Контроль доступа (BS ISO/IEC 27002:2005 RU, раздел 11)

Бизнес требования к контролю доступа

Цель: Контролировать доступ к информации.

Доступ к информации, средствам ее обработки и бизнес процессам должен контролироваться на основе  бизнес требований и требований безопасности.

При этом должны учитываться политики распространения и авторизации доступа к информации.

Политика контроля доступа

Механизм контроля

Политика контроля доступа должна быть установлена и документирована, а также регулярно пересматриваться на основе бизнес требований и требований безопасности.

Руководство по внедрению

В политике контроля доступа должны быть четко определены правила контроля доступа и права доступа для каждого пользователя или группы пользователей. Применяются физические и логические механизмы контроля доступа (см. также раздел 9) и они должны рассматриваться вместе. Пользователям и сервис-провайдерам должны быть предоставлены четкие формулировки бизнес требований, которым должны соответствовать механизмы контроля доступа.

Политика должна учитывать следующее:

• требования безопасности для отдельных бизнес приложений;
• идентификация всей информации, относящейся к бизнес приложениям, и риски, связанные с этой информацией;
• политики распространения и авторизации доступа к информации, например, необходимость знания основных правил предоставления доступа, а также уровней безопасности и классификации информации;
• согласованность между политикой контроля доступа и политикой классификации информации в различных системах и сетях;
• относящаяся к делу законодательная база и любые договорные обязательства относительно защиты доступа к данным и сервисам;
• стандартные профили полномочий пользователей для основных функциональных ролей в организации;
• управление правами доступа в распределенной и сетевой среде, учитывающие все доступные типы соединений;
• разделение ролей по контролю доступа, например, запрос доступа, авторизация доступа, администрирование доступа;
• требования по формальной авторизации запросов на доступ;
• требования по периодической проверке механизмов контроля доступа;
• отмена прав доступа.

Дополнительная информация

При определении правил контроля доступа необходимо учитывать следующее:

• дифференциация между правилами, обязательными для выполнения, и необязательными правилами или правилами, выполнение которых определяется некоторыми условиями;
• определение правил на основе принципа - «Все, что явным образом не разрешено, должно быть запрещено» в отличие от более слабого принципа - «Все, что явным образом не запрещено, разрешено»;
• изменения информационных меток, инициированные автоматически средствами обработки информации и инициированные по усмотрению пользователя;
• изменения полномочий пользователей, инициированные автоматически информационной системой и инициированные администратором;
• правила, требующие для ввода в действие специальной санкции, и правила, не требующие визирования.

Правила контроля доступа должны поддерживаться формальными процедурами и четко определенной ответственностью.

Управление доступом пользователей

Цель: Обеспечить санкционированный доступ пользователей и предотвратить несанкционированный доступ к информационным системам.

Должны существовать формальные процедуры контроля предоставления прав доступа к информационным системам и сервисам.

Эти процедуры должны охватывать все этапы жизненного цикла процесса осуществления пользователем доступа к системе, начиная с первоначальной регистрации в системе новых пользователей и заканчивая удалением учетных записей пользователей, которым более не требуется доступ к информационным системам и сервисам. Особое внимание следует уделить, там, где это целесообразно, необходимости контроля предоставления привилегированных прав доступа, позволяющих пользователям игнорировать системные механизмы контроля.

Регистрация пользователей

Механизм контроля

Должна существовать формальная процедура регистрации и удаления учетных записей пользователей для предоставления и отмены доступа ко всем информационным системам и сервисам.

Руководство по внедрению

Процедура контроля доступа, обеспечивающая регистрацию и удаление пользователей должна включать следующее:

• использование уникальных идентификаторов пользователей, позволяющих ассоциировать пользователей с производимыми ими действиями и обеспечить их подотчетность; использование групповых идентификаторов допускается только в том случае, если это необходимо для выполняемой работы, такое использование должно быть санкционировано и документировано;
• проверка наличия у пользователя разрешения на использование информационной системы или сервиса, полученного  от их владельца; также может потребоваться отдельное разрешение руководства на предоставление прав доступа;
• проверка соответствия предоставленного уровня доступа бизнес целям и политике безопасности организации, например, не должен нарушаться принцип разделения обязанностей;
• предоставление пользователям письменного отчета об их правах доступа;
• ознакомление пользователей с условиями предоставления доступа под роспись;
• обеспечение порядка, при котором сервис провайдеры не предоставляют доступ до тех пор, пока не завершены процедуры авторизации;
• ведение формального учета всех лиц, которым был предоставлен доступ к сервису;
• немедленное удаление или блокирование прав доступа пользователей в случае изменения их должностных обязанностей или увольнения из организации;
• периодическая проверка и удаление или блокирование неиспользуемых пользовательских идентификаторов и учетных записей;
• обеспечение порядка, при котором неиспользуемые идентификаторы пользователей не предоставляются другим пользователям.

Дополнительная информация

Следует уделить внимание созданию на основе бизнес требований ролей доступа пользователей, которые объединяют большое количество прав доступа в типовые пользовательские профили доступа. Запросами на доступ и проверками прав доступа проще управлять на уровне таких ролей, нежели на уровне конкретных прав.

Должна быть рассмотрена возможность включения в трудовые договоры и сервисные договоры пунктов, определяющих санкции за попытки осуществления несанкционированного доступа со стороны сотрудников или агентов по предоставлению сервисов.

Управление привилегиями

Механизм контроля

Распределение и использование привилегий должно ограничиваться и контролироваться.

Руководство по внедрению

В многопользовательских системах, требующих защиты от несанкционированного доступа, распределение привилегий должно контролироваться посредством формальной процедуры авторизации. При этом должны осуществляться следующие шаги:

• должны быть идентифицированы привилегии, ассоциированные с каждым системным продуктом, например, операционной системой, системой управления базами данных и каждым приложением, а также должны быть идентифицированы пользователи, которым они должны быть предоставлены;
• привилегии должны предоставляться сотрудникам только в объеме и на время, необходимые им для выполнения работы, в соответствии с политикой контроля доступа, т.е. минимальные привилегии, необходимые для выполнения функциональных ролей и предоставляемые только в случае необходимости;
• должна применяться процедура авторизации и учет всех распределяемых привилегий. Привилегии не должны предоставляться до завершения процедуры авторизации;
• во избежание необходимости предоставления привилегий пользователям, следует поддерживать разработку и использование системных программ;
• следует поддерживать разработку и использование программ, которые позволяют избежать необходимости запуска в привилегированном режиме;
• идентификаторы пользователей, которым предоставляются привилегии, не должны использоваться для выполнения обычных бизнес задач.

Дополнительная информация

Неуместное использование привилегий системного администратора (любая функция или средство в информационной системе, позволяющие пользователю обойти механизмы контроля системы или приложения) может являться основным фактором, обуславливающим системные сбои или нарушения безопасности.

Управление паролями пользователей

Механизм контроля

Распределение паролей должно контролироваться посредством формального процесса управления.

Руководство по внедрению

Этот процесс должен соответствовать следующим требованиям:

• подписание пользователями обязательства по обеспечению конфиденциальности личных паролей, а также паролей рабочей группы, которые должны быть известны только членам группы; это требование может быть включено в трудовой договор;
• в тех случаях, когда пользователи должны самостоятельно поддерживать свои пароли, необходимо гарантировать предоставление пользователям надежных временных паролей, которые пользователи были бы вынуждены немедленно сменить;
• должны быть установлены процедуры проверки идентификации пользователя, прежде чем ему будет предоставлен новый или временный пароль;
• временные пароли должны передаваться пользователям безопасным образом; следует избегать передачи паролей через третьих лиц или с применением незащищенных (содержащих открытый текст) сообщений электронной почты;
• временные пароли должны быть уникальными для каждого пользователя и не должны быть легко угадываемыми;
• пользователи должны подтверждать получение паролей;
• пароли никогда не должны храниться в компьютерных системах в незащищенном виде;
• пароли, устанавливаемые разработчиками по умолчанию, должны меняться сразу после установки систем или программного обеспечения.

Дополнительная информация

Пароли являются широко распространенным средством подтверждения подлинности пользователя при получении доступа к информационной системе или сервису в соответствии с правами доступа пользователя. Существуют также другие технологии идентификации и аутентификации пользователей, такие как биометрия, например, проверка отпечатков пальцев, проверка подписи, а также использование аппаратных токенов, например, смарт-карт. При необходимости, следует рассмотреть возможность их применения.

Проверка прав доступа пользователей

Механизм контроля

Руководство должно регулярно производить проверку прав доступа пользователей в рамках соответствующего формального процесса.

Руководство по внедрению

Проверка прав доступа должна учитывать следующие инструкции:

• проверка предоставленных пользователю прав доступа должна проводиться регулярно, например, через каждые 6 месяцев, а также после любых изменений, таких как продвижение по службе, понижение в должности или увольнение;
• права доступа пользователя должны пересматриваться и переопределяться при переходе с одной работы на другую внутри одной организации;
• разрешения на предоставление специальных привилегированных прав доступа должны проверяться чаще, например, через каждые 3 месяца;
• распределение привилегий должно проверяться регулярно, чтобы гарантировать отсутствие получения несанкционированных привилегий;
• изменения привилегированных учетных записей должны протоколироваться для периодических проверок.

Дополнительная информация

С целью поддержания эффективного контроля доступа к данным и информационным сервисам необходимо регулярно проверять права доступа пользователей.

Ответственность пользователей

Цель: Предотвратить несанкционированный доступ пользователей, а также компрометацию или кражу информации и средств ее обработки.

Для создания эффективной системы защиты существенным является содействие со стороны авторизованных пользователей.

Пользователи должны быть осведомлены о своей ответственности за поддержание эффективных механизмов контроля доступа, особенно в области использования паролей и обеспечения безопасности пользовательского оборудования.

С целью уменьшения риска несанкционированного доступа или повреждения бумажных документов, электронных носителей и средств обработки информации должна быть внедрена политика чистых столов и чистых экранов.

Использование паролей

Механизм контроля

Пользователи должны следовать стандартам хорошо зарекомендовавшей себя практики в области выбора и использования паролей.

Руководство по внедрению

Всем пользователям следует рекомендовать следующее:

• сохранять свои пароли в тайне;
• избегать записи паролей (например, на бумаге, в файле программы или на карманных устройствах) в случае, если не может быть обеспечено их надежное хранение, и метод хранения не был санкционирован;
• производить смену паролей во всех случаях, когда существуют признаки возможной компрометации системы или пароля;
• выбирать качественные пароли с достаточной минимальной длиной, которые:
• легко запоминаются;
• не основаны на чем-либо, что может быть легко угадано или получено из персональных данных пользователя, например, имена, номера телефонов, даты рождения и т.п.;
• неуязвимы к словарным атакам (т.е. не состоят из слов, включенных в словари);
• не являются последовательностью идентичных, только числовых или только буквенных символов;
• производить смену паролей через регулярные интервалы времени или в зависимости от интенсивности их использования (пароли для привилегированных учетных записей должны меняться чаще, чем обычные пароли), также следует избегать повторного или циклического использования старых паролей;
• производить смену временных паролей при первом входе в систему;
• не включать пароли в какой-либо автоматизированный процесс входа в систему, например, сохранение его в макрокомандах или значениях функциональных клавиш;
• не допускать совместного использования индивидуальных паролей пользователей;
• не использовать один и тот же пароль для целей бизнеса и для целей, не связанных с бизнесом.

Если пользователям необходим доступ к нескольким сервисам, системам или платформам, и для этого им требуется использовать несколько отдельных паролей, следует рекомендовать им использовать единый качественный пароль (см. d) выше) для всех сервисов, систем или платформ, которые предоставляют приемлемый уровень защиты сохраненных паролей.

Дополнительная информация

Требуется уделять особое внимание управлению системой технической поддержки, имеющей дело с потерянными или забытыми паролями, т.к. она также может являться средством атаки на парольную систему.

Пользовательское оборудование, оставленное без присмотра

Механизм контроля

Пользователи должны убедиться в том, что оборудование, оставляемое без присмотра, соответствующим образом защищено.

Руководство по внедрению

Все пользователи должны быть ознакомлены с требованиями безопасности и процедурами защиты оборудования, оставляемого без присмотра, а также со своей ответственностью за обеспечение такой защиты. Пользователям должно быть рекомендовано следующее:

• прерывать активные сессии после окончания работы, за исключением случаев, когда они могут быть защищены при помощи механизма блокирования, такого как защищенный паролем «хранитель экрана»;
• отключаться от мэйнфреймов, серверов и офисных ПК после завершения сеанса работы (т.е. не ограничиваясь простым выключением экрана ПК или терминала);
• предотвращать несанкционированный доступ к оставленным без присмотра ПК или терминалам при помощи замка, запираемого на ключ, или эквивалентного механизма контроля, например, путем установки пароля доступа.

Дополнительная информация

Оборудование, установленное в пользовательских зонах, например, рабочие станции или файловые серверы, может нуждаться в особой защите от несанкционированного доступа, если оно оставляется без присмотра на продолжительное время.

Политика чистых столов и чистых экранов

Механизм контроля

Должна быть принята политика чистых столов для бумажных документов и переносных носителей данных и политика чистых экранов для средств обработки информации.

Руководство по внедрению

Политика чистых столов и чистых экранов должна учитывать классификацию защищаемой информации, требования законодательства и договоров, а также относящиеся к ней риски и культурные аспекты организации. Необходимо рассмотреть следующие механизмы контроля:

• неиспользуемая конфиденциальная или критичная бизнес информация, представленная в бумажной форме или на электронных устройствах хранения, должна запираться (лучше всего, в огнеупорных шкафах или сейфах или других формах безопасной мебели), особенно, после того как все сотрудники покидают офис;
• компьютеры и терминалы не должны оставляться с открытой пользовательской сессией и должны быть защищены блокированием экрана и клавиатуры при помощи пароля, токена или аналогичных механизмов аутентификации пользователей, а также должны защищаться замками, паролями и другими механизмами, когда не используются;
• пункты входящей и исходящей почты и оставленные без присмотра факсимильные аппараты должны быть защищены;
• должно предотвращаться несанкционированное использование копировальных аппаратов и других технологий воспроизведения (например, сканеров, цифровых камер);
• документы, содержащие конфиденциальную или секретную информацию, должны немедленно забираться из принтера.

Дополнительная информация

Политика чистых столов и чистых экранов снижает риск несанкционированного доступа, утраты или повреждения информации во время и после стандартных рабочих часов. Сейфы и другие виды средств безопасного хранения должны также обеспечить защиту хранящейся в них информации в случае катастроф, таких как пожар, землетрясение, затопление или взрыв.

Следует рассмотреть возможность использования принтеров с функцией пин-кода, в которых только инициаторы имеют возможность получить свои распечатки и только когда они находятся рядом с принтером.

Контроль сетевого доступа

Цель: Предотвратить несанкционированный доступ к сетевым сервисам.

Должен контролироваться доступ, как к внутренним, так и к внешним сетевым сервисам.

Необходимо гарантировать, что пользователи, имеющие доступ к сетям или сетевым сервисам не скомпрометируют безопасность этих сетевых сервисов. Для этого необходимо обеспечить:

• соответствующие интерфейсы между сетью организации и сетями, принадлежащими другим организациям, или сетями общего пользования;
• соответствующие механизмы аутентификации пользователей и оборудования;
• контроль доступа пользователей к информационным сервисам.

Политика использования сетевых сервисов

Механизм контроля

Пользователям должен быть предоставлен доступ только к тем сервисам, использование которых им явным образом разрешено.

Руководство по внедрению

Должна быть сформулирована политика относительно использования сетей и сетевых сервисов. Она должна охватывать:

• сети и сетевые сервисы, к которым разрешен доступ;
• процедуры авторизации для определения того, кому и к каким сетям и сетевым сервисам разрешен доступ;
• механизмы контроля и процедуры, осуществляемые руководством, для защиты доступа к сетевым соединениям и сетевым сервисам;
• средства, используемые для доступа к сетям и сетевым сервисам (например, условия, при которых разрешается доступ к провайдеру Интернет сервиса или удаленной системе).

Политика использования сетевых сервисов должна быть согласована с бизнес требованиями к политике контроля доступа.

Дополнительная информация

Несанкционированные или незащищенные соединения с сетевыми сервисами могут оказать негативное влияние на всю организацию. Этот механизм контроля особенно важен для сетевых соединений с конфиденциальными или критичными бизнес приложениями или для пользователей, находящихся в местах с высоким риском, например, в общественных местах или на внешней территории, неконтролируемой организацией.

Аутентификация пользователей при внешних подключениях

Механизм контроля

Для контроля доступа со стороны удаленных пользователей должны использоваться  соответствующие методы аутентификации.

Руководство по внедрению

Аутентификация удаленных пользователей может осуществляться, например, путем использования криптографических методов, аппаратных носителей ключевой информации или протокола «запрос/ответ». Возможные реализации этих методов можно найти в различных решениях по организации виртуальных частных сетей (VPN). Для получения доказательств подлинности источника подключения могут также использоваться выделенные частные линии.

Защита от несанкционированных или нежелательных подключений к средствам обработки информации организации может быть обеспечена при помощи процедур и механизмов «обратного вызова», например, при помощи модемов с функцией «обратного вызова». Этот механизм позволяет аутентифицировать пользователей, пытающихся установить удаленное соединение с сетью организации. При использовании механизма «обратного вызова» организации не следует использовать сетевые сервисы, включающие перенаправление вызова или, в случае их использования, эти функции следует отключить, чтобы избежать создания слабых мест, связанных с перенаправлением вызова. Также важно, чтобы процесс «обратного дозвона» позволял гарантировать, что отсоединение со стороны организации действительно произошло. В противном случае, удаленный пользователь может удержать линию связи открытой, сделав вид, что верификация «обратного вызова» была успешно выполнена. Процедуры и механизмы «обратного вызова» должны проходить всестороннее тестирование во избежание такой возможности.

Аутентификация узлов может служить альтернативным способом для аутентификации групп удаленных пользователей там, где они подключаются к защищенному  совместно используемому компьютерному оборудованию. Для аутентификации узлов могут использоваться криптографические методы, например, основанные на сертификатах машин. Это является частью нескольких VPN решений.

Для контроля доступа к беспроводным сетям должны быть реализованы дополнительные механизмы аутентификации. В частности, особое внимание необходимо уделять выбору механизмов контроля для беспроводных сетей, поскольку они предоставляют большие возможности для незаметного перехвата и внедрения сетевого трафика.

Дополнительная информация

Внешние подключения создают потенциальные угрозы несанкционированного доступа к бизнес информации, например, доступ по коммутируемым каналам. Существуют различные методы аутентификации, одни из которых обеспечивают более высокий уровень защиты, нежели другие, например, методы, основанные на использовании криптографии, способны обеспечить строгую аутентификацию. Важно определить, на основе оценки рисков, требуемый уровень защиты. Это необходимо для правильного выбора метода аутентификации.

Средства автоматического подключения к удаленному компьютеру могут использоваться в качестве одного из способов несанкционированного доступа к бизнес приложению. Это особенно важно, если соединение использует сеть, находящуюся вне области контроля системы управления безопасностью организации.

Идентификация оборудования в сетях

Механизм контроля

Автоматическая идентификация оборудования должна рассматриваться в качестве средств аутентификации подключений конкретного оборудования и из конкретных мест.

Руководство по внедрению

Идентификация оборудования может использоваться, если важно, чтобы связь могла инициироваться только из конкретных мест или от конкретного оборудования. Идентификатор, находящийся внутри или присоединяемый к оборудованию, может использоваться для определения того, разрешено ли данному оборудованию подключение к сети. В случае если существует более одной сети и особенно если эти сети имеют разный уровень конфиденциальности,  идентификаторы должны четко показывать к какой сети этому оборудованию разрешено подключение. Для обеспечения безопасности идентификаторов оборудования может возникнуть необходимость в физической защите оборудования.

Дополнительная информация

Этот механизм контроля может быть дополнен другими методами аутентификации пользователя оборудования. Идентификация оборудования может применяться в дополнение к аутентификации пользователя.

Защита удаленных диагностических и конфигурационных портов

Механизм контроля

Физический и логический доступ к диагностическим и конфигурационным портам должен контролироваться.

Руководство по внедрению

Потенциальные механизмы контроля доступа к диагностическим и конфигурационным портам включают в себя использование замков и поддерживающих процедур, предназначенных для контроля физического доступа. Примером такой поддерживающей процедуры является предоставление гарантий того, что доступ к диагностическим и конфигурационным портам возможен только по согласованию между менеджером, ответственным за предоставление компьютерных сервисов, и персоналом технической поддержки аппаратного/программного обеспечения, которому такой доступ необходим.

Порты, сервисы и аналогичные средства, установленные на компьютерном или сетевом оборудовании, которые не требуются для реализации конкретной бизнес функциональности, должны быть отключены или удалены.

Дополнительная информация

Многие компьютерные, сетевые и телекоммуникационные системы содержат средства удаленной диагностики и конфигурирования, предназначенные для использования инженерами технической поддержки. При отсутствии соответствующей защиты эти диагностические порты предоставляют возможность для осуществления несанкционированного доступа.

Разделение в сетях

Механизм контроля

Группы информационных сервисов, пользователей и информационных систем должны быть разделены в сетях.

Руководство по внедрению

Один из методов контроля безопасности крупных сетей заключается в их разделении на отдельные логические сетевые домены, например внутренние сетевые домены организации и внешние сетевые домены, каждый из которых защищен при помощи четко определенного периметра безопасности.

Такой периметр может быть реализован путем установки защищенного шлюза между двумя объединяемыми сетями, для осуществления контроля межсетевого доступа и информационных потоков между двумя доменами. Этот шлюз должен быть сконфигурирован для обеспечения фильтрации трафика между этими доменами и для блокирования несанкционированного доступа в соответствии с политикой организации в области контроля доступа. Примером данного типа шлюза является то, что обычно называют межсетевым экраном.  Другим методом разделения логических доменов является ограничение сетевого доступа путем использования виртуальных частных сетей для пользовательских групп внутри организации.

Сети также могут быть разделены путем использования функциональности сетевых устройств, например, IP коммутации. Разделение доменов в этом случае может быть реализовано путем контроля сетевых потоков данных с использованием возможностей маршрутизации/коммутации, таких как списки контроля доступа.

Критерии, используемые для разделения сетей на домены, должны основываться на политике и требованиях контроля доступа, а также должны учитывать относительные затраты и влияние на производительность при внедрении подходящих методов маршрутизации или сетевых шлюзов.

Кроме того, разделение сетей должно основываться на ценности и классификации информации, хранимой и обрабатываемой в сети, уровнях доверия или направлениях бизнеса с целью уменьшения общего влияния прерывания сервиса.

Должно быть уделено внимание отделению беспроводных сетей от внутренних и частных сетей. Поскольку периметры беспроводных сетей не являются четко определенными, в таких случаях должна проводиться оценка рисков для идентификации механизмов контроля (например, строгой аутентификации, криптографических методов и выбора частоты) для обеспечения разделения в сети.

Дополнительная информация

Сети, во все большей степени, начинают выходить за рамки традиционных границ организации, поскольку организации устанавливают партнерские отношения, требующие объединения или совместного использования средств обработки информации и сетевого оборудования. Такое расширение сетей приводит к увеличению риска несанкционированного доступа к существующим информационным системам, использующим сети, некоторые из которых требуют защиты от других пользователей сети из-за своей конфиденциальности или критичности.

Контроль сетевых подключений

Механизм контроля

В соответствии с требованиями политики контроля доступа и бизнес приложений для совместно используемых сетей, особенно для тех, которые выходят за границы организации, возможности подключения пользователей к сети должны быть ограничены.

Руководство по внедрению

Сетевые права доступа пользователей должны поддерживаться и обновляться в соответствии с требованиями политики контроля доступа.

Возможности подключения пользователей могут быть ограничены при помощи сетевых шлюзов, фильтрующих трафик на основе предопределенных таблиц или правил. Примерами приложений, для которых должно применяться ограничение доступа, являются:

• передача сообщений, например, электронная почта;
• передача файлов;
• интерактивный доступ;
• доступ к приложениям.

Следует рассмотреть возможность привязки сетевых прав доступа к определенным временам суток или датам.

Дополнительная информация

Внедрение механизмов контроля для ограничения возможностей подключения пользователей может предписываться политикой контроля доступа для сетей совместного пользования, особенно тех, которые выходят за границы организации.

Контроль маршрутизации в сети

Механизм контроля

В сетях должны внедряться механизмы контроля маршрутизации, которые позволят гарантировать, что подключение компьютеров и информационные потоки не нарушают политики контроля доступа бизнес приложений.

Руководство по внедрению

Механизмы контроля маршрутизации должны быть основаны на механизмах положительной проверки адресов отправителя и получателя.

В случае если применяются прокси и/или технологии трансляции адресов, для проверки адресов отправителя и получателя на внутренней и внешней точках контроля доступа к сети могут использоваться шлюзы безопасности. При внедрении необходимо учитывать сильные и слабые стороны любых применяемых механизмов. Требования к механизмам контроля сетевой маршрутизации должны базироваться на политике контроля доступа.

Дополнительная информация

В сетях совместного доступа, особенно выходящих за пределы организации, может потребоваться применение дополнительных механизмов контроля маршрутизации. Это, в частности, относится к сетям, используемым совместно с пользователями третьей стороны (не являющимися сотрудниками к организации).

Контроль доступа в операционных системах

Цель: Предотвратить несанкционированный доступ к операционным системам.

Для ограничения доступа к операционным системам только авторизованными пользователями должны использоваться средства обеспечения безопасности. Эти средства должны обладать следующими возможностями:

• аутентификация авторизованных пользователей в соответствии с установленной политикой контроля доступа;
• регистрацию успешной и неуспешной аутентификации в системе;
• регистрация фактов использования специальных системных привилегий;
• подача сигналов тревоги в случае нарушения политик безопасности системы;
• предоставление подходящих средств аутентификации;
• там, где это необходимо, ограничение времени подключения пользователей.

Безопасные процедуры входа в систему

Механизм контроля

Доступ к операционным системам должен контролироваться при помощи защищенной процедуры входа в систему.

Руководство по внедрению

Процедура входа в операционную систему должна минимизировать возможность несанкционированного доступа. Следовательно, процедура входа в систему должна раскрывать минимум информации о системе с тем, чтобы избежать предоставления ненужного содействия несанкционированному пользователю. Хорошая процедура входа в систему должна:

• не отображать системные идентификаторы или идентификаторы приложений до тех пор, пока не будет успешно завершен процесс входа;
• отображать на экране стандартное предупреждение о том, что доступ к компьютеру предоставляется только авторизованным пользователям;
• не отображать вспомогательные сообщения в момент входа, которые могут содействовать входу несанкционированного пользователя;
• проверять информацию, вводимую при входе в систему, только после завершения ввода всех данных. В случае возникновения ошибки при вводе информации, система не должна указывать, какие данные были введены правильно, а какие нет;
• ограничивать количество разрешенных неудачных попыток входа, например, тремя попытками, и рассмотреть возможности:
• протоколирование удачных и неудачных попыток;
• введение временной задержки, прежде чем будут разрешены дальнейшие попытки входа в систему или отклонение любых дальнейших попыток без специального разрешения;
• разъединение канала связи;
• отправка предупреждающего сообщения на системную консоль в случае, если достигнуто максимальное количество попыток входа;
• установка количества попыток ввода пароля в зависимости от минимальной длины пароля и ценностью защищаемой системы;
• ограничивать максимальное и минимальное время, выделяемое для процедуры входа в систему. В случае превышения, система должна прекратить процедуру входа;
• отображать следующую информацию при успешном завершении процедуры входа:
• дата и время предыдущего успешного входа;
• информация обо всех неудачных попытках входа с момента предыдущего успешного входа;
• не отображать введенный пароль или скрывать символы пароля при помощи других символов;
• не передавать пароли в открытом виде по сети.

Дополнительная информация

Если пароли передаются в открытом виде во время сеанса входа в систему, они могут быть перехвачены в сети при помощи программы сетевого «сниффера».

Идентификация и аутентификация пользователя

Механизм контроля

Все пользователи должны иметь уникальный идентификатор, предназначенный только для их персонального использования, а также должен быть выбран подходящий метод аутентификации для подтверждения заявленного идентификатора пользователя.

Руководство по внедрению

Этот механизм контроля должен применяться ко всем типам пользователей (включая персонал технической поддержки, операторов, сетевых администраторов, системных программистов и администраторов баз данных).

Идентификаторы пользователей должны использоваться для отслеживания их действий.  Рутинные пользовательские процедуры не должны выполняться с использованием привилегированных учетных записей.

В исключительных случаях, при наличии очевидных бизнес преимуществ, допускается совместное использование идентификатора для группы пользователей или для выполнения определенных видов работ. В таких случаях должно быть получено разрешение от руководства в письменном виде. Для обеспечения подотчетности пользователей могут потребоваться дополнительные механизмы контроля.

Использование общих идентификаторов допускается только в тех случаях, когда  не требуется отслеживать доступные им функции или выполняемые ими действия (например, доступ только на чтение) или когда применяются дополнительные механизмы контроля (например, пароль для общего идентификатора выдается только определенным сотрудникам в данный момент времени и производится протоколирование таких действий).

Там, где требуется строгая аутентификация и проверка подлинности, должны использоваться методы аутентификации, представляющие альтернативу паролям, такие как криптографические средства, смарт-карты, токены или биометрические средства.

Дополнительная информация

Пароли являются самым распространенным способом выполнения идентификации и аутентификации, основанном на секрете, известном только пользователю. Тот же результат может быть достигнут при помощи криптографических средств и протоколов аутентификации.  Стойкость используемых методов идентификации и аутентификации пользователя должна соответствовать конфиденциальности информации, к которой предоставляется доступ.

Такие средства как токены или смарт-карты, принадлежащие пользователю, также могут использоваться для идентификации и аутентификации. Для подтверждения подлинности пользователя также могут применяться биометрические технологии аутентификации, использующие уникальные характеристики или атрибуты, присущие человеку. Безопасное объединение методов и механизмов делает аутентификацию более эффективной.

Система управления паролями

Механизм контроля

Системы управления паролями должны предоставлять эффективные интерактивные средства, гарантирующие выбор качественных паролей.

Руководство по внедрению

Cистема управления паролями должна:

• обеспечивать использование индивидуальных идентификаторов пользователей и паролей для обеспечения подотчетности;
• предоставлять пользователям возможность выбора и смены своих паролей и содержать процедуру подтверждения на случай ошибок ввода;
• гарантировать выбор качественных паролей;
• гарантировать смену паролей;
• принуждать пользователей производить смену временных паролей при первом входе в систему;
• вести учет предыдущих паролей пользователей и не допускать их повторного использования;
• в момент ввода паролей не показывать их на экране;
• хранить файл с паролями отдельно от данных прикладной системы;
• хранить и пересылать пароли в защищенном (например, в зашифрованном или закэшированном) виде.

Дополнительная информация

Пароли являются одним из основных средств подтверждения полномочий пользователя на получение доступа к компьютерному сервису.

Некоторые приложения требуют, чтобы пароли пользователям назначались независимой инстанцией; в этих случаях, пункты b), d) и e) приведенного выше руководства не применяются. В большинстве случаев пароли выбираются и поддерживаются самими пользователями.

Использование системных утилит

Механизм контроля

Использование утилит, способных обходить механизмы контроля операционной системы и приложений, должно быть ограничено и строго контролироваться.

Руководство по внедрению

Следует рассмотреть следующие механизмы контроля:

• использование процедур идентификации, аутентификации и авторизации при получении доступа к системным утилитам;
• изоляция системных утилит от прикладного программного обеспечения;
• ограничение использования системных утилит минимально необходимым числом доверенных и авторизованных пользователей;
• авторизация пользователей должна предшествовать любому использованию системных утилит;
• ограничение доступности системных утилит, например, периодом внесения санкционированных изменений;
• протоколирование всех случаев использования системных утилит;
• определение и документирование уровней авторизации для системных утилит;
• удаление всех программных утилит и системного программного обеспечения, в которых нет необходимости;
• не делать системные утилиты доступными для пользователей, которые имеют доступ к приложениям в системах, в которых требуется разделение обязанностей.

Дополнительная информация

Большинство компьютерных инсталляций имеют одну или более системных утилит, которые могут обходить механизмы контроля операционной системы и приложений.

Истечение времени сессии

Механизм контроля

Неактивные сессии должны принудительно завершаться после истечения установленного периода неактивности.

Руководство по внедрению

Данное средство истечения времени сессии должно очищать экран терминала, а также, возможно несколько позже, закрывать приложение и сетевую сессию после определенного периода неактивности. Время задержки блокирования должно отражать уровень рисков безопасности данной зоны, классификацию обрабатываемой информации и используемых приложений, а также риски в отношении пользователей оборудования.

Для некоторых систем может быть предусмотрена ограниченная форма средства истечения сессии, которое очищает экран и предотвращает несанкционированный доступ, но не закрывает приложение или сетевую сессию.

Дополнительная информация

Этот механизм контроля особенно важен в зонах с высоким риском, включающих в себя  общедоступные или внешние зоны, находящиеся вне сферы контроля службы безопасности организации. Сессии должны принудительно завершаться в целях предотвращения несанкционированного доступа и атак на отказ в обслуживании.

Ограничение времени соединения

Механизм контроля

Ограничения времени соединения должно использоваться для обеспечения дополнительного уровня защиты для приложений с высоким риском.

Руководство по внедрению

Механизмы контроля времени соединения должны применяться для критичных компьютерных приложений, особенно в зонах с высоким уровнем риска, например, в общедоступных или внешних зонах, находящихся вне сферы контроля службы безопасности организации. Примерами подобных ограничений являются:

• использование предопределенных временных интервалов, например, для передачи файлов или регулярных интерактивных непродолжительных сессий;
• ограничение времени соединения обычными рабочими часами, если отсутствует необходимость в сверхурочной работе;
• повторная аутентификация через определенные интервалы времени.

Дополнительная информация

Ограничение периода, в течение которого разрешается соединение с компьютерными сервисами, снижает риск несанкционированного доступа. Ограничение продолжительности активных сессий предотвращает оставление пользователями открытых сессий с целью предотвращения повторной аутентификации.

Контроль доступа к приложению и информации

Цель: Предотвратить несанкционированный доступ к информации, содержащейся в прикладных системах.

Средства защиты должны использоваться для разграничения доступа к и внутри прикладных систем.

Логический доступ к программному обеспечению и информации должен предоставляться только авторизованным пользователям. Прикладные системы должны:

• контролировать доступ пользователей к информации и функциям прикладных систем в соответствии с утвержденной политикой контроля доступа;
• обеспечивать защиту от несанкционированного доступа со стороны любых утилит, программного обеспечения операционной системы и вредоносного программного обеспечения, с помощью которых можно обойти механизмы контроля системы или приложений;
• не нарушать безопасность других систем, с которыми информационные ресурсы используются совместно.

Ограничение доступа к информации

Механизм контроля

Доступ к информации и функциям прикладной системы со стороны пользователей и персонала технической поддержки должен быть ограничен в соответствии с установленной политикой контроля доступа.

Руководство по внедрению

Ограничения на доступ должны базироваться на требованиях отдельных бизнес приложений. Политика контроля доступа также должна быть согласована с политикой доступа организации.

Необходимо рассмотреть возможность применения следующих механизмов контроля в целях выполнения требований по разграничению доступа:

• предоставление меню для контроля доступа к функциям прикладной системы;
• контроль прав доступа пользователей, например, чтение, запись, удаление и исполнение;
• контроль прав доступа других приложений;
• подтверждение того, что выходные данные прикладных систем, обрабатывающих конфиденциальную информацию, содержат только ту информацию, которая соответствует целям использования выходных данных и направляется только на авторизованные терминалы и пункты назначения, включая периодическую ревизию таких выходных данных в целях удаления лишней информации.

Изоляция критичных систем

Механизм контроля

Критичные системы требуют создания выделенной (изолированной) компьютерной среды.

Руководство по внедрению

Необходимо учитывать следующие соображения при изоляции критичных систем:

• критичность прикладной системы должна быть явным образом определена и документирована владельцем приложения;
• в случае, когда критичное приложение должно функционировать в совместно используемой среде, прикладные системы, с которыми оно будет совместно использовать ресурсы и разделять соответствующие риски, должны быть идентифицированы и приняты владельцем критичного приложения.

Дополнительная информация

Некоторые прикладные системы в достаточной степени подвержены потенциальному ущербу и требуют особого обращения. Критичность прикладной системы может означать, что она должна:

• выполняться на выделенном компьютере; или
• совместно использовать ресурсы только с доверенными прикладными системами.

Изоляция может быть достигнута путем использования физических и логических методов.

Мобильное компьютерное оборудование и работа вне офиса

Цель: Обеспечить безопасность информации при использовании мобильного компьютерного оборудования и при работе вне офиса.

Требуемый уровень защиты должен соответствовать рискам, связанным с данными видами работы. При использовании мобильного компьютерного оборудования необходимо учитывать риски, связанные с работой в незащищенной среде, и принимать соответствующие защитные меры. В случае работы вне офиса организация должна принимать меры для защиты мест удаленной работы и обеспечить наличие подходящего для данного способа работы соглашения.

Использование мобильного компьютерного оборудования и средств связи

Механизм контроля

Для защиты от рисков, связанных с использованием мобильного компьютерного оборудования и средств связи, должны приниматься соответствующие меры безопасности.

Руководство по внедрению

При использовании мобильного компьютерного оборудования и средств связи, таких как ноутбуки, карманные компьютеры, лэптопы, смарт-карты и мобильные телефоны, особое внимание должно уделяться предотвращению компрометации бизнес информации. Политика использования мобильного компьютерного оборудования, должна учитывать риски, возникающие при работе с мобильным компьютерным оборудованием в незащищенной среде.

Политика использования мобильного компьютерного оборудования должна содержать требования к физической защите, контролю доступа, использованию криптографических методов, резервному копированию и защите от вирусов. Эта политика должна также содержать правила и рекомендации по подключению мобильного оборудования к сетям и руководство по использованию этого оборудования в общественных местах.

Должны соблюдаться меры предосторожности при использовании мобильного компьютерного оборудования в общественных местах, комнатах для переговоров и в других незащищенных местах, находящихся вне территории, принадлежащей организации. Меры безопасности, например криптографические методы, должны предприниматься для защиты от несанкционированного доступа или раскрытия информации, хранящейся и обрабатываемой мобильным оборудованием.

При использовании мобильного оборудования в общественных местах пользователи должны предпринимать меры предосторожности во избежание подглядывания посторонними лицами. Должны быть внедрены и поддерживаться в актуальном состоянии процедуры, направленные против вредоносного программного обеспечения.

Должны регулярно создаваться резервные копии критичной бизнес информации. Должно быть доступно оборудование, позволяющее производить быстрое и простое резервное копирование информации. Эти резервные копии должны быть адекватным образом защищены, например, от кражи или потери информации.

Адекватная защита должна быть обеспечена при использовании мобильного оборудования, подключенного к сетям. Удаленный доступ к бизнес информации по сети общего пользования с использованием мобильного компьютерного оборудования должен осуществляться только после успешного прохождения процедуры идентификации и аутентификации и при наличии адекватных механизмов контроля доступа.

Мобильное компьютерное оборудование должно также быть физически защищено от кражи, особенно когда оно оставляется, например, в автомобиле или в другом виде транспорта, гостиничных номерах, конференц-залах и местах переговоров.  На случай кражи или потери мобильного компьютерного оборудования должна быть установлена специальная процедура, учитывающая законодательные, страховые и другие требования безопасности организации. Оборудование, содержащее важную, конфиденциальную и/или критичную бизнес информацию, не следует оставлять без присмотра, и, если возможно, оно должно быть спрятано и закрыто на ключ или оборудовано специальными замками для его защиты.

Для сотрудников, использующих мобильное компьютерное оборудование, должен быть организован тренинг с целью повышения их осведомленности о дополнительных рисках, возникающих при данных способах работы, и механизмах контроля, которые должны быть реализованы.

Дополнительная информация

Беспроводные соединения мобильной сети сходны с другими типами сетевых соединений, но имеют и важные отличия, которые должны учитываться при идентификации механизмов контроля. Характерные отличия включают:

• некоторые беспроводные протоколы безопасности являются незрелыми и содержат известные уязвимости;
• информация, хранимая на мобильных компьютерах, не может резервироваться из-за ограниченной пропускной способности сети и/или потому, что мобильное оборудование может быть не подключено в то время, когда по расписанию выполняется резервное копирование.

Работа вне офиса

Механизм контроля

Для работы вне офиса должны быть разработаны и внедрены политика, оперативные планы и процедуры.

Руководство по внедрению

Организациям следует санкционировать работу вне офиса только в том случае, если они удовлетворены соответствующими соглашениями и имеющимися механизмами обеспечения безопасности, а также, если эти соглашения и механизмы соответствуют политике безопасности организации.

Для удаленных площадок должна быть обеспечена адекватная защита от таких угроз, как кража оборудования и информации, несанкционированное раскрытие информации, несанкционированный удаленный доступ к внутренним системам организации или злоупотребление оборудованием. Работа вне офиса должна быть санкционирована и контролироваться руководством, а также данный способ работы должен быть определен соответствующими соглашениями.

Следует учитывать:

• существующий уровень физической защиты удаленного офиса, принимая во внимание физическую защиту здания и локальную среду;
• предполагаемую рабочую среду удаленного офиса;
• требования безопасности, предъявляемые к удаленному взаимодействию, принимая во внимание необходимость получения удаленного доступа к внутренним системам организации, конфиденциальность информации, к которой осуществляется доступ и которая передается по каналам связи и конфиденциальность внутренних систем;
• угрозу несанкционированного  доступа к информации или ресурсам со стороны посторонних лиц, находящихся в удаленном офисе, например, членов семьи или друзей;
• использование домашних сетей и требований или ограничений, накладываемых на конфигурацию беспроводных сетевых устройств;
• политики и процедуры для предотвращения споров относительно прав на интеллектуальную собственность, разработанную на оборудовании, находящемся в личной собственности;
• доступ к оборудованию, находящемуся в личной собственности (с целью проверки безопасности машины или в ходе расследования), который может быть запрещен законодательно;
• соглашения о лицензировании программного обеспечения, которые составлены таким образом, что организация обязана лицензировать программное обеспечение для рабочих станций, находящихся в личной собственности у сотрудников, подрядчиков или пользователей третьей стороны;
• требования по защите от вирусов и использованию межсетевых экранов.

Механизмы контроля и соглашения, которые должны быть рассмотрены, включают в себя:

• обеспечение удаленной площадки подходящим оборудованием и мебелью для надежного хранения носителей информации, где не разрешается использование оборудования, находящегося в личной собственности и не контролируемого организацией;
• определение разрешенных видов работы, рабочих часов, классификация информации, которая может храниться в удаленном офисе, а также внутренних систем и сервисов, к которым сотруднику, работающему вне офиса, разрешен доступ;
• обеспечение удаленного офиса подходящим телекоммуникационным оборудованием, включая средства обеспечения безопасности удаленного доступа;
• физическая безопасность;
• правила и руководство по получению доступа к оборудованию и информации членов семьи и посетителей;
• обеспечение технической поддержки и сопровождения аппаратных и программных средств;
• страхование;
• процедуры резервного копирования и обеспечения непрерывности бизнеса;
• аудит и мониторинг безопасности;
• отмена полномочий, прав доступа и возврат оборудования в случае прекращения работы вне офиса.

Дополнительная информация

При работе вне офиса телекоммуникационные технологии используются для предоставления возможности сотрудникам работать удаленно с фиксированных мест, находящихся за пределами организации.