Международный стандарт iso 17799
Управление паролями пользователей
жүктеу/скачать 0.79 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- ISO/EIC 17799:2000 © ISO/EIC 2000 © Перевод компании Информзащита 2004 54 9.2.4 Проверка прав доступа пользователей
| 9.2.3 Управление паролями пользователей
Пароли – распространенное средство проверки личности пользователя для доступа к информационной системе или сервису. Предоставление паролей должно контролироваться посредством официальной процедуры, отвечающей следующим требованиям: a) пользователи должны подписывать заявление о том, что личные пароли будут храниться в секрете, а пароли рабочих групп будут известны только членам группы (эти условия могут быть включены в контракт о приеме на работу; см. раздел 6.1.4); b) если пользователи должны выбирать свои пароли самостоятельно, необходимо гарантировать, что изначально им будет предоставлен надежный временный пароль, который они будут должны немедленно сменить. В том случае, если пользователь забудет свой пароль, временный пароль должен предоставляться только после однозначного подтверждения личности пользователя; c) временные пароли должны предоставляться пользователям с соблюдением норм безопасности. Избегайте передачи через посредников и использования незащищенных (незашифрованных) сообщений электронной почты. Пользователи должны подтверждать получение паролей. Пароли не должны храниться в компьютерной системе в незащищенном виде. При необходимости можно рассмотреть возможность использования других технологий идентификации и аутентификации пользователей, в частности, биометрических технологий (например, проверки отпечатков пальцев), проверки подписи и аппаратных средств, например, смарт-карт. ISO/EIC 17799:2000 © ISO/EIC 2000 © Перевод компании Информзащита 2004 54 9.2.4 Проверка прав доступа пользователей Чтобы обеспечить эффективный контроль доступа к данным и информационным сервисам, необходимо ввести официальный процесс регулярной проверки прав доступа пользователей, отвечающий следующим требованиям: a) права доступа пользователей должны проверяться через регулярные интервалы (рекомендуется интервал в полгода), а также после внесения каких-либо изменений (см. раздел 9.2.1); b) разрешения на обладание особыми привилегированными правами доступа (см. раздел 9.2.2) должны проверяться чаще (рекомендуется интервал в три месяца); c) необходимо регулярно проверять предоставленные привилегии, чтобы убедиться в отсутствии привилегий, полученных без разрешения. жүктеу/скачать 0.79 Mb. Достарыңызбен бөлісу:
|