Международный стандарт iso 17799
жүктеу/скачать 0.79 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- ISO/EIC 17799:2000 © ISO/EIC 2000, © Перевод компании Информзащита 2004
- 9.2.2 Управление привилегиями
раздел 9.1) и соответствует принятой в организации политике безопасности, например, не нарушает принципа разделения полномочий (см. раздел 8.1.4); d) предоставление пользователям письменного описания их прав доступа; e) требование к пользователям подписать заявление о том, что они знакомы с условиями доступа; f) подтверждение того факта, что поставщики услуг не предоставляют доступа до завершения процедур авторизации; g) поддержка официального списка всех лиц, зарегистрированных для работы с данным сервисом; h) немедленное удаление прав доступа для пользователей, которые перешли на другую должность или покинули организацию; i) периодическая проверка и удаление ставших ненужными пользовательских идентификаторов и учетных записей; j) подтверждение того факта, что резервные идентификаторы не присвоены другим пользователям. Необходимо рассмотреть возможность включения в контракты о приеме на работу и предоставлении услуг описание мер, которые последуют в случае попытки сотрудника или ISO/EIC 17799:2000 © ISO/EIC 2000, © Перевод компании Информзащита 2004 53 агента получить несанкционированный доступ (см. также разделы 6.1.4 и 6.3.5). 9.2.2 Управление привилегиями Распределение и использование привилегий (функций или средств многопользовательской информационной системы, позволяющих определенному пользователю обходить реализованные в системе или приложениях средства защиты) необходимо ограничить и контролировать. Неправильное использование системных привилегий зачастую является одной из основных причин нарушения работы систем, подвергшихся атаке. В многопользовательских системах, требующих защиты от несанкционированного доступа, распределение привилегий должно контролироваться с помощью формального процесса авторизации. Рекомендуется рассмотреть следующие меры: a) Необходимо определить привилегии, связанные с каждым компонентом системы (операционной системой, системой управления базами данных и отдельными приложениями), и категории сотрудников, которым они требуются. b) Привилегии должны предоставляться сотрудникам только в случае необходимости их использования и для каждого события в отдельности, т. е. привилегии должны быть минимальными для их функциональной роли и только тогда, когда они необходимы. c) Необходимо соблюдать процесс утверждения и вести запись сведений обо всех предоставленных привилегиях. Привилегии не должны предоставляться до завершения процесса утверждения. d) Следует способствовать разработке и применению системных процедур для того, чтобы избежать необходимости предоставления привилегий пользователям. e) Привилегии должны назначаться не для той пользовательской записи, которая используется для обычной деятельности. жүктеу/скачать 0.79 Mb. Достарыңызбен бөлісу:
|