 |
Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | |
Управління доступом до сервісів
|
|
Користувачам і обслуговувальному персоналу ІС слід надавати доступ до сервісів згідно з прийнятою політикою управління доступом до інформації. Рекомендується розглянути можливість таких засобів контролю:
- доступ до додатків (сервісів) через систему меню, що забезпечує контроль повноважень доступів користувачів;
- обмеження доступу користувачів до інформації про структурні дані та функції ІС, доступ до яких їм не дозволений, шляхом відповідного редагування документації користувачів;
- контроль за вихідною інформацією додатків на предмет вмісту в ній конфіденційної інформації. Така інформація повинна посилатись тільки на певні термінали і комп’ютери. Потрібен періодичний аналіз вихідної інформації та видалення, за необхідності, зайвої інформації.
В організації повинні бути визначені чіткі правила відносно статусу і використання електронної пошти. Для зменшення ризику порушень ЗІ, пов’язаного з застосуванням електронної пошти, рекомендується:
- враховувати вразливість повідомлень у відношенні до несанкціонованого перехоплення і модифікації;
- враховувати ймовірність неправильної адресації чи направлення повідомлень не за призначенням, а також надійність і доступність сервісу в цілому.
При використанні систем електронного документообігу слід враховувати виконання вимог ЗІ:
- необхідність виключення деяких категорій конфіденційної інформації у випадку, якщо у даній системі не забезпечується належний рівень захисту;
- необхідність визначення правил і засобів контролю для адміністрування колективно використовуваної інформації (електронні дошки оголошень);
- використання засобів обмеження доступу до інформації, яка відноситься до різних робочих груп;
- визначення категорії персоналу і працівників сторонніх організацій, яким дозволено використовувати систему і ділянки, з яких можна отримати доступ до систем електронного документообігу.
Для запобігання несанкціонованого доступу до інформації в ІС необхідно використовувати логічні засоби контролю доступу. Логічний доступ до додатків слід надавати тільки зареєстрованим користувачам.
Додатки повинні виконувати такі функції:
- контролювати доступ користувачів до даних і додатків згідно з політикою управління доступом, прийнятою в організації;
- забезпечувати захист від НСД до системних програм, здатних обійти засоби контролю і створити можливість НСД;
- не порушувати захист інших систем, з якими вони розділяють інформаційні ресурси.
В ІС можуть використовуватись системні програми, здатних обійти засоби контролю операційних систем і додатків. Необхідно обмежити і старанно контролювати використання таких системних утиліт.
Рекомендується використовувати такі заходи контролю (за можливості):
- захист системних утиліт за допомогою паролів;
- ізоляцію системних утиліт від прикладного програмного забезпечення;
- надання доступу до системних утиліт мінімальному числу користувачів;
- надання спеціального дозволу на використання системних утиліт;
- обмеження доступу системних утиліт, наприклад, часом внесення санкціонованої зміни;
- реєстрацію всіх випадків використання системних утиліт;
- визначення і документування рівнів повноважень доступу до системних утиліт;
- видалення всіх необхідних утиліт і системних програм.
Для зведення ризику пошкодження програмного забезпечення до мінімуму необхідно здійснювати жорсткий контроль за доступом до бібліотек початкових текстів програм.
Рекомендується дотримуватись таких правил:
- не зберігати бібліотеки початкових текстів програм у ІС;
- призначити відповідального за зберігання бібліотеки початкових текстів програм;
- зберігати роздруківки програм у бібліотеці початкових текстів;
- обмежити доступ до бібліотек початкових текстів програм;
- не зберігати розроблювані програми у бібліотеці початкових текстів робочих програм;
- оновлення бібліотеки початкових текстів програм і видача текстів програм програмістам повинні проводитись тільки призначеним відповідальним працівником після отримання дозволу на доступ до додатків у встановленій формі;
- фіксувати всі випадки доступу до бібліотек початкових текстів програм у контрольному журналі;
- застарілі версії початкових текстів програм слід архівувати з вказанням дати закінчення їх використання разом зі всім допоміжним програмним забезпеченням та інформацією про організацію виконання завдань для цієї версії програмного забезпечення;
- супроводження і копіювання бібліотек початкових текстів програм здійснювати згідно з процедурами управління процесом внесення змін.
За наявності вразливих місць у захисті ІС може бути потреба в організації виділеного (ізольованого) обчислювального середовища. Можливе застосування інших спеціальних заходів: запуск додатку на виділеному комп’ютері чи розподілення ресурсів тільки з надійними прикладними системами.
У загальному випадку рекомендується дотримуватися таких правил:
- вразливі місця в ІС повинні бути явно визначені і задокументовані;
- при запуску вразливого додатку в колективно використовуваному середовищі необхідно вказати прикладні процеси, з якими він може працювати одночасно.
Всі надзвичайні ситуації і події, пов’язані з порушенням режиму ЗІ, необхідно реєструвати у журналі. Останній слід зберігати протягом заданого періоду часу. Крім невдалих спроб входу в систему доцільно також реєструвати випадки успішного доступу.
Контрольний журнал повинен включати:
- ідентифікатори користувачів;
- дату і час входу і виходу з системи;
- ідентифікатор чи місцезнаходження термінала (за можливості).
Необхідно встановити процедури відстежування за використанням сервісів ІС. Користувачам повинні бути доступні тільки явно дозволені сервіси. Рівень контролю слід визначити за допомогою оцінки ризиків.
Рекомендується слідкувати за такими подіями:
- невдалими спробами доступу до ІС;
- спробами несанкціонованого використання відновлених ідентифікаторів користувачів;
- використанням ресурсів з привілейованим доступом;
- окремими діями, потенційно небезпечними з точки зору порушення захисту інформації;
- використанням конфіденційних ресурсів.
Всі дії, пов’язані з відстежуванням і реєстрацією, повинні бути формально дозволені керівництвом.
Дата публикования: 2015-01-24; Прочитано: 238 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!
