Вернуться: к Проекту «Многие грани безопасности" / Нормативная база по безопасности / Международные нормативно-правовые акты по безопасности / Управление информационной безопасностью
Цель: Обеспечить контроль доступа к производственной информации.
Доступ к компьютерным системам и данным необходимо контролировать исходя из производственных требований.
Такой контроль должен учитывать правила распространения информации и разграничения доступа, принятые в организации.
Производственные требования к управлению доступом к системам необходимо определить и задокументировать. Для обеспечения надлежащего уровня контроля доступа к информационным сервисам и данным и его поддержания, следует четко сформулировать производственные требования к управлению доступом к системам для поставщиков услуг.
Каждый владелец производственного приложения должен четко сформулировать политику контроля доступа к данным, которая определяет права доступа каждого пользователя или группы пользователей. Эта политика должна учитывать следующее:
Примечание. Необходимо также принять во внимание соответствующее законодательство и договорные обязательства, касающиеся защиты доступа к данным и сервисам.
Следует рассмотреть возможность создания стандартных профилей полномочий доступа пользователей для общих категорий работ.
Цель: Предотвратить несанкционированный доступ к компьютерным системам.
Для управления процессом предоставления прав доступа к информационным системам требуются формальные процедуры.
Эти процедуры должны включать в себя все стадии жизненного цикла управления доступом пользователей — от начальной регистрации новых пользователей до удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам. Особое внимание следует уделить необходимости управления процессом предоставления привилегированных прав доступа, которые позволяют пользователям обойти средства системного контроля.
Для управления доступом ко всем многопользовательским информационным системам должна существовать формальная процедура регистрации и удаления учетных записей пользователей.
Доступ к многопользовательским информационным системам необходимо контролировать посредством формального процесса регистрации пользователей, который должен, например:
Использование специальных привилегий (см. Инцидент в системе безопасности) следует ограничить и контролировать.
Примечание. Предоставление и использование излишних системных привилегий зачастую оказывается одним из основных факторов, способствующих нарушению режима безопасности систем (уязвимость).
Для многопользовательских систем, требующих защиты от несанкционированного доступа, предоставление привилегий необходимо контролировать посредством формального процесса определения полномочий следующим образом:
В настоящее время пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Назначение паролей необходимо контролировать посредством формального процесса управления, требования к которому должны быть следующими:
Существуют другие технологии, например, проверка подлинности подписи, которые следует рассмотреть в том случае, если обеспечение более высокого уровеня безопасности оправдано.
Для обеспечения эффективного контроля за доступом к данным и информационным системам руководство должно реализовывать формальный процесс пересмотра прав доступа пользователей через регулярные промежутки времени. Такой процесс должен обеспечивать следующее:
Цель: Предотвратить несанкционированный доступ пользователей.
Крайне важным условием поддержания надлежащего режима безопасности является участие и помощь зарегистрированных пользователей.
Пользователи должны знать свои обязанности по обеспечению эффективного контроля доступа, особенно что касается использования паролей и защиты пользовательского оборудования.
Пользователи должны следовать установленным процедурам поддержания режима безопасности при выборе и использовании паролей.
Пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Предлагаются следующие рекомендации по выбору и использованию паролей:
Если пользователям необходим доступ ко многим сервисам и платформам и от них требуется поддержание нескольких паролей, то им следует рекомендовать использовать один единственный надежный пароль (см. Система управления паролями) для входа во все системы, которые обеспечивают минимальный уровень защиты для хранения паролей.
Примечание 1. Рекомендуемый уровень защиты — использование алгоритма одностороннего шифрования пользовательских паролей.
Примечание 2. Руководство по разработке и выбору систем управления паролями см. также Система управления паролями.
Пользователи должны обеспечить надлежащую защиту оборудования, оставленного без присмотра. Оборудование, установленное на рабочих местах пользователей, например, рабочие станции и файловые серверы, может потребовать специальной защиты от несанкционированного доступа в тех случаях, когда оно оставляется без присмотра на продолжительное время. Все пользователи и подрядчики должны знать требования к безопасности и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты. Предлагаются следующие рекомендации:
Цель: Обеспечить защиту систем, объединенных в сеть.
Подключения к системам, объединенным в сеть, следует контролировать.
Это необходимо для того, чтобы подключенные пользователи и компьютерные системы не нарушали зашиту других сетевых сервисов. Средства контроля должны включать в себя следующее:
Доступ к сети и компьютерным системам, осуществляемый пользователем с конкретного терминала, должен предоставляться в соответствии с политикой управления доступом, принятой в организации (см. Документированная политика управления доступом к информации). В частности, пользователям следует предоставить только прямой доступ к сервисам, использование которых им разрешено.
Примечание. Данное средство контроля является особенно важным для сетевых подключений к конфиденциальным или критически важным производственным приложениям, а также для пользователей в зонах повышенного риска, например, в общедоступных местах или местах, находящихся вне пределов досягаемости администраторов безопасности организации.
В ряде случаев путь от пользовательского терминала к компьютерной системе необходимо контролировать. Современные сети предоставляют максимальные возможности для коллективного использования ресурсов и гибкость маршрутизации. Эти особенности также дают возможность несанкционированного доступа к производственным приложениям или незаконного использования информационных систем. Такой риск можно уменьшить, привлекая средства контроля для ограничения маршрута между пользовательским терминалом и компьютерными системами, доступ к которым пользователю разрешен, т.е. создавая принудительный маршрут.
Цель такой принудительной маршрутизации — предотвратить нежелательное ╚отклонение╩ пользователей от маршрута между пользовательским терминалом и системами, доступ к которым пользователю разрешен. Для этого обычно требуется реализация ряда средств контроля в нескольких точках пути. Принцип состоит в том, чтобы ограничить возможности выбора маршрута в каждой точке сети посредством предопределенных вариантов.
Примерами такого ограничения пути являются:
В основе требований к принудительной маршрутизации должна лежать политика управления доступом, принятая в организации (см. Документированная политика управления доступом к информации).
Несанкционированный доступ к производственным приложениям может быть осуществлен посредством внешнего подключения к компьютерам организации через общедоступные сети или сети, не принадлежащие организации. Поэтому необходима аутентификация подключений, осуществляемых удаленными пользователями через общедоступные (или не принадлежащие организации) сети.
Аутентификация может выполняться на уровне компьютера, поддерживающего приложение, или на сетевом уровне. Для определения необходимого уровня аутентификации, возможно потребуется оценка рисков и непосредственного ущерба от реализации угроз для организации.
Как на сетевом уровне, так и на уровне компьютера аутентификацию удаленных пользователей можно осуществлять с помощью, например, систем оперативного реагирования на проблемы и шифрования линии связи. Использование выделенных частных линий связи или средства проверки сетевых адресов пользователей также дает уверенность в источнике подключений.
Несанкционированный доступ к производственному приложению может быть осуществлен посредством автоматического подключения удаленного компьютера, поэтому необходимо аутентифицировать подключения удаленных компьютерных систем. Это особенно важно если подключение осуществляется через открытую сеть, находящуюся вне пределов досягаемости администраторов безопасности организации.
Аутентификацию можно выполнять на уровне компьютера, поддерживающего приложение, или на сетевом уровне. Для определения требований к аутентификации удаленных систем, возможно потребуется оценка рисков и непосредственного ущерба от реализации угроз для организации. На сетевом уровне аутентификация удаленной системы может быть осуществлена посредством аутентификации узлов сети с помощью, например, систем оперативного реагирования на проблемы или шифрования линии связи. Использование выделенных частных линий связи или средств проверки сетевых адресов пользователей также дает уверенность в источнике подключений.
Примечание. Аутентификация узлов сети может также служить в качестве альтернативного, менее дорогостоящего средства аутентификации групп удаленных пользователей в случае, когда они подключены к защищенной, совместно используемой компьютерной системе (см. Аутентификация пользователей).
Доступ к диагностическим портам необходимо контролировать.
Многие компьютеры оснащены портами для диагностики удаленного, коммутируемого подключения, используемые специалистами по техническому обслуживанию. Если такие диагностические порты не защищены, то их можно использовать для несанкционированного доступа. Поэтому их следует защитить с помощью надлежащих механизмов безопасности, например, посредством блокировки с ключом, и процедуры, которая гарантирует, что эти порты становятся доступными только после получения санкции от администратора компьютерной системы на доступ специалистов по техническому обслуживанию программно-аппаратного обеспечения.
В ряде случаев может возникнуть необходимость в разбиении крупных сетей на отдельные сегменты.
По мере формирования деловых партнерских отношений, которые могут потребовать объединение и коллективное использование компьютеров и сетевых сервисов, вычислительные сети все больше и больше выходят за пределы традиционных границ организации. Такое расширение границ может увеличить риск несанкционированного доступа к функционирующим компьютерным системам, подключенным к сети, некоторые из которых могут потребовать защиты от других пользователей сети вследствие их уязвимости или важности для организации. В таких случаях необходимо рассмотреть возможность привлечения средств контроля для разделения групп пользователей и компьютеров.
Один из методов управления безопасностью крупных сетей состоит в их разбиении на несколько логических сегментов, каждый из которых защищен межсетевым экраном в пределах заданного периметра безопасности. Тогда доступ к сегментам сети можно контролировать с помощью шлюзов безопасности, привлекая надлежащие средства контроля маршрута и подключения (см. Контроль сетевых подключений и Управление сетевой маршрутизацией).
В основе критериев разбиения сетей на сегменты должна лежать политика управления доступом, принятая в организации и соответствующие требования (см. Производственные требования к управлению доступом к системам). Кроме того, эти критерии должны учитывать относительную стоимость и последствия от внедрения подходящей технологии сетевой маршрутизации и шлюзов для производительности систем (см. Контроль сетевых подключений и Управление сетевой маршрутизацией).
Примечание. Каждый сегмент сети может иметь свою собственную политику безопасности и администраторов безопасности.
Для удовлетворения требований политики управления доступом к определенным производственным приложениям, коллективно используемые сети, особенно те из них, которые выходят за пределы границ организации, могут потребовать реализации средств контроля для ограничения возможности подключения пользователей. Такой контроль может быть осуществлен посредством межсетевых шлюзов, которые фильтруют передаваемые по сети данные с помощью предопределенных таблиц и правил. В основе ограничений на подключение пользователей должна лежать политика управления доступом к производственным приложениям (см. Производственные требования по управлению доступом к системам).
Примерами таких ограничений являются:
Совместно используемые сети, особенно те из них, которые выходят за пределы границ организации, могут потребовать привлечения средств контроля маршрутизации для подключения компьютерных систем и информационные потоки не нарушали политику управления доступом к производственным приложениям (см. Производственные требования к управлению доступом к системам).
Примечание. Это средство контроля особенно важно для сетей, доступ к которым имеют сторонние (не принадлежащие организации) пользователи.
Средства управления маршрутизацией должны быть основаны на механизмах проверки адреса источника данных и назначения. Такие средства можно реализовать на программном или аппаратном уровне. Те, кто реализует средства контроля должны хорошо знать сильные стороны используемых механизмов.
Существует целый ряд общедоступных и коммерческих сетевых сервисов, некоторые из которых предлагают дополнительные услуги. Сетевые сервисы могут иметь уникальные (возможно сложные) защитные характеристики. Организации, пользующиеся сетевыми сервисами, должны потребовать от своих поставщиков сетевых услуг четкого описания атрибутов безопасности всех используемых сервисов и определить последствия от нарушения режима безопасности для конфиденциальности, целостности, и доступности (см. Информационная безопасность) производственных приложений.
Цель: Предотвратить несанкционированный доступ к компьютерам.
Доступ к компьютерным системам необходимо контролировать.
Такой доступ следует предоставлять только зарегистрированным пользователям. Компьютерные системы, обслуживающие многих пользователей, должны быть способны делать следующее:
Существуют также более мощные и дорогостоящие системы управления доступом, такие, как системы оперативного реагирования на проблемы. Использование таких систем оправдано в случае высокого риска нарушения режима безопасности организации.
Для аутентификации подключений к конкретным узлам сети следует рассмотреть возможность автоматической идентификации терминалов. Автоматическая идентификация терминалов — это средство, которое можно использовать для тех приложений, для которых важно, чтобы сеанс связи можно было инициировать только с конкретного терминала. Идентификатор, присвоенный терминалу, можно использовать для указания того, разрешено ли конкретному терминалу инициировать сеанс связи или производить определенные действия. Для обеспечения безопасности терминального идентификатора, возможно потребуется физическая защита терминала.
Примечание. Существует также ряд других методов аутентификации пользователей (см. Аутентификация пользователей).
Доступ к информационным сервисам следует осуществлять с помощью надежной процедуры входа в системы.
Процедура входа в компьютерную систему (logon) должна сводить риск несанкционированного доступа к минимуму, поэтому она должна давать минимум информации о системе, чтобы избежать оказания излишней помощи незарегистрированному пользователю. Хорошая процедура входа в систему должна выполнять следующие функции:
Для отслеживания действий отдельных лиц, всем пользователям необходимо присвоить уникальные персональные идентификаторы. Пользовательские идентификаторы не должны указывать на уровень привилегий пользователя (см. Управление привилегиями), например, администратор, наблюдатель и т.п.
В исключительных ситуациях, в случае явных преимуществ для организации, можно использовать общий пользовательский идентификатор для группы пользователей или конкретного задания. Такие случаи должны быть утверждены руководством и задокументированы. Для обеспечения подотчетности могут потребоваться дополнительные средства контроля.
Для аутентификации пользователей необходимо использовать эффективную систему управления паролями. Пароли являются основным средством подтверждения полномочий доступа пользователя к компьютерной системе. Системы управления паролями должны предоставлять эффективное, интерактивное средство обеспечения надежных паролей (Руководство по использованию паролей приведено в 7.3.1).
Примечание. Некоторые приложения требуют назначения пользовательских паролей независимым лицом, наделенным соответствующими полномочиями. В большинстве случаев пароли выбираются и поддерживаются самими пользователями.
Хорошая система управления паролями должна:
задать минимальное количество символов в паролях;
Примечание. Рекомендуется шесть символов.
принуждать пользователей к изменению паролей через регулярные промежутки времени в тех случаях, когда они сами поддерживают свои пароли;
Примечание. Рекомендуется интервал в несколько дней по умолчанию.
Необходимо рассмотреть возможность использования сигнала тревоги, предупреждающий о принуждении, для тех пользователей, которые могут быть мишенью для принуждения (см. Сигнал тревоги, предупреждающий о принуждении).
Решение о том, использовать ли такой сигнал тревоги или нет, следует принимать исходя из оценки рисков. Для реагирования на сигнал тривоги необходимо определить обязанности и процедуры.
Для бездействующих терминалов в зонах повышенного риска, например, в общедоступных местах или местах, находящихся вне пределов досягаемости администраторов безопасности организации, или обслуживающих системы повышенного риска, необходимо установить время простоя для предотвращения доступа незарегистрированных пользователей. Средство установления времени простоя должно очищать экран терминала и завершать сеансы связи с приложениями и сетевыми сервисами после заданного периода бездействия. Время простоя должно задаваться исходя из риска нарушения режима безопасности пользовательского терминала.
Примечание. Некоторые ПК можно обеспечить средством установления времени простоя терминала, которое позволяет очистить экран и предотвратить несанкционированный доступ, однако оно не позволяет завершить сеанс связи с приложениями и сетевыми сервисами.
Дополнительную защиту приложений повышенного риска можно обеспечить посредством ограничения времени подключения. Ограничение разрешаемого периода подключения терминала к компьютерным системам позволяет уменьшить вероятность несанкционированного доступа. Применение такого средства контроля следует рассмотреть для компьютерных систем, поддерживающих конфиденциальные приложения, особенно для систем с терминалами, установленными в зонах повышенного риска, например, в общедоступных местах или местах, находящихся вне пределов досягаемости администраторов безопасности организации. Примерами таких ограничений являются:
Цель: Предотвратить несанкционированный доступ к информации, хранимой в компьютерных системах.
Для управления доступом к прикладным системам и данным, необходимо использовать логические средства контроля доступа.
Логический доступ к компьютерным программам и данным следует предоставлять только зарегистрированным пользователям. Прикладные системы должны:
Пользователям прикладных систем, в том числе обслуживающему персоналу следует предоставлять доступ к данным и приложениям в соответствии с политикой управления доступом к информации (см. Документированная политика управления доступом к информации), принятой в организации, исходя из индивидуальных потребностей в производственных приложениях. Чтобы удовлетворить требования политики управления доступом, необходимо рассмотреть следующие средства контроля:
Большинство компьютерных систем поддерживают одну или несколько системных программ-утилит, которые способны обойти средства контроля системы и приложений. Необходимо ограничить и тщательно контролировать использование таких системных утилит. Предлагается использовать следующие средства контроля (по возможности):
Для сведения риска повреждения компьютерных программ к минимуму, необходимо осуществлять жесткий контроль за доступом к библиотекам исходных текстов программ (см. также Средства защиты от вирусов):
Уязвимые системы могут потребовать выделенную (изолированную) вычислительную среду. Некоторые прикладные системы настолько уязвимы по отношению к возможной потере данных, что требуют специального обращения.
Уязвимость может указывать на необходимость запуска приложения на выделенном компьютере или разделения ресурсов только с надежными прикладными системами. Приложение также может не иметь никаких ограничений. Предлагаются следующие рекомендации:
Цель: Выявить несанкционированные действия.
Для обеспечения соответствия политике управления доступом и стандартам необходимо следить за системами.
Это необходимо для того, чтобы определить эффективность принятых мер и обеспечить соответствие модели политики управления доступом (см. Документированная политика управления доступом к информации).
Все чрезвычайные ситуации и события, связанные с нарушением режима безопасности, необходимо регистрировать в контрольном журнале. Записи в таком журнале следует хранить в течение заданного промежутка времени для оказания помощи в будущих расследованиях и осуществлении контроля за доступом. Кроме отвергнутых попыток входа в системы, целесообразно также регистрировать случаи успешного доступа к ним. Контрольный журнал должен включать следующие данные:
Необходимо установить процедуры слежения за использованием систем.
Такие процедуры требуются для обеспечения выполнения пользователями только явно разрешенных процессов. Уровень контроля, требуемый для отдельных систем, следует определить с помощью независимой оценки рисков. Необходимо рассмотреть следующие пункты:
Все действия, связанные со слежением за системами, должны быть формально разрешены руководством.
Для обеспечения точности контрольных журналов, которые могут потребоваться для расследований или в качестве свидетельства во время судебных разбирательств и при наложении дисциплинарных взысканий, важно правильно установить системные часы компьютеров. Неточные контрольные журналы могут помешать таким расследованиям и подорвать доверие к такому свидетельству.
В тех случаях, когда компьютер или коммуникационное устройство поддерживает часы реального времени, необходимо их установить в соответствии с принятым стандартом, например, на Гринвичское среднее время или местное стандартное время. Поскольку некоторые часы, как известно, уходят со временем, необходимо иметь процедуру их проверки и коррекции в случае значительного ухода.
Раздел 8 Разработка и сопровождение информационных систем