|
122. Захист від фізичного втручання, збою комп'ютерів
Для управління доступом до всіх інформаційних систем масового використання повинна існувати формальна процедура реєстрації і видалення облікових записів користувачів. Доступ до таких інформаційних систем необхідно контролювати за допомогою формального процесу реєстрації користувачів, що повинний забезпечувати:
• перевірку, чи надано користувачу дозвіл на використання системи
адміністратором;
• перевіряти, чи достатній рівень доступу до системи, наданий
користувачу, для виконання покладених на нього посадових обов'язків і
чи не суперечить він політиці безпеки, прийнятої в організації, чи не
компрометує він принцип поділу обов'язків;
• надавати користувачам їх права доступу в письмовому виді;
• вимагати від користувачів підписання зобов'язання, щоб показати,
що вони розуміють умови доступу;
• вимагати від постачальників послуг, щоб вони не надавали доступ
до систем доти, поки не будуть закінчені процедури визначення
повноважень;
• вести формальний облік усіх зареєстрованих осіб, що
використовують систему;
• негайно вилучати права доступу в тих користувачів, що змінили
роботу або залишили організацію;
• періодично перевіряти і видаляти ідентифікатори й облікові записи
службовців, що більше не вимагаються;
• перевіряти, чи не видані ідентифікатори користувачів, що більше не
використовуються, іншим службовцям.
Якщо користувачам необхідний доступ до багатьох систем і платформ і від них потрібно підтримка декількох паролів, то їм варто рекомендувати використовувати один єдиний надійний пароль для входу в усі системи, що забезпечує мінімальний рівень захисту для збереження паролів. Функціонально система управління паролями повинна забезпечити:
> примушувати користувачів до застосування індивідуальних та унікальних
паролів;
> дозволяти користувачам вибирати і змінювати свої власні паролі, а також
включати процедуру їхнього підтвердження, щоб уникнути помилок при їхньому
наборі;
> задавати та контролювати мінімальну кількість символів у паролях;
> примушувати користувачів до зміни паролів через регулярні проміжки
часу в тих випадках, коли вони самі підтримують свої паролі;
> змушувати користувачів змінювати тимчасові паролі при першому вході в
систему;
> вести облік попередніх паролів користувача, наприклад, за останні 12 місяців
і запобігати їхньому повторному використанню;
> не виводити паролі на екран при їхньому наборі на клавіатурі;
> зберігати файли паролів окремо від основних даних прикладної системи;
> зберігати паролі в зашифрованому виді, використовувати асиметричний
алгоритм шифрування;
> змінювати паролі, задані постачальником програмного забезпечення за
замовчуванням, після його інсталяції;
> в ідеалі перевіряти, чи вибрав користувач надійний пароль, наприклад, за
допомогою перевірки на повторні комбінації символів тощо.
В даний час паролі є основним засобом підтвердження повноважень доступу користувачів до комп'ютерних систем. Призначення паролів необхідно контролювати за допомогою формального процесу управління, що має задовольняти наступним вимогам:
- Вимагати від користувачів підписання зобов'язання по збереженню персональних паролів і паролів робочих груп у секреті.
- У тих випадках, коли користувачі повинні самі вибирати свої паролі, видати їм надійні тимчасові паролі, які вони зобов'язані негайно змінити. Тимчасові паролі також видаються у випадку, коли користувачі забувають свої паролі. Тимчасові паролі повинні видаватися тільки після позитивної ідентифікації користувача.
- Передавати тимчасові паролі користувачам надійним способом. Варто уникати передачу паролів через посередників або за допомогою незахищених (незашифрованих) повідомлень електронної пошти. Користувачі повинні підтвердити одержання паролів.
Для забезпечення ефективного контролю за доступом до даних та інформаційних систем керівництво повинне реалізовувати формальний процес перегляду прав доступу користувачів через регулярні проміжки часу. Цей процес повинний забезпечувати перегляд повноважень доступу користувачів через регулярні проміжки часу, рекомендується період З місяці.
Обов'язки користувачів. Користувачі повинні знати свої обов'язки по забезпеченню ефективного контролю доступу, особливо що стосується використання паролів і захисту устаткування користувачів. Паролі є основним засобом підтвердження повноважень доступу користувачів до комп'ютерних систем. Необхідно виконувати наступні рекомендації з вибору і використання паролів:
• Призначати індивідуальні паролі для забезпечення підзвітності.
• Зберігати паролі в таємниці.
• Не записувати паролі на папері, якщо не представляється можливим
їх збереження в захищеному місці.
• Змінювати паролі всякий раз, коли є вказівки на можливу
компрометацію систем або паролів.
• Вибирати паролі, що містять не менш шести символів.
• При виборі паролів не слід використовувати: місяці року, дні тижня,
дати народження, прізвища, ініціали і реєстраційні номера автомобілів,
назви й ідентифікатори організацій, номера телефонів, більш двох
однакових символів або групи символів, що складаються з однакових
букв.
• Змінювати паролі через регулярні проміжки часу (приблизно через
ЗО діб) і уникати повторного чи циклічного використання старих паролів.
• Змінювати тимчасові паролі при першому вході в систему.
• Не включати паролі в сценарії автоматичного входу в системи,
наприклад, у макроси або функціональні клавіші.
|
Вход
Регистрация
FAQ
Поиск
