Международный стандарт iso 17799
жүктеу/скачать 0.79 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- 9.1.1 Политика контроля доступа 9.1.1.1 Политика и требования бизнеса
- 9.1.1.2 Правила контроля доступа
| ISO/EIC 17799:2000
© ISO/EIC 2000, © Перевод компании Информзащита 2004 51 9 Контроль доступа 9.1 Требования к контролю доступа в организации Цель: Контроль доступа к информации. Доступ к информации и процессам, происходящим в организации, должен контролироваться в соответствии с требованиями бизнеса и нормами безопасности. При этом следует учитывать политику распространения и авторизации информации. 9.1.1 Политика контроля доступа 9.1.1.1 Политика и требования бизнеса Необходимо определить и документировать бизнес-требования к контролю доступа. В политике следует четко определить правила контроля доступа и права каждого пользователя или группы пользователей. Пользователи и поставщики услуг должны получить четкое описание бизнес-требований, которым должны соответствовать средства контроля доступа. В политике должно учитываться следующее: a) требования к безопасности различных бизнес-приложений; b) идентификация всей информации, связанной с определенным бизнес-приложением; c) политика распространения и авторизации информации, например, принцип распространения информации только среди тех сотрудников, которым она необходима, а также уровни безопасности и классификация информации; d) согласование методов контроля доступа с правилами классификации информации в различных системах и сетях; e) законы и условия контрактов, относящиеся к защите доступа к данным и сервисам (см. раздел 12); f) стандартные профили доступа пользователей для основных категорий должностей; g) управление правами доступа в распределенных и сетевых средах для всех имеющихся типов соединений. 9.1.1.2 Правила контроля доступа При определении правил контроля доступа необходимо учитывать следующее: a) различия между правилами, которые должны соблюдаться всегда, и правилами, которые являются необязательными или применяются лишь в определенных случаях; b) установка правил на основе принципа «что не разрешено явно, то запрещено», а не на основе более слабого принципа «что не запрещено явно, то разрешено». c) автоматическое изменение категорий информации в средствах обработки и изменение категорий информации по решению пользователя (см. раздел 5.2); d) автоматическое изменение прав доступа пользователя информационной системой и изменение этих прав администратором; e) правила, для исполнения которых требуется подтверждение администратора или другого лица, и правила, которые не требуют такого подтверждения. |