В інформаційній системі

Користувачі повинні знати свої обов’язки щодо забезпечення контролю доступу; особливо – використання паролів. Доступ користувачу до ресурсів ІС повинен надаватися згідно з політикою управління доступом. Зокрема, рекомендується надавати користувачам тільки прямий доступ до серверів, використання яких їм дозволено. Особливу увагу адміністратора безпеки слід приділяти контролю мережевих підключень до конфіденційних чи критично важливих доповнень, а також контролю за роботою користувачів у зонах підвищеного ризику, наприклад, в загальнодоступних місцях чи місцях, що знаходяться за межами організації.

Доступ до робочих місць в ІС слід надавати тільки зареєстрованим користувачам.

Системи управління доступом повинні забезпечувати:

- ідентифікацію і автентифікацію користувачів, а також, за необхідності, термінала і місцезнаходження кожного зареєстрованого користувача;

- ведення журналу обліку спроб доступу (успішних і невдалих) до ІС;

- за необхідності обмежувати підключення користувачів у неурочний час.

Для організації доступу до ІС на етапі підготовчих робіт рекомендується розглянути такі питання:

- реєстрація користувачів;

- управління привілеями;

- управління паролями користувачів;

- перегляд прав доступу користувачів;

- використання паролів;

- обладнання користувачів, залишене без нагляду;

- відстежування часу простою терміналів;

- обмеження періоду підключення.

Для управління доступом до багатокористувацького сервісу повинна бути розроблена процедура реєстрації користувачів. Ця процедура повинна:

- перевіряти, чи наданий користувачеві дозвіл на використання сервісу відповідальним за його використання;

- вести облік усіх зареєстрованих осіб, що використовують інформаційну систему;

- перевіряти чи достатній рівень доступу користувача до системи і чи не суперечить він політиці безпеки, прийнятої в організації, наприклад, чи не компрометує він принцип розподілення обов’язків;

- своєчасно анулювати права доступу у користувачів, які залишили організацію;

- періодично перевіряти і видаляти застарілі ідентифікатори та облікові записи.

У багатокористувацьких ІС повинна існувати система контролю надання привілеїв. При організації такої системи рекомендується:

- ідентифікувати привілеї, пов’язані з кожним програмним продуктом чи сервісом, підтримуваним системою, а також категорії працівників, яким їх необхідно надавати;

- надавати привілеї окремим особам тільки у випадку крайньої потреби і залежно від ситуації, тобто тільки коли привілеї потрібні для виконання працівниками своїх функцій;

- реалізувати автоматичний процес визначення повноважень і вести облік всіх наданих привілеїв;

- за можливістю використовувати системні програми, для яких немає необхідності надавати спеціальні привілеї користувачам;

- надавати інший ідентифікатор для звичайної роботи користувачам, які мають великі привілеї для спеціальних цілей.

Вимоги до системи контролю (управління) паролями користувачів такі:

- зобов’язати користувачів зберігати в секреті персональні паролі та паролі робочих груп;

- коли користувачі повинні самі вибирати свої паролі, видати їм надійні тимчасові паролі. Тимчасові паролі видаються також у випадку, коли користувачі забувають свої паролі;

- передавати тимчасові паролі користувачам надійним способом. Уникати передавання паролів через посередників чи за допомогою незахищених (незашифрованих) повідомлень електронної пошти. Користувач повинен підтвердити отримання паролю.

Перегляд прав доступу користувачів через регулярні проміжки часу проводиться з метою забезпечення ефективного контролю за дотриманням режиму захисту інформації. Процес перегляду повинен забезпечувати:

- перегляд повноважень доступу користувачів через регулярні проміжки часу (6 місяців);

- перегляд дозволу на надання спеціальних привілеїв через більш короткі проміжки часу (3 місяці).

Для підтримання режиму ЗІ при виборі та використанні паролів пропонуються такі рекомендації:

- вибирати паролі, що містять не менше шести символів;

- при цьому не слід використовувати:

а) назви місяців року, днів тижня;

б) прізвища, ініціали, реєстраційні номери автомобілів;

в) назви та ідентифікатори організацій;

г) номери телефонів чи групи символів, що ідуть один за одним;

д) групи символів, що складаються тільки з цифр;

- змінювати паролі через регулярні проміжки часу (місяць) і уникати повторного чи „циклічного” використання старих паролів;

- частіше змінювати паролі для привілейованих системних ресурсів (до системних утилітів);

- змінювати тимчасові паролі при першому вході в систему;

- не включати паролі в процедуру автоматичного входу в систему (макроси, функціональні клавіші);

- не допускати використання одного паролю декількома користувачами;

- забезпечувати зберігання паролів у секреті;

- змінювати паролі, коли є вказівки на можливу компроментацію їх;

- використовувати один надійний пароль, якщо потрібен доступ до декількох серверів, захищених паролями.