Библибоба

Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Управление информационной безопасностью. Стандарты СУИБ (СИ)

Вадим Викторович Гребенников

– управление доступом к исходным кодам программ.

Процедуры безопасного входа

Меры и средства

Доступ к системе и приложениям должен контролироваться с помощью процедуры безопасного входа в соответствии с правилами разграничения доступа.

Рекомендация по реализации

Должно быть выбрано соответствующее средство аутентификации для подтверждения заявленной личности пользователя.

Если требуется строгая аутентификация и проверка личности, вместо паролей должны использоваться такие методы аутентификации, как средства криптографии, биометрии, смарт-карты или токены.

Процедура входа в систему или приложение должна минимизировать возможность несанкционированного доступа. Процедура входа должна разглашать минимум информации о системе и приложении, чтобы избежать какого-либо содействия неавторизованному пользователю.

Правильная процедура входа должна:

– не отображать наименований системы и приложений, пока процесс входа не будет успешно завершен;

– отображать общее предупреждение о том, что доступ к компьютеру могут получить только авторизованные пользователи;

– не предоставлять сообщений-подсказок в течение процедуры начала сеанса, которые могли бы помочь неавторизованному пользователю;

– подтверждать информацию начала сеанса только по завершении ввода всех исходных данных, а в случае ошибочного ввода не показывать, какая часть данных является правильной или неправильной;

– защищать от перебора попыток входа;

– регистрировать успешные и неуспешные попытки входа;

– повысить событие безопасности в случае выявления потенциальных попыток и реального нарушения мер защиты входа;

– отображать следующую информацию после завершения успешного входа:

• дату и время предыдущего успешного входа;

• детали любых неуспешных попыток входа, начиная с последнего успешного входа;

– не отображать введенный пароль;

– не передавать пароли открытым текстом по сети;

– завершать неактивные сессии после определенного периода неактивности, особенно в местах повышенного риска, таких как публичные или удаленные регионы, вне зоны управления безопасностью организации или на мобильных устройствах;

– ограничивать время соединения для обеспечения дополнительной безопасности для прикладных программ повышенного риска и уменьшения временных возможностей неавторизованного пользователя.

Пароль является обычным средством идентификации и аутентификации, основанным на тайне, известной только пользователю. То же самое может также достигаться средствами криптографии и протоколами аутентификации. Стойкость аутентификации пользователя должна соответствовать классификации информации, к которой осуществляется доступ.

Если пароли передаются открытым текстом в течение сеанса входа по сети, они могут быть перехвачены сетевой «sniffer» -программой (анализатором трафика).

Система управление паролями

Меры и средства

Системы управления паролями должны быть интерактивными и обеспечивать качество паролей.

Рекомендации по реализации

Система управления паролями должна:

– предписывать использование индивидуальных идентификаторов пользователя и паролей для установления ответственности;

– разрешать пользователям выбор и смену своих паролей и включать процедуру подтверждения ошибок ввода;

– предписывать использование качественных паролей;

– заставлять пользователей менять временные пароли при первом начале сеанса;

– предписывать регулярную смену паролей и по необходимости;

– вести учет ранее использованных паролей и предотвращать их повторное использование;

– не отображать пароли на экране при их вводе;

– хранить файлы паролей отдельно от прикладных системных данных;

– хранить и передавать пароли в защищенной форме.

Ограничение доступа к информации

Меры и средства

Доступ к информации и прикладным функциям системы должен ограничиваться в соответствии с правилами разграничения доступа.

Рекомендации по реализации

Ограничения доступа должно базироваться на индивидуальных требованиях бизнес-приложений в соответствии с определенными правилами разграничения доступа.

Для обеспечения ограничения доступа необходимо рассмотреть следующее:

– создание пунктов меню управления доступом к прикладным функциям системы;

– контроль, к каким данным может получить доступ конкретный пользователь;

– контроль прав доступа пользователей, например, чтение, запись, удаление, изменение;

– контроль прав доступа других прикладных программ;

– ограничение информации, содержащейся в выходных данных;

– внедрение мер защиты физического или логического доступа для изоляции чувствительных прикладных программ, прикладных данных или систем.

Использование системного программного обеспечения

Меры и средства

Перейти на страницу:
Читать далее

Похожие книги

Искусство обмана
Искусство обмана

Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии
Читать бесплатно
UNIX
UNIX

В книге американских авторов — разработчиков операционной системы UNIX — блестяще решена проблема автоматизации деятельности программиста, системной поддержки его творчества, выходящей за рамки языков программирования. Профессионалам открыт богатый "встроенный" арсенал системы UNIX. Многочисленными примерами иллюстрировано использование языка управления заданиями shell.Для программистов-пользователей операционной системы UNIX.

А. М. Березко , Брайан Керниган , Брайан Уилсон Керниган , Роб Пайк

ОС и Сети, интернет / Интернет / ОС и Сети / Книги по IT
Без регистрации
Основы AS/400
Основы AS/400

Фрэнк Солтис

ОС и Сети, интернет / ОС и Сети / Книги по IT
Полная версия
Веб-дизайн
Веб-дизайн

Книга автора бестселлера `Факс-модем: от покупки и подключения до выхода в Интернет` — Дмитрия Кирсанова — первый полный курс веб-дизайна на русском языке, написанный профессиональным дизайнером. От теоретических основ визуального дизайна до интернетовских технологий и приемов практической работы над сайтом — все это есть в книге, написанной понятно, подробно и увлекательно. Издание будет полезно не только начинающим создателям сайтов, но и дизайнерам, работающим в более традиционных областях, специалистам по рекламе и маркетингу, художникам, программистам, — и, конечно же, всем творческим и любознательным людям.

Дмитрий Михайлович Кирсанов

ОС и Сети, интернет / Интернет / Книги по IT
Читать Онлайн
Избранное