биометрия (проверка отпечатков пальцев), проверка подписи, и использование аппаратных средств идентификации (чип-карт, микросхем).
Пересмотр прав доступа пользователей
Для поддержания эффективного контроля доступа к данным и информационным услугам руководство периодически должно осуществлять формализованный процесс пересмотра прав доступа пользователей, при этом:
- права доступа пользователей должны пересматриваться регулярно (рекомендуемый период - 6 месяцев) и после любых изменений (9.2.1);
- авторизация специальных привилегированных прав доступа (9.2.2) должна осуществляться через меньшие интервалы времени (рекомендуемый период - 3 месяца);
- предоставленные привилегии должны периодически проверяться для обеспечения уверенности в том, что не были получены неавторизованные привилегии.
Обязанности пользователей
Цель: предотвращение неавторизованного доступа пользователей к информации.
Взаимодействие авторизованных пользователей является важным аспектом эффективности безопасности.
Необходимо, чтобы пользователи были осведомлены о своих обязанностях по использованию эффективных мероприятий по управлению доступом, в частности, в отношении паролей и безопасности оборудования, с которым они работают.
Использование паролей
Пользователи должны соблюдать определенные правила обеспечения безопасности при выборе и использовании паролей.
С помощью паролей обеспечивается подтверждение идентификатора пользователя и, следовательно, получение доступа к средствам обработки информации или сервисам. Все пользователи должны быть осведомлены о необходимости:
а) сохранения конфиденциальности паролей;
б) запрещения записи паролей на бумаге, если только не обеспечено безопасное их хранение;
в) изменения паролей всякий раз, при наличии любого признака возможной компрометации системы или пароля;
г) выбора качественных паролей с минимальной длиной в шесть знаков, которые:
1) легко запомнить;
2) не подвержены легкому угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля, например, имен, номеров телефонов, дат рождения и т.д.;
3) не содержат последовательных идентичных символов и не состоят из полностью числовых или полностью буквенных групп;
д) изменения паролей через равные интервалы времени или после определенного числа доступов и исключения повторного или цикличного использования старых паролей (пароли для привилегированных учетных записей следует менять чаще, чем обычные пароли);
е) изменения временных паролей при первой регистрации в системе;
ж) запрещения включения паролей в автоматизированный процесс регистрации, например, с использованием хранимых макрокоманд или функциональных клавиш;
з) исключения коллективного использования индивидуальных паролей.
Если пользователи нуждаются в доступе к многочисленным услугам или бизнес-приложениям и вынуждены использовать многочисленные пароли, можно порекомендовать возможность использования одного качественного пароля (9.3.1.г) для всех сервисов, обеспечивающих разумный уровень защиты хранимого пароля.
Оборудование, оставленное пользователями без присмотра
Пользователи должны обеспечивать соответствующую защиту оборудования, оставленного без присмотра. Оборудование, установленное в рабочих зонах, например рабочие или файловые станции, требует специальной защиты от неавторизованного доступа в случае оставления их без присмотра на длительный период. Всем пользователям и подрядчикам необходимо знать требования безопасности и методы защиты оставленного без присмотра оборудования так же, как и свои обязанности по обеспечению такой защиты. Пользователям рекомендуется:
- завершать активные сеансы по окончании работы, если отсутствует механизм блокировки, например, хранитель экрана, защищенный паролем;
- отключаться от мэйнфрейма, когда сеанс закончен (то есть не только выключать PC или терминал);
- защищать PC или терминалы от неавторизованного использования посредством замка или эквивалентного средства контроля, например, защита доступа с помощью пароля, когда оборудование не используется.
Контроль сетевого доступа
Цель: защита сетевых сервисов.
Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Это необходимо для уверенности в том, что пользователи, которые имеют доступ к сетям и сетевым сервисам, не компрометируют их безопасность, обеспечивая:
- соответствующие интерфейсы между сетью организации и сетями, принадлежащими другим организациям, или общедоступными сетями;
- соответствующие механизмы аутентификации в отношении пользователей и оборудования;
- контроль доступа пользователей к информационным сервисам.
Политика в отношении использования сетевых служб
Несанкционированные подключения к сетевым службам могут нарушать информационную безопасность целой организации. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Контроль доступа, в частности, является необходимым для сетевых подключений к важным или критичным бизнес-приложениям или для пользователей, находящихся в зонах высокого риска, например, в общественных местах или за пределами организации - вне сферы непосредственного управления и контроля безопасности со стороны организации.
Следует предусматривать меры безопасности в отношении использования сетей и сетевых сервисов. При этом должны быть определены:
- сети и сетевые услуги, к которым разрешен доступ;
- процедуры авторизации для определения кому, к каким сетям и сетевым сервисам разрешен доступ;
- мероприятия и процедуры по защите от несанкционированного подключения к сетевым сервисам.
Необходимо, чтобы эти меры согласовывались с требованиями бизнеса в отношении контроля доступа (9.1).
Предопределенный маршрут
Маршруты от пользовательского терминала до точек предоставления компьютерных сервисов требуют особого контроля. Сети проектируются с учетом обеспечения максимальных возможностей для совместного использования ресурсов и гибкости маршрутизации. Эти особенности повышают риск неавторизованного доступа к бизнес-приложениям или неавторизованного использования информационного оборудования. Мероприятия, которые ограничивают маршруты между пользовательским терминалом и компьютерными сервисами, к которым пользователь авторизован осуществлять доступ, например, путем создания оптимального маршрута, могут уменьшать такие риски.
Цель оптимизации маршрута состоит в том, чтобы исключить выбор пользователями иных маршрутов, кроме маршрута между пользовательским терминалом и сервисами, по которому пользователь авторизован осуществлять доступ.
Этот подход обычно требует внедрения набора средств контроля в различных точках маршрута. Принцип заключается в ограничении вариантов маршрутизации в каждой точке сети посредством определенных способов, например:
- распределения выделенных линий или номеров телефона;
- автоматического подключения портов к определенным системным приложениям или шлюзам безопасности;
- ограничения опций меню и подменю для индивидуальных пользователей;
- предотвращения неограниченного сетевого роуминга;
- использования определенных прикладных систем и/или шлюзов безопасности для внешних пользователей сети;
- активного контроля разрешенного источника с целью направления соединения через шлюзы безопасности, например, межсетевые экраны;
- ограничения доступа к сети посредством создания отдельных логических доменов, например виртуальных частных сетей для пользовательских групп в пределах организации (9.4.6).
Выбор конкретных способов должен основываться на требованиях бизнеса в отношении контроля доступа (9.1).
Популярное:
|
Последнее изменение этой страницы: 2016-04-09; Просмотров: 1328; Нарушение авторского права страницы