Մասնակցի քննարկում:Ashot.badalyan

Page contents not supported in other languages.
Վիքիպեդիայից՝ ազատ հանրագիտարանից

Правила управления информационной безопасностью

Контроль доступа

1. Требование по обеспечению контроля в отношении логического доступа 2. Политика в отношении логического доступа 3. Контроль в отношении доступа пользователей 4. Регистрация пользователей 5. Контроль в отношении паролей пользователей 6. Пересмотр прав доступа пользователей 7. Использование паролей 8. Оборудование, оставленное пользователями без присмотра 9. Контроль сетевого доступа 10. Политика в отношении использования сетевых служб 11. Аутентификация пользователей в случае внешних соединений 12. Контроль доступа к операционной системе 13. Идентификация и аутентификация пользователя 14. Сигнал тревоги для защиты пользователей на случай, когда они могут стать объектом насилия 15. Ограничения подсоединения по времени 16. Ограничение доступа к информации 17. Изоляция систем, обрабатывающих важную информацию 18. Мониторинг доступа и использования системы 19. Регистрация событий 20. Мониторинг использования систем 21. Факторы риска 22. Синхронизация часов 23. Работа с переносными устройствами и работа в дистанционном режиме 24. Работа с переносными устройствами 25. Работа в дистанционном режиме


1. Требование по обеспечению контроля в отношении логического доступа

Доступ к информации должен быть контролируемым с учетом безопасности и требования к контролю доступа должны быть отражены в политиках в отношении распространения и авторизации информации.

2. Политика в отношении логического доступа

Правила контроля доступа и права каждого пользователя или группы пользователей должны однозначно определяться политикой безопасности по отношению к логическому доступу. Необходимо, чтобы в политике было учтено следующее: • требования безопасности конкретных приложений; • идентификация всей информации, связанной с функционированием приложений; • условия распространения информации и авторизации доступа • 3. Контроль в отношении доступа пользователей

Для контроля за предоставление права доступа к информационным системам и сервисам необходимо наличие формализованных процедур. Необходимо, чтобы процедуры охватывали все стадии жизненного цикла пользовательского доступа от начальной регистрации новых пользователей до конечного снятия с регистрации пользователей.

4. Регистрация пользователей

Доступ к многопользовательским информационным сервисам должен быть контролируемым посредством процесса регистрации пользователей, который должен включать: • использование уникальных ID (идентификаторов или имен) пользователей • проверку того, что пользователь имеет авторизацию от владельца системы на пользование информационной системой или сервисов. • проверку того, что уровень предоставленного доступа соответствует производственной необходимости • немедленную отмену прав доступа пользователей, у которых изменились должностные обязанности или уволившихся из организации • периодическую проверку и удаление избыточных пользовательских ID и учетных записей; • обеспечение того, чтобы избыточные пользовательские ID небыли переданы другим пользователям. • 5. Контроль в отношении паролей пользователей

Пароли являются наиболее распространенными средствами подтверждения идентификатора пользователя при доступе к информационной системе или сервису, Предоставление паролей должно контролироваться посредством формализованного процесса управления, который должен предусматривать: • необходимо обеспечивать предоставление безопасного первоначального временного пароля, который принуждают сменить при первой регистрации в системе. • пользователям необходимо подтверждать получение паролей. • пароли никогда не следует хранить в компьютерной системе в незащищенной форме. При необходимости следует рассматривать возможности других технологий для идентификации и аутентификации пользователя.

6. Пересмотр прав доступа пользователей

Для поддержания эффективного контроля доступа к данным и информационным услугам руководство периодически должно осуществлять формализованный процесс пересмотра прав доступа пользователей.

7. Использование паролей

• Пользователи должны соблюдать определенные правила при выборе и использовании паролей. • сохранения конфиденциальности паролей • запрещения записи паролей на бумаге, если только не обеспечено безопасное их хранение • изменения паролей всякий раз, при наличии любого признака возможной компрометации системы или пароля • выбора качественных паролей с минимальной длиной в шесть знаков

• легко запомнить • не подвержены легкому угадыванию или вычислению с использованием персональной информации, связанной с владельцем пароля, например, имен, номеров телефонов, дат рождения и т.д. • не содержат последовательных идентичных символов и не состоят из полностью числовых или полностью буквенных групп • изменения паролей через равные интервалы времени или после определенного числа доступов и исключения повторного или цикличного использования старых • изменения временных паролей при первой регистрации в системе • запрещения включения паролей в автоматизированный процесс регистрации • исключения коллективного использования индивидуальных паролей

8. Оборудование, оставленное пользователями без присмотра

Пользователи должны обеспечивать соответствующую защиту оборудования, оставленного без присмотра. Пользователям рекомендуется: • завершать активные сеансы по окончании работы, если отсутствует механизм блокировки

9. Контроль сетевого доступа

Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым

10. Политика в отношении использования сетевых служб

Несанкционированные подключения к сетевым службам могут нарушать информационную безопасность целой организации. Контроль доступа, в частности, является необходимым для сетевых подключений к важным или критичным приложениям или для пользователей. Следует предусматривать меры безопасности в отношении использования сетей и сетевых сервисов. При этом должны быть определены: • сети и сетевые услуги, к которым разрешен доступ; • процедуры авторизации для определения кому, к каким сетям и сетевым сервисам разрешен доступ • мероприятия и процедуры по защите от несанкционированного подключения к сетевым сервисам.

11. Аутентификация пользователей в случае внешних соединений

Внешние соединения обеспечивают потенциал для неавторизованного доступа к служебной информации, например, при использовании телефонной связи. Поэтому, при доступе удаленных пользователей, они должны быть аутентифицированы. Некоторые методы аутентификации обеспечивают больший уровень защиты, например, основанные на использовании средств криптографии, и могут обеспечить надежную аутентификацию.

12. Контроль доступа к операционной системе

На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам. Эти средства должны обеспечивать: а) идентификацию и верификацию компьютера б) регистрацию успешных и неудавшихся доступов к системе в) аутентификацию соответствующего уровня. Если используется система парольной защиты, то она должна обеспечивать качественные пароли г) ограничение времени подсоединения пользователей, в случае необходимости.

13. Идентификация и аутентификация пользователя

Необходимо, чтобы все пользователи имели уникальный идентификатор (пользовательский ID) для их единоличного использования с тем, чтобы их действия могли быть проанализированы ответственным лицом, Пользовательский ID не должен содержать признаков уровня привилегии пользователя. Существуют различные процедуры аутентификации, которые могут использоваться для доказательства заявленной идентичности пользователя. Специальные физические устройства доступа с памятью (token) или микропроцессорные карты (смарт-карты), которыми пользуются сотрудники, могут также использоваться для идентификации и аутентификации. Биометрические методы аутентификации, которые основаны на уникальности характеристик (особенностей) индивидуума, могут также использоваться для аутентификации пользователя. Сочетание различных технологий и методов обеспечивает более надежную аутентификацию.

14. Сигнал тревоги для защиты пользователей на случай, когда они могут стать объектом насилия

Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия. Решение об обеспечении такой сигнализацией следует принимать на основе оценки рисков. При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги.

15. Ограничения подсоединения по времени

Ограничения подсоединения по времени должны обеспечивать дополнительную безопасность для приложений. Эту меру обеспечения информационной безопасности необходимо применять для наиболее важных компьютерных приложений. Примеры таких ограничений: • использование заранее определенных отрезков времени для пакетной передачи файлов или регулярных интерактивных сеансов небольшой продолжительности • ограничение времени подключений часами работы организации, если нет необходимости сверхурочной или более продолжительной работы. • 16. Ограничение доступа к информации

Пользователям приложений, включая персонал поддержки и эксплуатации, следует обеспечивать доступ к информации и функциям этих приложений в соответствии с определенной политикой контроля доступа, основанной на требованиях к отдельным приложениям. Необходимо рассматривать применение следующих мероприятий по управлению информационной безопасностью для обеспечения требований по ограничению доступа: • контроль прав доступа пользователей, например, чтение/запись/удаление/ выполнение; • обеспечение уверенности в том, что выводимые данные из приложений, обрабатывающих важную информацию, содержали только требуемую информацию. Следует проводить периодический анализ процесса вывода для проверки удаления избыточной информации. • 17. Изоляция систем, обрабатывающих важную информацию

Системы, обрабатывающие важную информацию, должны быть обеспечены выделенной (изолированной) вычислительной средой. Некоторые прикладные системы имеют очень большое значение с точки зрения безопасности данных и поэтому требуют специальных условий эксплуатации. Важность обрабатываемой информации может или требовать работы системы на выделенном компьютере, или осуществлять совместное использование ресурсов только с безопасными бизнес-приложениями, или работать без каких-либо ограничений. При этом необходимо учитывать следующее: - когда важное бизнес-приложение должно работать в среде совместного использования, необходимо выявить другие приложения, с которыми будет осуществляться совместное использование ресурсов.

18. Мониторинг доступа и использования системы

Для обнаружения отклонения от требований политики контроля доступа и регистрации событий и обеспечения доказательства на случай выявления инцидентов нарушения информационной безопасности необходимо проводить мониторинг системы. Мониторинг системы позволяет проверять эффективность применяемых мероприятий по обеспечению информационной безопасности.

19. Регистрация событий

Для записи инцидентов нарушения информационной безопасности и других связанных с безопасностью событий следует создавать журналы аудита и хранить их в течение согласованного периода времени с целью содействия в проведении будущих расследований и мониторинге управления доступом. Необходимо, чтобы записи аудита включали: • ID пользователей • даты и время входа и выхода • идентификатор терминала или его местоположение, если возможно • записи успешных и отклоненных попыток доступа к системе • записи успешных и отклоненных попыток доступа к данным и другим ресурсам. Может потребоваться, чтобы определенные записи аудита были заархивированы для использования их при анализе и расследованиях инцидентов нарушения информационной безопасности, а также в интересах других целей. • 20. Мониторинг использования систем

Процедуры и области риска Для обеспечения уверенности в том, что пользователи выполняют только те действия, на которые они были явно авторизованы, необходимо определить процедуры мониторинга использования средств обработки информации. При мониторинге следует обращать внимание на: • авторизованный доступ, включая следующие детали: o пользовательский ID o даты и время основных событий o типы событий o файлы, к которым был осуществлен доступ o используемые программы/утилиты • все привилегированные действия, такие как: o использование учетной записи супервизора o запуск и останов системы o подсоединение/отсоединение устройства ввода/вывода • попытки неавторизованного доступа, такие как: o неудавшиеся попытки o нарушения политики доступа и уведомления сетевых шлюзов и межсетевых экранов o предупреждения от собственных систем обнаружения вторжения • предупреждения или отказы системы, такие как: o консольные (терминальные) предупреждения или сообщения o исключения, записанные в системные журналы регистрации o предупредительные сигналы, связанные с управлением сетью

21. Факторы риска

Результаты мониторинга следует регулярно анализировать. Периодичность анализов должна зависеть от результатов оценки риска. Факторы риска, которые необходимо при этом учитывать, включают: • критичность процессов, которые поддерживаются бизнес-приложениями; • стоимость, важность или критичность информации; • анализ предшествующих случаев проникновения и неправильного использования системы; • степень взаимосвязи информационных систем организации с другими (особенно с общедоступными) сетями. Анализ (просмотр) журнала аудита подразумевает понимание угроз, которым подвержена система, и причин их возникновения.

22. Синхронизация часов

Правильная установка компьютерных часов (таймера) важна для обеспечения точности заполнения журналов аудита, которые могут потребоваться для расследований или как доказательство при судебных или административных разбирательствах. Некорректные журналы аудита могут затруднять такие расследования, а также приводить к сомнению в достоверности собранных доказательств. Там, где компьютер или устройство связи имеют возможность использовать часы в реальном времени, их следует устанавливать по Универсальному Скоординированному Времени (UCT) или местному стандартному времени. Должна существовать процедура, которая проверяет и исправляет любое отклонение или его значимое изменение.

23. Работа с переносными устройствами и работа в дистанционном режиме

Следует соизмерять требуемую защиту со специфичными рисками работы в удаленном режиме. При использовании переносных устройств следует учитывать риски, связанные с работой в незащищенной среде, и применять соответствующие меры защиты. В случаях работы в дистанционном режиме организация должна предусматривать защиту как места работы, так и соответствующие меры по обеспечению информационной безопасности.

24. Работа с переносными устройствами

При использовании переносных устройств, например ноутбуков, карманных компьютеров, переносных компьютеров и мобильных телефонов, необходимо принимать специальные меры противодействия компрометации служебной информации. Необходимо принять политику, учитывающую риски, связанные с работой с переносными устройствами, в особенности в незащищенной среде. Такая политика должна включать требования по физической защите, контролю доступа, использованию средств и методов криптографии, резервированию и защите от вирусов. Следует проявлять осторожность при использовании мобильных средств вычислительной техники и других сервисных средств в общедоступных местах, незащищенных помещениях вне организации. Чтобы исключить неавторизованный доступ или раскрытие информации, хранимой и обрабатываемой этими средствами, необходимо использование средств и методов криптографии. Необходимо также обеспечивать адекватную защиту резервных копий от кражи или потери информации. Соответствующую защиту необходимо обеспечивать мобильным средствам, подсоединенным к общедоступным сетям. Удаленный доступ к служебной информации через общедоступную сеть с использованием мобильных средств вычислительной техники следует осуществлять только после успешной идентификации и аутентификации, а также при наличии соответствующих механизмов управления доступом.

25. Работа в дистанционном режиме

При работе в дистанционном режиме, а также для обеспечения работы сотрудников вне своей организации, в конкретном удаленном месте применяются коммуникационные технологии. При этом следует обеспечивать защиту мест дистанционной работы как от краж оборудования и информации, так и от неавторизованного раскрытия информации, неавторизованного удаленного доступа к внутренним системам организации или неправильного использования оборудования. Важно, чтобы при работе в дистанционном режиме были выполнены требования как по авторизации, так и по контролю со стороны руководства, а также был обеспечен соответствующий уровень информационной безопасности этого способа работы. Необходимо принимать во внимание: • предлагаемое оборудование мест дистанционной работы • требования к безопасности коммуникаций, исходя из потребности в удаленном доступе к внутренним системам организации, важности информации, к которой будет осуществляться доступ и которая будет передаваться по каналам связи, а также важность самих внутренних систем организации • угрозу неавторизованного доступа к информации или ресурсам со стороны других лиц, имеющих доступ к месту дистанционной работы. Мероприятия по обеспечению информационной безопасности в этих условиях должны включать: • обеспечение подходящим оборудованием места дистанционной работы • определение видов разрешенной работы, времени работы, классификацию информации, которая может храниться, а также определение внутренних систем и услуг, доступ к которым авторизован лицу, работающему в дистанционном режиме • обеспечение подходящим телекоммуникационным оборудованием, в том числе средствами обеспечения безопасности удаленного доступа • правила и руководства в отношении доступа к оборудованию и информации • обеспечение поддержки и обслуживания оборудования и программного обеспечения • процедуры в отношении резервирования данных и обеспечения непрерывности деятельности • аудит и мониторинг безопасности • аннулирование полномочий, отмену прав доступа и возвращение оборудования в случае прекращения работы в дистанционном режиме

При осуществлении выше сказанного мы получим:

• полный контроль доступа к информации • предотвращение неавторизованного доступа к информационным системам • предотвращение неавторизованного доступа пользователей к информации • защита сетевых сервисов. • предотвращение неавторизованного доступа к компьютерам • предотвращение неавторизованного доступа к данным информационных систем • обнаружение неавторизованных действий • обеспечение информационной безопасности при использовании переносных устройств и средств, обеспечивающих работу в дистанционном режиме.


Использованная литература "Правила управления информационной безопасностью" редактированно: Ашот Бадалян

Ողջույն[խմբագրել կոդը]

   Ի՞նչ Վիքիպեդիան չէ Բարի գալուստ Վիքիպեդիա, Ashot.badalyan ։)
Խորհրդարան Վիքիպեդիայի մասնակիցների անունից ողջունում եմ Ձեզ Վիքիպեդիայի հայերեն բաժնում։ Հուսով ենք մեծ բավականություն կստանաք մասնակցելով այս նախագծին։

Ուշադրություն դարձրեք աշխատանքի հիմնական սկզբունքներին, գործեք վստահ ու միշտ ունեցեք լավ ձգտումներ։

ստորագրելու համար պետք է սեղմել այստեղ
Վիքիպեդիայում հոդվածները չեն ստորագրվում (խմբագրողների ցուցակը ավտոմատաբար ձևավորվում է հոդվածի «Պատմություն» պատուհանում), բայց եթե Դուք ցանկանաք մասնակցել խորհրդարանում կամ առանձին հոդվածի քննարկմանը, ապա խնդրում ենք չմոռանալ ստորագրել Ձեր մեկնաբանությունների վերջում ավելացնելով 4 ալիքանշաններից (~~~~) կազմված նշանագիրը կամ սեղմելով կապույտ մատիտի նշանով սեղմակին (խմբագրման պատուհանիկի վերևում)։

Ձեր մասնակցային էջում Դուք կարող եք գրել որոշ տեղեկություն Ձեր մասին. ասենք այս կամ այն լեզուների տիրապետելու կամ էլ հետաքրքրությունների մասին։

Եթե հարցեր ունեք դիմեք օգնության համակարգին, կամ գրեք Հարցեր բաժնում կամ էլ խմբագրեք Ձեր քննարկման էջը. գրեք «Օգնեք ինձ» և շարադրեք տեքստը, և Ձեզ անպայմանկօգնեն։

Հաճելի խմբագրումներ ենք մաղթում։ Եվս մեկ անգամ բարի գալուստ Հայերեն Վիքիպեդիա։ Հարգանքներով՝ ― Teak (քննարկում) 04:28, 7 Հունիսի 2013 (UTC)[reply]

Hello and welcome to the Armenian Wikipedia! We appreciate your contributions. If your Armenian skills are not good enough, that’s no problem. We have an embassy where you can inquire for further information in your native language. We hope you enjoy your time here!
Ինչպե՞ս գրել հայերեն
Խմբագրման ուղեցույց
Խուսափե՛ք տարածված սխալներից
Վիքիպեդիայի էությունը
Հեղինակային իրավունքներ
Գլոսսարիում
Ստացված է «https://hy.wikipedia.org/w/index.php?title=Մասնակցի_քննարկում:Ashot.badalyan&oldid=3161679» էջից