Аудит управления доступом
Необходимо проверить требования по обеспечению контроля в отношении логического доступа. Правила контроля доступа и права каждого пользователя или группы пользователей должны однозначно определяться политикой безопасности по отношению к логическому доступу. Необходимо, чтобы пользователи были осведомлены о своих обязанностях по использованию эффективных мероприятий по управлению доступом.
Для контроля за предоставлением прав доступа к информационным системам и сервисам необходимо наличие формализованных процедур. Необходимо, чтобы процедуры охватывали все стадии жизненного цикла пользовательского доступа от начальной регистрации новых пользователей до конечного снятия с регистрации пользователей, которым больше не требуется доступ к информационным системам и сервисам. Особое внимание следует уделять мероприятиям в отношении предоставления прав привилегированного доступа, с помощью которых пользователи могут обходить системные средства контроля.
Необходимо существование формализованной процедуры регистрации и снятия с регистрации пользователей в отношении предоставления доступа ко всем многопользовательским информационным системам и сервисам.
Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Следует предусматривать меры безопасности в отношении использования сетей (в т.ч. Интернет, электронная почта), сетевых сервисов. При этом должны быть определены:
- сети и сетевые услуги, к которым разрешен доступ;
- процедуры авторизации для определения кому, к каким сетям и сетевым сервисам разрешен доступ;
- мероприятия и процедуры по защите от несанкционированного подключения к сетевым сервисам.
При доступе удаленных пользователей, они должны быть аутентифицированы. Аутентификация удаленных пользователей может быть достигнута при использовании средств криптографии, средств идентификации аппаратуры или протоколов.
На уровне операционной системы следует использовать средства ИБ для ограничения доступа к компьютерным ресурсам. Эти средства должны обеспечивать:
- идентификацию и верификацию компьютера пользователя и, если необходимо, терминала и местоположение каждого авторизованного пользователя;
- регистрацию успешных и неудавшихся доступов к системе;
- аутентификацию соответствующего уровня. Если используется система парольной защиты, то она должна обеспечивать качественные пароли;
- ограничение времени подсоединения пользователей, в случае необходимости.
Логический доступ к программному обеспечению и информации должен быть ограничен только авторизованными пользователями.
При использовании переносных устройств, необходимо принимать специальные меры противодействия компрометации служебной информации. Необходимо принять формализованную политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде.
Также необходимо проверить:
1) разделение сред опытной или промышленной эксплуатации ИС от сред разработки, тестирования или стендовых испытаний, с исполнением требовании установленных стандартов (для информационных систем);
2) обеспечение ИБ интернет - ресурса в соответствии с требованиями стандартов в части доступа.
Достарыңызбен бөлісу: |