Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников
Чтение книги онлайн.

Читать онлайн книгу Управление информационной безопасностью. Стандарты СУИБ - Вадим Гребенников страница 27

СКАЧАТЬ или услугам;

      – управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;

      – разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование доступа;

      – требования к формальной авторизации прав доступа;

      – требования к периодическому пересмотру управления доступом;

      – аннулирование прав доступа;

      – архивирование записей всех серьезных событий по использованию и управлению удостоверениями пользователей и секретной информацией автентификации;

      – роли привилегированного доступа.

      При разработке правил разграничения доступа необходимо учесть следующее:

      – установление правил на основании предпосылки «Запрещено все, что не разрешено» вместо «Разрешено все, что не запрещено»;

      – изменения информационных меток, инициированные автоматически средствами обработки информации и по усмотрению пользователя;

      – изменения пользовательских разрешений, инициированные автоматически ИС и администратором;

      – наличие правил, требующих определенного утверждения перед введением в действие и не требующих.

      Правила разграничения доступа должны поддерживаться формальными процедурами и определять ответственности.

      Разграничение ролевого доступа является тем подходом, которым пользуются многие организации для связывания прав доступа с бизнес-ролями.

      Два общепризнанных принципа правил разграничения доступа:

      – знание: наличие доступа только к информации, необходимой для выполнения задач (разные задачи/роли означают разную потребность знаний и следовательно разный профиль доступа);

      – использование: наличие доступа только к средствам обработки информации, необходимым для выполнения задачи/работы/роли (ИТ оборудование, приложения, процедуры, кабинеты).

      Доступ к сетям и сетевым сервисам

      Меры и средства

      Пользователям должен предоставляться доступ к сетям и сетевым сервисам, когда они имеют официальные полномочия на это.

      Рекомендации по реализации

      Следует сформулировать политику использования сетей и сетевых услуг.

      В политике необходимо рассмотреть:

      – сети и сетевые услуги, к которым разрешен доступ;

      – процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ;

      – процедуры и средства управления по защите доступа к сетевым подключениям и сетевым услугам;

      – средства доступа к сетям и сетевым услугам (например, VPN или беспроводной сети);

      – требования пользовательской аутентификации для доступа к разным сетевым сервисам;

      – мониторинг использования сетевых сервисов.

СКАЧАТЬ