Текст книги "Управление информационной безопасностью. Стандарты СУИБ"

5. Управление доступом

Управление доступом определяют следующие составляющие:

– правила разграничения доступа;

– управление доступом пользователей;

– ответственность пользователя;

– управление доступом к системе и приложениям.

5.1. Требования разграничения доступа

Цель: Ограничить доступ к информации и средствам обработки информации.

Требования по управлению доступом определяют следующие составляющие:

– правила разграничения доступа;

– доступ к сетям и сетевым сервисам.

Правила разграничения доступа

Меры и средства

Правила разграничения доступа должны быть разработаны, задокументированы и пересматриваться на основе требований ИБ и бизнеса.

Рекомендации по реализации

Владельцы активов должны определить надлежащие правила разграничения доступа, права доступа и ограничения для определенных пользовательских ролей по отношению к их активам с детализацией и строгостью разграничений, отражающих соответствующие риски ИБ.

Разграничения доступа являются как логическими, так и физическими, и должны рассматриваться вместе. Пользователи и провайдеры услуг должны четко обозначить требования бизнеса, которые должны удовлетворить разграничения доступа.

Правила должны учесть следующее:

– требования к безопасности прикладных программ бизнеса;

– политики распространения информации и авторизации, например, общепризнанные принципы и уровни ИБ и классификацию информации;

– согласованность между правами доступом и политиками классификации информации систем и сетей;

– требования законодательства и договорные обязательства по ограничению доступа к данным или услугам;

– управление правами доступа в распределенных и сетевых средах, которые распознают все типы возможных соединений;

– разделение ролей разграничения доступа, например, запрос доступа, авторизация доступа, администрирование доступа;

– требования к формальной авторизации прав доступа;

– требования к периодическому пересмотру управления доступом;

– аннулирование прав доступа;

– архивирование записей всех серьезных событий по использованию и управлению удостоверениями пользователей и секретной информацией автентификации;

– роли привилегированного доступа.

При разработке правил разграничения доступа необходимо учесть следующее:

– установление правил на основании предпосылки «Запрещено все, что не разрешено» вместо «Разрешено все, что не запрещено»;

– изменения информационных меток, инициированные автоматически средствами обработки информации и по усмотрению пользователя;

– изменения пользовательских разрешений, инициированные автоматически ИС и администратором;

– наличие правил, требующих определенного утверждения перед введением в действие и не требующих.

Правила разграничения доступа должны поддерживаться формальными процедурами и определять ответственности.

Разграничение ролевого доступа является тем подходом, которым пользуются многие организации для связывания прав доступа с бизнес-ролями.

Два общепризнанных принципа правил разграничения доступа:

– знание: наличие доступа только к информации, необходимой для выполнения задач (разные задачи/роли означают разную потребность знаний и следовательно разный профиль доступа);

– использование: наличие доступа только к средствам обработки информации, необходимым для выполнения задачи/работы/роли (ИТ оборудование, приложения, процедуры, кабинеты).

Доступ к сетям и сетевым сервисам

Меры и средства

Пользователям должен предоставляться доступ к сетям и сетевым сервисам, когда они имеют официальные полномочия на это.

Рекомендации по реализации

Следует сформулировать политику использования сетей и сетевых услуг.

В политике необходимо рассмотреть:

– сети и сетевые услуги, к которым разрешен доступ;

– процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ;

– процедуры и средства управления по защите доступа к сетевым подключениям и сетевым услугам;

– средства доступа к сетям и сетевым услугам (например, VPN или беспроводной сети);

– требования пользовательской аутентификации для доступа к разным сетевым сервисам;

– мониторинг использования сетевых сервисов.

Политика использования сетевых сервисов должна быть согласована с правилами разграничения доступа организации.

Неавторизованные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Такой контроль очень важен для сетевых подключений к чувствительным и критичным бизнес-приложениям или к пользователям в местах повышенного риска, например, публичных или удаленных регионах, находящихся вне зоны контроля и управления ИБ организации.

5.2. Управление доступом пользователей

Цель: Обеспечить авторизованный доступ пользователей и предотвратить неавторизованный доступ к системам и сервисам.

Управление доступом пользователей обеспечивают следующие мероприятия:

– регистрация и ее отмена;

– предоставление доступа;

– пересмотр прав доступа;

– удаление или изменение прав доступа.

Управление доступом пользователей обеспечивает также управление следующим:

– правами привилегированного доступа;

– паролями.

Регистрация и ее отмена

Меры и средства

Формальный процесс регистрации пользователя ее отмены должен быть внедрен для предоставления прав доступа.

Рекомендации по реализации

Процесс управления идентификаторами пользователя должен включать:

– использование уникальных идентификаторов пользователя, позволяющих отследить их действия и ответственность за них; использование распространенных идентификаторов должно быть разрешено только в случае оперативной или бизнес-необходимости, задокументировано и утверждено;

– немедленную деактивацию или удаление идентификаторов пользователя после его увольнения;

– периодическую идентификацию и деактивацию или удаление ненужных идентификаторов пользователя;

– гарантию того, что деактивированные идентификаторы не достались другим пользователям.

Разрешение или запрет доступа к информации и средствам ее обработки состоит из следующих двух этапов:

– создание и активация или деактивация идентификатора пользователя;

– активация или деактивация прав доступа идентификатора пользователя.

Предоставление доступа

Меры и средства

Формальный процесс предоставления доступа должен быть внедрен для назначения или отмены прав доступа для всех типов пользователя во всех системах и сервисах.

Рекомендации по реализации

Процесс предоставления доступа должен включать:

– получение полномочий от собственника ИС или сервиса для их использования;

– проверку того, что уровень предоставленного доступа соответствует правилам доступа и другим требованиям, например, разделения обязанностей;

– гарантию того, что права доступа не будут активированы (например, провайдером услуг) до завершения процедур авторизации;

– ведение централизованной записи прав доступа, предоставленных идентификатору пользователя для доступа к ИС и сервисам;

– изменение прав доступа пользователей, у которых изменилась роль или работа, и немедленную отмену или блокирование прав доступа пользователей после их увольнения;

– периодический пересмотр прав доступа вместе с собственниками ИС и сервисов.

Пересмотр прав доступа

Меры и средства

Владельцы активов должны пересматривать права доступа пользователей на регулярной основе.

Рекомендации по реализации

При пересмотре прав доступа должны учитываться следующие рекомендации:

– права доступа должны пересматриваться регулярно через определенные интервалы времени и после любых изменений, таких как повышение, понижение в должности или увольнение;

– права доступа пользователей должны пересматриваться и перераспределяться при переходе с одной должности на другую в пределах одной организации;

– полномочия привилигированных прав доступа должны пересматриваться чаще;

– присвоение привилегий должно регулярно проверяться, чтобы излишних привилегий никто не имел;

– изменения привилегированных учетных записей должны регистрироваться для периодического пересмотра.

Удаление или изменение прав доступа

Меры и средства

Права доступа к информации и средствам обработки информации всех сотрудников и представителей сторонней организации должны быть удалены по окончании их трудового договора, контракта или соглашения или откорректированы в случае каких-либо изменений.

Рекомендации по реализации

После увольнения права доступа к информации и активам, связанным со средствами обработки информации, должны быть удалены или блокированы. Изменение работы должно повлечь удаление тех прав доступа, которые не нужны на новой работе.

При удалении или изменении прав доступа необходимо учитывать как физические, так и логические аспекты доступа. Удаление или изменение прав доступа должно сопровождаться удалением, аннулированием или заменой ключей, карт идентификации, средств обработки информации или подписок.

Любая документация, определяющая права доступа сотрудников и подрядчиков, должна отражать удаление или изменения прав доступа.

Если увольняющийся сотрудник или представитель сторонней организации знает еще действующие пароли пользователей, они должны быть изменены после его увольнения или изменения условий трудового договора, контракта или соглашения.

Права доступа к информации и активам, связанным со средствами обработки информации, должны быть изменены или удалены до момента увольнения или изменения условий труда с учетом оценки следующих факторов риска:

– было ли увольнение или изменение условий труда инициировано сотрудником, представителем сторонней организации или руководством, и причина этого;

– текущие обязанности сотрудника, представителя сторонней организации или любого другого пользователя;

– ценность активов, доступных в настоящий момент.

В случае инициации увольнения руководством организации недовольные сотрудники или представители сторонней организации могут умышленно повредить информацию или средства ее обработки. Кроме того, увольняемые лица могут собирать информацию для последующего использования.

Управление правами привилегированного доступа

Меры и средства

Присвоение и использование прав привилегированного доступа должно ограничиваться и контролироваться.

Рекомендации по реализации

Присвоение прав привилегированного доступа должно контролироваться формальным процессом авторизации в соответствии с правилами разграничения доступа.

Необходимо рассмотреть следующие шаги:

– определение прав привилегированного доступа в отношении каждой системы или процесса, например, ОС, СУБД, приложения и пользователей, которым эти привилегии должны быть присвоены;

– права привилегированного доступа должны присваиваться пользователям на основании принципа их необходимости в соответствии с правилами разграничения доступа, т. е. минимума требований для их функциональных ролей;

– обеспечение процедуры авторизации и записи всех предоставленных привилегий; права привилегированного доступа не должны предоставляться до завершения процедуры авторизации;

– определение требований по сроку действия прав привилегированного доступа;

– идентификатор пользователя с правами привилегированного доступа должен отличаться от идентификаторов, выполняющих обычную работу, и не должен ее выполнять;

– полномочия пользователей с правами привилигированных доступа должны регулярно пересматриваться на предмет соответствия их обязанностям;

– обеспечение специальных процедур для предотвращения несанкционированного использования универсальных административных идентификаторов с учетом особенностей системной конфигурации;

– обеспечение конфиденциальности при совместном использовании пароля универсальных административных идентификаторов (например, частая смена паролей, особенно при увольнении или смене работы, их передача с помощью специальных механизмов).

Неправильное использование системных административных привилегий (любая функция или устройство ИС, предоставляющее возможность пользователю обойти системные или программные меры защиты) является главной причиной сбоев и отказов систем.

Управление паролями

Меры и средства

Присвоение секретной информации аутентификации (пароля) пользователей должно контролироваться посредством формального процесса управления.

Рекомендации по реализации

Формальный процесс управления должен включать следующие требования:

– пользователи должны подписать заявление о сохранении персонального пароля в тайне и хранить групповые пароли членов группы (например, при общем доступе); это подписанное заявление должно содержать сроки и условия трудоустройства;

– если пользователям необходимо самостоятельно управлять своими паролями, им следует первоначально предоставить безопасный временный пароль, который подлежит немедленной замене после входа в систему;

– должны быть созданы процедуры проверки личности пользователя прежде, чем ему будет предоставлен новый, сеансовый или временный пароль;

– временные пароли следует выдавать пользователям безопасным способом, необходимо исключить использование незащищенного (открытого) текста сообщений электронной почты;

– временные пароли должны быть уникальны для каждого пользователя и не должны быть легко угадываемыми;

– пользователи должны подтверждать получение паролей;

– пароли поставщика, установленные по умолчанию, необходимо изменить после инсталляции систем или ПО.

Пароли являются наиболее распространенным типом секретной информации аутентификации и средством проверки личности пользователя. Другим типом секретной информации аутентификации являются криптографические ключи и другие данные, хранящиеся на «токенах» (смарт-картах), создающих коды аутентификации.

5.3. Ответственность пользователя

Цель: Сделать пользователя ответственным за хранение информации аутентификации (пароля).

Пользование паролем

Меры и средства

Пользователи должны выполнять установленный в организации порядок использования секретной информации аутентификации (пароля).

Рекомендации по реализации

Всем пользователям надо посоветовать следующее:

– хранить секретную информацию аутентификации в тайне, исключая возможность его разглашения даже друзьям;

– не записывать секретную информацию аутентификации (например, на бумаге, ручном устройстве, в виде файла), за исключением того случая, когда используется безопасное место и надежный метод хранения (например, сейф паролей);

– менять секретную информацию аутентификации при малейшем признаке компрометации;

– если в качестве секретной информации аутентификации используется пароль, выбрать качественный пароль с минимально достаточной длиной, который:

• легко запомнить;

• не содержит того, что можно легко угадать, или какую-либо персональную информацию (например, имена, номера телефонов, даты рождения и т.п.);

• неуязвим для словарных атак (т.е. не содержит слов, включенных в словари);

• не содержит подряд идущих одинаковых символов, только цифровых или только буквенных;

• если временный, сразу сменить при первом входе в систему;

– не делиться индивидуальной секретной информацией аутентификации пользователя;

– надлежащим образом защищать и хранить пароли, используемые в качестве секретной информации аутентификации в процедурах автоматического входа;

– не использовать одну и ту же секретную информацию аутентификации для бизнес и не бизнес-целей.

Применение технологии «единого входа» (Single Sign-On, SSO) или других инструментов управления секретной информацией аутентификации снижает ее объем и тем самым может повысить эффективность ее защиты. Однако эти инструменты могут усилить влияние от разглашения секретной информации аутентификации.

5.4. Управление доступом к системе и приложениям

Цель: Предотвратить несанкционированный доступ к системе и приложениям.

Управление доступом к системе определяют следующие составляющие:

– процедуры безопасного входа;

– система управления паролями;

Управление доступом к приложениям обеспечивают следующие мероприятия:

– ограничение доступа к информации;

– использование системного ПО;

– управление доступом к исходным кодам программ.

Процедуры безопасного входа

Меры и средства

Доступ к системе и приложениям должен контролироваться с помощью процедуры безопасного входа в соответствии с правилами разграничения доступа.

Рекомендация по реализации

Должно быть выбрано соответствующее средство аутентификации для подтверждения заявленной личности пользователя.

Если требуется строгая аутентификация и проверка личности, вместо паролей должны использоваться такие методы аутентификации, как средства криптографии, биометрии, смарт-карты или токены.

Процедура входа в систему или приложение должна минимизировать возможность несанкционированного доступа. Процедура входа должна разглашать минимум информации о системе и приложении, чтобы избежать какого-либо содействия неавторизованному пользователю.

Правильная процедура входа должна:

– не отображать наименований системы и приложений, пока процесс входа не будет успешно завершен;

– отображать общее предупреждение о том, что доступ к компьютеру могут получить только авторизованные пользователи;

– не предоставлять сообщений-подсказок в течение процедуры начала сеанса, которые могли бы помочь неавторизованному пользователю;

– подтверждать информацию начала сеанса только по завершении ввода всех исходных данных, а в случае ошибочного ввода не показывать, какая часть данных является правильной или неправильной;

– защищать от перебора попыток входа;

– регистрировать успешные и неуспешные попытки входа;

– повысить событие безопасности в случае выявления потенциальных попыток и реального нарушения мер защиты входа;

– отображать следующую информацию после завершения успешного входа:

• дату и время предыдущего успешного входа;

• детали любых неуспешных попыток входа, начиная с последнего успешного входа;

– не отображать введенный пароль;

– не передавать пароли открытым текстом по сети;

– завершать неактивные сессии после определенного периода неактивности, особенно в местах повышенного риска, таких как публичные или удаленные регионы, вне зоны управления безопасностью организации или на мобильных устройствах;

– ограничивать время соединения для обеспечения дополнительной безопасности для прикладных программ повышенного риска и уменьшения временных возможностей неавторизованного пользователя.

Пароль является обычным средством идентификации и аутентификации, основанным на тайне, известной только пользователю. То же самое может также достигаться средствами криптографии и протоколами аутентификации. Стойкость аутентификации пользователя должна соответствовать классификации информации, к которой осуществляется доступ.

Если пароли передаются открытым текстом в течение сеанса входа по сети, они могут быть перехвачены сетевой «sniffer» -программой (анализатором трафика).

Система управление паролями

Меры и средства

Системы управления паролями должны быть интерактивными и обеспечивать качество паролей.

Рекомендации по реализации

Система управления паролями должна:

– предписывать использование индивидуальных идентификаторов пользователя и паролей для установления ответственности;

– разрешать пользователям выбор и смену своих паролей и включать процедуру подтверждения ошибок ввода;

– предписывать использование качественных паролей;

– заставлять пользователей менять временные пароли при первом начале сеанса;

– предписывать регулярную смену паролей и по необходимости;

– вести учет ранее использованных паролей и предотвращать их повторное использование;

– не отображать пароли на экране при их вводе;

– хранить файлы паролей отдельно от прикладных системных данных;

– хранить и передавать пароли в защищенной форме.

Ограничение доступа к информации

Меры и средства

Доступ к информации и прикладным функциям системы должен ограничиваться в соответствии с правилами разграничения доступа.

Рекомендации по реализации

Ограничения доступа должно базироваться на индивидуальных требованиях бизнес-приложений в соответствии с определенными правилами разграничения доступа.

Для обеспечения ограничения доступа необходимо рассмотреть следующее:

– создание пунктов меню управления доступом к прикладным функциям системы;

– контроль, к каким данным может получить доступ конкретный пользователь;

– контроль прав доступа пользователей, например, чтение, запись, удаление, изменение;

– контроль прав доступа других прикладных программ;

– ограничение информации, содержащейся в выходных данных;

– внедрение мер защиты физического или логического доступа для изоляции чувствительных прикладных программ, прикладных данных или систем.

Использование системного программного обеспечения

Меры и средства

Использование системного программного обеспечения (далее – ПО), способного обойти меры защиты системы и приложения, должно быть ограничено и строго контролироваться.

Рекомендации по реализации

Необходимо рассмотреть следующие рекомендации:

– использование процедур идентификации, аутентификации и авторизации для системного ПО;

– отделение системного ПО от прикладного;

– ограничение использования системного ПО минимальным числом доверенных авторизованных пользователей;

– авторизация на специальное использование системного ПО;

– ограничение доступности системного ПО, например, на время внесения санкционированных изменений;

– регистрация всех использований системного ПО;

– определение и документирование уровней полномочий в отношении системного ПО;

– удаление или блокирование ненужного системного ПО;

– запрет доступа к системному ПО для пользователей, имеющих доступ к приложениям в системах, где требуется разделение обязанностей.

Контроль доступа к исходному коду программы

Меры и средства

Доступ к исходному коду программы должен быть ограничен.

Рекомендации по реализации

Доступ к исходному коду программы и связанным с ним элементам (таким как оформление, рекомендации, планы проверки и планы утверждения) должны четко контролироваться для предотвращения появления несанкционированной функциональности и избежания неумышленных изменений, а также для конфиденциальности интеллектуальной собственности. Это можно достигнуть путем контролируемого централизованного хранения исходного кода программы, желательно в библиотеках исходного кода программ.

Чтобы снизить возможность искажения компьютерных программ, необходимо рассмотреть следующие рекомендации:

– по возможности, следует избегать хранения библиотек исходного кода программ в операционных системах;

– управление исходным кодом программы и его библиотеками следует осуществлять в соответствии с установленными процедурами;

– персонал поддержки не должен иметь неограниченный доступ к библиотекам исходного кода программ;

– обновление библиотек исходного кода программ и связанных с ним элементов, а также предоставление исходного кода программистам должны осуществляться только после получения ими соответствующих полномочий;

– распечатки (листинги) программ следует хранить в безопасной среде;

– в журнале аудита должны фиксироваться все обращения к библиотекам исходного кода программ;

– поддержку и копирование библиотек исходного кода программ следует осуществлять в соответствии с четкими процедурами контроля изменений.

Если исходный код программы необходимо опубликовать, должны быть приняты дополнительные меры защиты его целостности (например, цифровая подпись).