Требования к средствам управления ИБ:

• надежность средств управления безопасностью обеспечивается разделением ролей и обязанностей администраторов;
• должны присутствовать как минимум администратор безопасности, системный администратор, пользователи;
• должны особо контролироваться вопросы перераспределения и добавления должностных обязанностей, связанных с ИБ;
• средства администрирования, относящиеся к ИБ, должны контролироваться на предмет их несанкционированного использования, модификации, уничтожения;
• в системе должны использоваться механизмы защиты при регистрации новых пользователей;
• в базе данных должны присутствовать механизмы защиты, обеспечивающие:
  • невозможность включать/выключать механизмы защиты;
  • выбирать или изменять события, подлежащие протоколированию/аудиту;
  • изменять установленные по умолчанию события и атрибуты защиты;
• должно быть установлено предельное время пассивности пользователей, после которого они исключаются из числа легальных пользователей;
• системный администратор должен быть в состоянии проводить аудит действий одного или выбранной группы пользователей; средства проведения аудита должны быть защищены от неавторизованного использования, модификации, уничтожения;
• в базе данных:
  • при установке должен присутствовать механизм выбора и обновления параметров конфигурации;
  • любые установки администратора должны производятся только после этого;
  • должна быть обеспечена защита механизма регистрации параметров пользователя от несанкционированного удаления, модификации, ознакомления;
  • должен существовать механизм удаления пассивных пользователей;
  • администратор должен иметь возможность отменить команду удаления пользователя из списков;
  • должен существовать защитный механизм, обеспечивающий доступ только авторизованного персонала к выполнению функций администратора.

Обеспечение безопасности порождения и получения информации:	Содержание	Классификация физических ресурсов, используемая в методе CRAMM.