Система обеспечения информационной безопасности в государственном учреждении

-  управление доступом в операционной системе;

-  мониторинг доступа и использования систем;

-  управление доступом мобильных пользователей. 

5.6.1. Политика управления  доступом 

Политика управления доступом может быть основана на мандатной  или дискреционной модели управления доступом, или на их комбинации. Для  автоматизированных участков информационной системы политика управления доступом должна быть реализована формально  средствами операционной системы или  специальным программным (программно-аппаратным) средством.

Политика управления доступом в центре должна учитывать:

-  требования по безопасности отдельных функциональных задач (приложений);

-  идентификацию всей информации, связанной с приложениями;

-  политику распространения и авторизации информации, например, необходимо знать принципы и уровни безопасности и иметь классификацию информации;

-  соответствие между управлением доступом и принципами классификации информации в разных системах и сетях;

-  законодательные акты по защите информационных ресурсов;

-  стандартные профили доступа для всех типовых категорий пользовате-лей;

-  управление правами пользователей в распределенных системах со всеми типами соединений.

Правила управления доступом:

-  дифференциация между правилами, которые обязательны или необязательны;

-  создание правил доступа по принципу "запрещено все, что не разрешено явно";

-  определение действий, для осуществления которых нужны права администратора безопасности. 

5.6.2. Управление доступом  пользователей 

Управление доступом пользователей является основной задачей  системы разграничения доступа.

Для решения этой задачи необходимо реализовать:

-  регистрацию пользователей;

-  управление правами пользователей;

-  управление паролями пользователей;

-  проверку прав пользователей. 

5.6.3. Регистрация  пользователей 

-  использование уникальных идентификаторов пользователей, по которым их можно однозначно идентифицировать. Применение групповых идентификаторов может быть разрешено только в исключительных случаях для выполнения специфических прикладных задач;

-  проверка регистрации пользователей в системе (авторизация пользовате-лей);

-  проверка соответствия уровней доступа пользователей функциональным задачам и политике безопасности центра;

-  документальная фиксация назначенных пользователям прав доступа;

-  ознакомление пользователей под роспись с предоставленными правами доступа и порядком его осуществления;

-  все сервисы должны разрешать доступ только аутентифицированным пользователям;

-  поддержка актуальности формального списка пользователей, зарегистрированных для работы в системе;

-  исправление (удаление) прав доступа при изменении должностных обязанностей (увольнении);

-  периодический контроль и удаление не используемых учетных записей;

-  обеспечение недоступности запасных идентификаторов другим пользова-телям. 

5.6.4. Управление правами  пользователей 

В многопользовательских  автоматизированных системах должны быть формально реализованы следующие  процедуры авторизации:

-  права доступа к каждому системному компоненту (например, к ОС, СУБД и приложениям) должны быть определены для всех категорий пользователей, имеющих к ним доступ;

-  права пользователей, которые назначаются по необходимости, должны быть минимальны и соответствовать реально решаемым задачам. Минимизация пользовательских прав должна быть реализована через системные процедуры;

-  доступ должен предоставляться только после успешного прохождения процессов идентификации и аутентификации. Факт получения доступа должен фиксироваться в системном журнале; 

5.6.5. Управление паролями  пользователей 

-  все пользователи должны быть ознакомлены под роспись с требованием сохранения в тайне индивидуальных и групповых паролей доступа;

-  система доступа должна требовать смены временного пароля при первом входе пользователя в систему;

-  временные пароли должны передаваться пользователям с соблюдением правил защиты от перлюстрации;

-  не рекомендуется передавать пароли через третьих лиц или по открытым каналам связи. Пользователь должен подтвердить получение пароля. 

5.6.6. Проверка прав  пользователей 

-  проверка прав пользователей должна проводиться регулярно (каждые 6 месяцев) или после каждого изменения в системе;

-  проверка прав пользователей, имеющих особые полномочия для доступа в систему должна проводиться каждые 3 месяца;

-  необходимо регулярно проверять адекватность назначенных прав решаемым задачам. 
 
 

5.6.7. Обязанности  пользователей при использовании

защитных механизмов 

Некоторые защитные механизмы способны выполнять свои функции только при корректном их применении пользователями. В этом случае "человеческий фактор" является решающим критерием эффективности  защитного механизма. Для снижения вероятности ошибок или злоупотреблений  пользователей при использовании  защитных механизмов необходимо определить для них соответствующие обязанности.  

5.6.8. Обязанности  при использовании паролей 

Пользователи должны знать и соблюдать следующие  правила обращения с паролями:

-  хранить пароли в тайне;

-  не записывать пароли на бумагу, если они не хранятся в безопасном мес-те;

-  при компрометации (разглашении или подозрении на разглашение па-роля) немедленно менять пароли;

-  выбирать пароли стойкие к подбору, руководствуясь основными правилами:

- длина пароля должна быть не менее 6-ти символов (для критичных систем не менее 8-ми);

- пароль легко запоминается;

- пароль не должен иметь семантического смысла (имя пользователя, дата рождения, слово или фраза и т.п.);

- пароль не должен являться легко прогнозируемой последовательностью каких-либо символов (например, "111111", "aaaaaa", "123456", "qwerty" и т.п.)

-  периодически изменять пароли (либо через определенный промежуток времени, либо после определенного числа использований). Пароли привилегированных пользователей должны меняться чаще. При смене паролей недопустимо выбирать комбинации, которые уже использова-лись ранее;

-  изменять заданный администратором временный пароль при первом же входе в систему;

-  не использовать автоматический вход в систему и не применять сохране-ние пароля под функциональными клавишами;

-  не сообщать другим пользователям личный пароль и не регистрировать их в системе под своим паролем. 

5.6.9. Обязанности  при обеспечении безопасности  оборудования 

Пользователи обязаны:

-  обеспечивать безопасность рабочих станций и терминалов завершением активной сессии перед выходом из помещения, за исключением случаев длительной автоматической обработки данных при обязательном условии блокировки экрана и клавиатуры;

-  закрывать соединение с сервером при окончании работы в сети. 

5.6.10. Контроль и  управление удаленным сетевым  доступом 

При планировании функционирования распределенных прикладных задач в  сети необходимо регламентировать правила  использования сетевых служб  и сервисов:

-  определить сети и сетевые службы, к которым возможен доступ;

-  предоставлять доступ к сетям и сетевым службам только после прохождения процедур идентификации и аутентификации;

-  порядок осуществления удаленного доступа должен быть регламентиро-ван соответствующими документами (процедуры, регламенты, инструк-ции);

-  для предоставления удаленного доступа в систему необходимо опреде-лить методы идентификации точки доступа и контроля маршрута к ресурсам системы (межсетевые экраны, потоковые шифраторы трафика, защищенные виртуальные сети (VPN), контроль на прикладном уровне и т.д.);

-  контроль над сетевыми соединениями и маршрутизацией должен осу-ществляться в соответствии с принятой политикой безопасности с использованием межсетевых экранов, потоковых шифраторов, средств адаптивного управления безопасностью, средств контроля трафика, методами установления временных рамок входа в систему, идентификацией терминалов и сетевых адресов (т.е. точек доступа), ограничением числа одновременных соединений одного пользователя, запретом или ограничением числа соединений с одного адреса под разными идентификаторами и т.п.  

5.6.11. Управление доступом  к операционной системе 

Необходимо обеспечить:

-  идентификацию и аутентификацию пользователя, а при необходимости и идентификацию оборудования (сетевой адрес, номер терминала и т.п.), с которого осуществляется доступ;

-  запись успешных и неудачных попыток входа;

-  использование качественных паролей, если применяется парольная система аутентификации;

-  ограничение временных рамок доступа пользователей в систему и число одновременных подключений. 
 
 

5.6.12. Процедура входа  в систему 

Процедура входа  в систему должна обеспечивать следующие  требования:

-  не выдавать информацию о типе и версии системы или приложения до успешного завершения процедур идентификации и аутентификации, а также справочной информации с целью защиты от угрозы раскрытия параметров системы;

-  выдавать предупреждение, что вход в систему разрешен только авторизованным пользователям;

-  проверку введенной информации осуществлять только после полного ее ввода. В случае обнаружения ошибки система не должна уточнять, какие именно данные введены неправильно;

-  ограничивать число неудачных попыток входа. При этом каждая итера-ция должна включать:

- запись неудачной попытки входа;

- временную задержку перед следующей попыткой входа в систему или блокирование всех дальнейших попыток входа без дополнительной авторизации;

- отсоединение.

-  контролировать ограничения по времени, заданные для пользователя, и отказывать в доступе при их нарушении;

-  после успешного входа пользователя в систему информировать его:

- о дате и времени предыдущего входа в систему;

- о любых неуспешных попытках входа, произошедших с момента последней успешной регистрации. 
 
 

5.6.13. Система управления  паролями 

Система управления паролями должна обеспечивать:

-  обязательное применение индивидуальных паролей;

-  регламентировать порядок выбора и смены паролей пользователями с реализацией процедуры контроля ошибок при вводе пароля;

-  реализацию системы контроля качества выбираемых или генерируемых паролей;

-  в системах, предусматривающих замену паролей пользователями, должна присутствовать процедура смены заданных администратором, производителями оборудования и программного обеспечения паролей при первом входе в систему;

-  ведение базы данных старых паролей пользователей для блокирования возможности их повторного использования;

-  запрет на отображение пароля на экране монитора при его вводе;

-  хранение файла (базы данных) паролей отдельно от данных прикладных программ с защитой криптографическими методами, использующими стойкие алгоритмы. 

5.6.14. Использование  системных утилит 

Системные утилиты  позволяют выполнять различные  функции, которые не применяются  для решения прикладных задач  и могут реализовать доступ к  системе в обход политики безопасности.