[МУЗЫКА] Еще один раздел политики
безопасности рекомендуется посвятить управлению доступом,
как физическому, так и логическому.
То есть, как на территории объекта информатизации,
так и к отдельным объектам информационной системы,
входящей в состав автоматизированной системы объекта информатизации.
Целью управления доступом, разумеется, является организация
доступа субъектов к информации, представляющей ценность для организации.
В случае, если таким доступом управление не будет осуществляться, практически
невозможно найти источники угроз, то есть тех лиц, которые, действуя, например,
злоумышленно либо халатно, являются виновниками тех или иных повреждений
или иного ущерба для информации, относящейся к активам организации.
Рекомендациями по обеспечению эффективного управления
доступом являются следующие принципы.
Во-первых, это обеспечение управляемости доступа к информации,
средствам обработки информации с учетом требований и функций организаций и
задач обеспечения информационной безопасности.
Данный принцип означает, что руководство организации и ее служба безопасности
должны действительно иметь возможность управлять доступом к информации.
Не должно быть никаких неконтролируемых ими путей доступа на контролируемую
территорию, способов получения доступа к информации и подобных уязвимостей,
которыми мог бы воспользоваться нарушитель.
Вторая рекомендация заключается в разработке правил управления доступом с
учетом положений политики безопасности организации,
касающихся обработки и распространения информации.
То есть разработки детализированной системы разграничения доступа.
В данном разделе желательно сформулировать следующие положения.
Во-первых, политика управления доступом, порядок ее обеспечения логическими и
физическими мерами, то есть как распределение прав доступа субъектов к
объектам в информационной системе, так и какими-то физическими мерами,
такими как раздельные помещения в объекте информатизации,
турникеты, пропускная система, охрана, которая контролирует
нахождение сотрудников на своих рабочих местах, и подобными мерами.
Во-вторых, вопросы регистрации и снятия с учета пользователей, предоставления им
полномочий в информационной системе и прекращение таких прав.
То есть вопросы создания, например,
новых учетных записей и прекращение действий таких учетных записей.
Сюда же относится принцип ограничения и контроля предоставления в
использовании привилегий пользователей в информационной системе.
Как правило, под правами подразумевают возможность получения
субъектов к объектам, то есть разрешения или запреты на получение такого доступа,
а под привилегиями — разрешения совершить какое-то действие,
относящееся ко всей информационной системе, например,
запустить программу, либо остановить выполнение какой-то программы,
добавить новое средство в информационную систему либо исключить
какое-то средство из информационной системы, создать новую учетную запись,
прекратить действие учетной записи и подобные действия.
В этом же разделе желательно сформулировать формальный процесс
управления распределением паролей,
поскольку от него зависит надежность парольной системы аутентификации,
и формальный процесс периодического пересмотра прав доступа пользователей.
В связи с изменением полномочий пользователей,
относящихся к их должностным обязанностям, а не к информационной системе,
меняется и состав необходимых им прав доступа в системе.
То есть, возможно, когда-то ранее тот или иной пользователь
системы как сотрудник имел те или иные обязанности, которые были
связаны с необходимостью для него иметь доступ к тому или иному объекту.
Теперь эти обязанности делегированы другому сотруднику,
а это означает, что оставшиеся у него права теперь являются излишними,
в соответствии с принципами минимизации полномочий пользователей в системе,
данные права должны быть у него, например, отменены, и их действие прекращено.
В этом же разделе следует сформулировать обязанности пользователей информационной
системы, а конкретно рассмотреть их обязанности по выбору паролей,
сформулировав соответствующие требования и рекомендации.
Под требования, например, могут подходить условия смены пароля не реже, чем,
допустим, раз в квартал, использование в паролях тех или иных символов,
например, спецсимволов, цифр, заглавных букв.
Требование не использовать при создании нового пароля пароль,
который был использован перед этим, или один из нескольких последних.
А рекомендации могут заключаться в неиспользовании в пароле каких-то
шаблонов, в выборе случайных последовательностей символов,
в длине пароля, в заданных требованиями параметрах, допустим,
от 10 до 15 символов — это требование, а рекомендация — что,
все-таки, лучше больше, чем меньше.
Здесь же следует сформулировать обязанности пользователей по защите
оборудования, оставленного без присмотра.
Здесь речь идет о специальных мерах, которые следует предпринимать
пользователям для того, чтобы в ситуации, когда оборудование остается без присмотра,
оно не стало бы легкой добычей злоумышленника,
действующего не по халатности, а именно по злому умыслу.
Одним из аспектов реализации таких мер по защите оборудования,
оставленного без присмотра, является так называемая политика чистого стола и
чистого экрана, соблюдение которой следует сделать рекомендованным,
если не обязательным для пользователей.
Данная политика заключается в том, что покидая рабочее место или даже
отлучаясь от него на небольшой промежуток времени, пользователю весьма
рекомендуется убирать со стола все документы, относящиеся к его деятельности,
в первую очередь, разумеется, содержащие любую конфиденциальную информацию,
лучше всего в запираемые ящики стола или в сейфы.
И не оставлять на экране компьютера, если вдруг он не заблокирован, или в случае,
если несанкционированный пользователь приближается к рабочему месту,
никаких открытых окон, содержащих конфиденциальную информацию,
никаких запущенных программ, таким образом,
что проходящее мимо лицо может с экрана пользователя что-либо прочесть и,
таким образом, осуществить несанкционированный доступ к информации.
Соблюдение вот этой политики чистого стола и чистого экрана повышает защищенность
информации, и снижает риск ее утечки.
В разделе, посвященном управлению доступом,
также следует сформулировать вопросы управления доступом к сети.
А именно: порядок предоставления пользователям к сетевым услугам в
ситуации, если они уполномочены на их использование в
соответствии с должностными обязанностями, порядок аутентификации пользователей для
внешних соединений, порядок идентификации оборудования в сетях,
меры контроля физического и логического доступа к портам дистанционной диагностики
и конфигурации, а также другие вопросы управления доступом к сети.
Здесь же следует перечислить ряд аспектов,
относящихся к принципам управления доступом в эксплуатируемой системе,
такие как процедура регистрации в системе с учетом требований безопасности,
то есть создание новых учетных записей, процедуру идентификации и аутентификации
пользователя, выбрать, по каким факторам будет осуществлять аутентификация и какие
средства будут при этом задействованы, сформулировать принципы использования
системы управления паролями и другие вопросы доступа к информационной системе.
Также в разделе, посвященном управлению доступом,
следует сформулировать порядок доступа к информации и прикладным программам как
сотрудников, так и любых других лиц, взаимодействующих с организацией,
а также порядок использования мобильных вычислительных устройств и порядок
дистанционной работы сотрудников.
[МУЗЫКА] [МУЗЫКА]
