9.5.3 Идентификация и аутентификация пользователей
Все пользователи (включая специалистов по технической поддержке – операторов, сетевых
администраторов, системных программистов, администраторов баз данных и т. п.) должны
иметь уникальный идентификатор для единоличного использования. Благодаря этому для
любой операции можно будет определить выполнившего ее пользователя. Пользовательские
идентификаторы никоим образом не должны указывать на уровень привилегий пользователей
(см. раздел 9.2.2), например, администраторов и супервизоров.
В исключительных случаях при наличии очевидных преимуществ для деятельности
организации можно использовать общие идентификаторы для группы пользователей или для
конкретной задачи. Для подобных случаев необходимо письменное разрешение руководства.
При этом могут потребоваться дополнительные меры для определения персонализации
ответственности.
Существуют различные процедуры аутентификации, которые можно использовать для
подтверждения заявленных персональных данных пользователя. Одним из наиболее
распространенных средств идентификации и аутентификации являются пароли (см. также
разделы 9.3.1 и далее), основанные на секретной информации, известной только
пользователю-владельцу пароля. Тех же целей можно достичь с помощью криптографических
средств и протоколов аутентификации.
Кроме того, для идентификации и аутентификации можно использовать такие средства, как
карты памяти или смарт-карты, или биометрические технологии аутентификации,
действующие на основе уникальных характеристик или атрибутов отдельного человека. Для
усиленной аутентификации можно использовать сочетание связанных между собой
технологий и механизмов.
9.5.4 Система управления паролями
Пароли – это одно из основных средств подтверждения прав пользователя на доступ к
компьютерному сервису. Системы управления паролями должны включать в себя
|