Цель: Обеспечить контроль доступа к информации.
Часть 1: В организации должны быть установлены правила распространения информации и разграничения доступа. Доступ к сервисам и данным в системе необходимо контролировать в соответствии с требованиями организации.
Часть 2: Аудиторы должны проверить соответствие установленных правил доступа к информации существующей производственной необходимости.
Цель: Предотвратить несанкционированный доступ к информационной системе.
Часть 1: Для управления процессом предоставления прав доступа к информационным системам требуются формальные процедуры. Эти процедуры должны включать в себя все стадии жизненного цикла управления доступом пользователей — от начальной регистрации до удаления учетных записей пользователей, для которых доступ закрывается. Особое внимание следует уделить процессу предоставления суперпользовательских прав, позволяющих обойти средства системного контроля.
Часть 2: Аудиторы должны проверить формальные процедуры регистрации и соответствие фактического положения вещей установленным процедурам. Следует проконтролировать использование особых привилегий.
Цель: Предотвратить несанкционированный доступ пользователей.
Часть 1: Важным условием поддержания режима ИБ является помощь зарегистрированных пользователей. Пользователи должны знать свои обязанности по обеспечению контроля доступа, особенно в части использования паролей и защиты пользовательского оборудования.
Часть 2: Аудиторы должны проверить знание пользователями своих обязанностей и фактическое их выполнение.
Цель: Предотвратить несанкционированный доступ к сервисам, включенным в сеть.
Часть 1: Подключение сервисов в сеть следует контролировать. Это необходимо для того, чтобы защитить другие сетевые сервисы. В число средств контроля должны входить:
Часть 2: Аудиторы должны проверить, что пользователи имеют доступ только к тем сервисам, которые им необходимы. Если проводится политика управления маршрутизацией, необходимо выяснить, как она реализуется на практике.
Цель: Предотвратить несанкционированный доступ к компьютерам.
Часть 1: Доступ следует предоставлять только зарегистрированным пользователям. Многопользовательские системы должны:
Существуют также более мощные и дорогостоящие системы управления доступом, использование которых оправдано в случае высокого риска нарушения режима безопасности.
Часть 2: Аудиторы должны проверить как минимум использование парольной защиты: периодичность смены паролей, использование общих паролей, длину и структуру паролей. При необходимости проверяются прочие механизмы: идентификация терминалов для некоторых соединений, система сигнализации о попытках несанкционированного доступа.
Цель: Предотвратить несанкционированный доступ к информации, хранимой в информационных системах.
Часть 1: Для управления доступом к прикладным системам и данным необходимо использовать средства логического контроля доступа. Доступ к программам и данным следует предоставлять только зарегистрированным пользователям. Прикладные системы должны:
Часть 2: Аудиторы должны проверить существующие ограничения на доступ.
Цель: Выявить несанкционированные действия.
Часть 1: Чтобы проверить, как осуществляется политика управления доступом, необходимо проводить текущий контроль системы. Это необходимо для определения эффективности принятых мер и проверки соответствия политики управления доступом существующей практике.
Часть 2: Аудиторы должны проверить соответствие политики управления доступом существующей практике.
|
|
|
|
| Раздел 6. Администрирование информационных систем | Содержание | Раздел 8. Разработка и сопровождение информационных систем |
| Copyright ╘ 1993-2000, Jet Infosystems |