Международный стандарт iso 17799



Pdf көрінісі
бет63/108
Дата09.09.2023
өлшемі0.79 Mb.
#476996
түріРеферат
1   ...   59   60   61   62   63   64   65   66   ...   108
ISO IEC 17799 2000 rus


раздел 9.1) и соответствует принятой в организации политике безопасности, например, 
не нарушает принципа разделения полномочий (см. раздел 8.1.4);
d) предоставление пользователям письменного описания их прав доступа;
e) требование к пользователям подписать заявление о том, что они знакомы с условиями 
доступа;
f) подтверждение того факта, что поставщики услуг не предоставляют доступа до 
завершения процедур авторизации;
g) поддержка официального списка всех лиц, зарегистрированных для работы с данным 
сервисом;
h) немедленное удаление прав доступа для пользователей, которые перешли на другую 
должность или покинули организацию;
i) периодическая проверка и удаление ставших ненужными пользовательских 
идентификаторов и учетных записей; 
j) подтверждение того факта, что резервные идентификаторы не присвоены другим 
пользователям.
Необходимо рассмотреть возможность включения в контракты о приеме на работу и 
предоставлении услуг описание мер, которые последуют в случае попытки сотрудника или 


ISO/EIC 17799:2000 
© ISO/EIC 2000,
© Перевод компании Информзащита 2004 
53
агента получить несанкционированный доступ (см. также разделы 6.1.4 и 6.3.5).
9.2.2 Управление привилегиями 
Распределение и использование привилегий (функций или средств многопользовательской 
информационной 
системы, 
позволяющих 
определенному 
пользователю 
обходить 
реализованные в системе или приложениях средства защиты) необходимо ограничить и 
контролировать. Неправильное использование системных привилегий зачастую является 
одной из основных причин нарушения работы систем, подвергшихся атаке. 
В многопользовательских системах, требующих защиты от несанкционированного доступа
распределение привилегий должно контролироваться с помощью формального процесса 
авторизации. Рекомендуется рассмотреть следующие меры: 
a) Необходимо определить привилегии, связанные с каждым компонентом системы 
(операционной системой, системой управления базами данных и отдельными 
приложениями), и категории сотрудников, которым они требуются.
b) Привилегии должны предоставляться сотрудникам только в случае необходимости их 
использования и для каждого события в отдельности, т. е. привилегии должны быть 
минимальными для их функциональной роли и только тогда, когда они необходимы.
c) Необходимо соблюдать процесс утверждения и вести запись сведений обо всех 
предоставленных привилегиях. Привилегии не должны предоставляться до 
завершения процесса утверждения. 
d) Следует способствовать разработке и применению системных процедур для того, 
чтобы избежать необходимости предоставления привилегий пользователям.
e) Привилегии должны назначаться не для той пользовательской записи, которая 
используется для обычной деятельности.


Достарыңызбен бөлісу:
1   ...   59   60   61   62   63   64   65   66   ...   108




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет