Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников

отражать удаление или изменения прав доступа.

Если увольняющийся сотрудник или представитель сторонней организации знает еще действующие пароли пользователей, они должны быть изменены после его увольнения или изменения условий трудового договора, контракта или соглашения.

Права доступа к информации и активам, связанным со средствами обработки информации, должны быть изменены или удалены до момента увольнения или изменения условий труда с учетом оценки следующих факторов риска:

— было ли увольнение или изменение условий труда инициировано сотрудником, представителем сторонней организации или руководством, и причина этого;

— текущие обязанности сотрудника, представителя сторонней организации или любого другого пользователя;

— ценность активов, доступных в настоящий момент.

В случае инициации увольнения руководством организации недовольные сотрудники или представители сторонней организации могут умышленно повредить информацию или средства ее обработки. Кроме того, увольняемые лица могут собирать информацию для последующего использования.

Управление правами привилегированного доступа

Меры и средства

Присвоение и использование прав привилегированного доступа должно ограничиваться и контролироваться.

Рекомендации по реализации

Присвоение прав привилегированного доступа должно контролироваться формальным процессом авторизации в соответствии с правилами разграничения доступа.

Необходимо рассмотреть следующие шаги:

— определение прав привилегированного доступа в отношении каждой системы или процесса, например, ОС, СУБД, приложения и пользователей, которым эти привилегии должны быть присвоены;

— права привилегированного доступа должны присваиваться пользователям на основании принципа их необходимости в соответствии с правилами разграничения доступа, т. е. минимума требований для их функциональных ролей;

— обеспечение процедуры авторизации и записи всех предоставленных привилегий; права привилегированного доступа не должны предоставляться до завершения процедуры авторизации;

— определение требований по сроку действия прав привилегированного доступа;

— идентификатор пользователя с правами привилегированного доступа должен отличаться от идентификаторов, выполняющих обычную работу, и не должен ее выполнять;

— полномочия пользователей с правами привилигированных доступа должны регулярно пересматриваться на предмет соответствия их обязанностям;

— обеспечение специальных процедур для предотвращения несанкционированного использования универсальных административных идентификаторов с учетом особенностей системной конфигурации;

— обеспечение конфиденциальности при совместном использовании пароля универсальных административных идентификаторов (например, частая смена паролей, особенно при увольнении или смене работы, их передача с помощью специальных механизмов).

Неправильное использование системных административных привилегий (любая функция или устройство ИС, предоставляющее возможность пользователю обойти системные или программные меры защиты) является главной причиной сбоев и отказов систем.

Управление паролями

Меры и средства

Присвоение секретной информации аутентификации (пароля) пользователей должно контролироваться посредством формального процесса управления.

Рекомендации по реализации

Формальный процесс управления должен включать следующие требования:

— пользователи должны подписать заявление о сохранении персонального пароля в тайне и хранить групповые пароли членов группы (например, при общем доступе); это подписанное заявление должно содержать сроки и условия трудоустройства;

— если пользователям необходимо самостоятельно управлять своими паролями, им следует первоначально предоставить безопасный временный пароль, который подлежит немедленной замене после входа в систему;

— должны быть созданы процедуры проверки личности пользователя прежде, чем ему будет предоставлен новый, сеансовый или временный пароль;

— временные пароли следует выдавать пользователям безопасным способом, необходимо исключить использование незащищенного (открытого) текста сообщений электронной почты;

— временные пароли должны быть уникальны для каждого пользователя и не должны быть легко угадываемыми;

— пользователи должны подтверждать получение паролей;

— пароли поставщика, установленные по умолчанию, необходимо изменить после инсталляции систем или ПО.

Пароли являются наиболее распространенным типом секретной информации аутентификации и средством проверки личности пользователя. Другим типом секретной информации аутентификации являются криптографические ключи и другие данные, хранящиеся на «токенах» (смарт-картах), создающих коды аутентификации.

5.3. Ответственность пользователя

Цель: Сделать пользователя ответственным за хранение информации аутентификации (пароля).

Пользование паролем

Меры и средства

Пользователи должны выполнять установленный в организации порядок использования секретной информации аутентификации (пароля).

Рекомендации по реализации

Всем пользователям надо посоветовать следующее:

— хранить секретную информацию аутентификации в тайне, исключая возможность его разглашения даже друзьям;

— не записывать секретную информацию аутентификации (например, на бумаге, ручном устройстве, в виде файла), за исключением того случая, когда используется безопасное место и надежный метод хранения (например, сейф паролей);

— менять секретную информацию аутентификации при малейшем признаке компрометации;

— если в качестве секретной информации аутентификации используется пароль, выбрать качественный пароль с минимально достаточной длиной, который:

• легко запомнить;

• не содержит того, что можно легко угадать, или какую-либо персональную информацию (например, имена, номера телефонов, даты рождения и т. п.);

• неуязвим для словарных атак (т. е. не содержит слов, включенных в словари);

• не содержит подряд идущих одинаковых символов, только цифровых или только буквенных;

• если временный, сразу сменить при первом входе в систему;

— не делиться индивидуальной секретной информацией аутентификации пользователя;

— надлежащим образом защищать и хранить пароли, используемые в качестве секретной информации аутентификации в процедурах автоматического входа;

— не использовать одну и ту же секретную информацию аутентификации для бизнес и не бизнес-целей.

Применение технологии «единого входа» (Single Sign-On, SSO) или других инструментов управления секретной информацией аутентификации снижает ее объем и тем самым может повысить эффективность ее защиты. Однако эти инструменты могут усилить влияние от разглашения секретной информации аутентификации.

5.4. Управление доступом к системе и приложениям

Цель: Предотвратить несанкционированный доступ к системе и приложениям.

Управление доступом к системе определяют следующие составляющие:

— процедуры безопасного входа;

— система управления паролями;

Управление доступом к приложениям обеспечивают следующие мероприятия:

— ограничение доступа к информации;

— использование системного ПО;

— управление доступом к исходным кодам программ.

Процедуры безопасного входа

Меры и средства

Доступ к системе и приложениям должен контролироваться с помощью процедуры безопасного входа в соответствии с правилами разграничения доступа.

Рекомендация по реализации

Должно быть выбрано соответствующее средство аутентификации для подтверждения заявленной личности пользователя.

Если требуется строгая аутентификация и проверка личности, вместо паролей должны использоваться такие методы аутентификации, как средства криптографии, биометрии, смарт-карты или токены.

Процедура входа в систему или приложение должна минимизировать возможность несанкционированного доступа. Процедура входа должна разглашать минимум информации о системе и приложении, чтобы избежать какого-либо содействия неавторизованному пользователю.

Правильная процедура входа должна:

— не отображать наименований системы и приложений, пока процесс входа не будет успешно завершен;

— отображать общее предупреждение о том, что доступ к компьютеру могут получить только авторизованные пользователи;

— не предоставлять сообщений-подсказок в течение процедуры начала сеанса, которые могли бы помочь неавторизованному пользователю;

— подтверждать информацию начала сеанса только по завершении ввода всех исходных данных, а в случае ошибочного ввода не показывать, какая часть данных является правильной или неправильной;

— защищать от перебора попыток входа;

— регистрировать успешные и неуспешные попытки входа;

— повысить событие безопасности в случае выявления потенциальных попыток и реального нарушения мер защиты входа;

— отображать следующую информацию после завершения успешного входа:

• дату и время предыдущего успешного входа;

• детали любых неуспешных попыток входа, начиная с последнего успешного входа;

— не отображать введенный пароль;

— не передавать пароли открытым текстом по сети;

— завершать неактивные сессии после определенного периода неактивности, особенно