Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников

Управление информационной безопасностью. Стандарты СУИБ - Вадим Гребенников


Скачать книгу
и средства

      Пользователям должен предоставляться доступ к сетям и сетевым сервисам, когда они имеют официальные полномочия на это.

      Рекомендации по реализации

      Следует сформулировать политику использования сетей и сетевых услуг.

      В политике необходимо рассмотреть:

      – сети и сетевые услуги, к которым разрешен доступ;

      – процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ;

      – процедуры и средства управления по защите доступа к сетевым подключениям и сетевым услугам;

      – средства доступа к сетям и сетевым услугам (например, VPN или беспроводной сети);

      – требования пользовательской аутентификации для доступа к разным сетевым сервисам;

      – мониторинг использования сетевых сервисов.

      Политика использования сетевых сервисов должна быть согласована с правилами разграничения доступа организации.

      Неавторизованные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Такой контроль очень важен для сетевых подключений к чувствительным и критичным бизнес-приложениям или к пользователям в местах повышенного риска, например, публичных или удаленных регионах, находящихся вне зоны контроля и управления ИБ организации.

      5.2. Управление доступом пользователей

      Цель: Обеспечить авторизованный доступ пользователей и предотвратить неавторизованный доступ к системам и сервисам.

      Управление доступом пользователей обеспечивают следующие мероприятия:

      – регистрация и ее отмена;

      – предоставление доступа;

      – пересмотр прав доступа;

      – удаление или изменение прав доступа.

      Управление доступом пользователей обеспечивает также управление следующим:

      – правами привилегированного доступа;

      – паролями.

      Регистрация и ее отмена

      Меры и средства

      Формальный процесс регистрации пользователя ее отмены должен быть внедрен для предоставления прав доступа.

      Рекомендации по реализации

      Процесс управления идентификаторами пользователя должен включать:

      – использование уникальных идентификаторов пользователя, позволяющих отследить их действия и ответственность за них; использование распространенных идентификаторов должно быть разрешено только в случае оперативной или бизнес-необходимости, задокументировано и утверждено;

      – немедленную деактивацию или удаление идентификаторов пользователя после его увольнения;

      – периодическую идентификацию и деактивацию или удаление ненужных идентификаторов пользователя;

      – гарантию того, что деактивированные идентификаторы не достались другим пользователям.

      Разрешение или запрет доступа к информации и средствам ее обработки состоит из следующих двух этапов:

      – создание


Скачать книгу