Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

– управление доступом к исходным кодам программ.

Процедуры безопасного входа

Меры и средства

Доступ к системе и приложениям должен контролироваться с помощью процедуры безопасного входа в соответствии с правилами разграничения доступа.

Рекомендация по реализации

Должно быть выбрано соответствующее средство аутентификации для подтверждения заявленной личности пользователя.

Если требуется строгая аутентификация и проверка личности, вместо паролей должны использоваться такие методы аутентификации, как средства криптографии, биометрии, смарт-карты или токены.

Процедура входа в систему или приложение должна минимизировать возможность несанкционированного доступа. Процедура входа должна разглашать минимум информации о системе и приложении, чтобы избежать какого-либо содействия неавторизованному пользователю.

Правильная процедура входа должна:

– не отображать наименований системы и приложений, пока процесс входа не будет успешно завершен;

– отображать общее предупреждение о том, что доступ к компьютеру могут получить только авторизованные пользователи;

– не предоставлять сообщений-подсказок в течение процедуры начала сеанса, которые могли бы помочь неавторизованному пользователю;

– подтверждать информацию начала сеанса только по завершении ввода всех исходных данных, а в случае ошибочного ввода не показывать, какая часть данных является правильной или неправильной;

– защищать от перебора попыток входа;

– регистрировать успешные и неуспешные попытки входа;

– повысить событие безопасности в случае выявления потенциальных попыток и реального нарушения мер защиты входа;

– отображать следующую информацию после завершения успешного входа:

• дату и время предыдущего успешного входа;

• детали любых неуспешных попыток входа, начиная с последнего успешного входа;

– не отображать введенный пароль;

– не передавать пароли открытым текстом по сети;

– завершать неактивные сессии после определенного периода неактивности, особенно в местах повышенного риска, таких как публичные или удаленные регионы, вне зоны управления безопасностью организации или на мобильных устройствах;

– ограничивать время соединения для обеспечения дополнительной безопасности для прикладных программ повышенного риска и уменьшения временных возможностей неавторизованного пользователя.

Пароль является обычным средством идентификации и аутентификации, основанным на тайне, известной только пользователю. То же самое может также достигаться средствами криптографии и протоколами аутентификации. Стойкость аутентификации пользователя должна соответствовать классификации информации, к которой осуществляется доступ.

Если пароли передаются открытым текстом в течение сеанса входа по сети, они могут быть перехвачены сетевой «sniffer» -программой (анализатором трафика).

Система управление паролями

Меры и средства

Системы управления паролями должны быть интерактивными и обеспечивать качество паролей.

Рекомендации по реализации

Система управления паролями должна:

– предписывать использование индивидуальных идентификаторов пользователя и паролей для установления ответственности;

– разрешать пользователям выбор и смену своих паролей и включать процедуру подтверждения ошибок ввода;

– предписывать использование качественных паролей;

– заставлять пользователей менять временные пароли при первом начале сеанса;

– предписывать регулярную смену паролей и по необходимости;

– вести учет ранее использованных паролей и предотвращать их повторное использование;

– не отображать пароли на экране при их вводе;

– хранить файлы паролей отдельно от прикладных системных данных;

– хранить и передавать пароли в защищенной форме.

Ограничение доступа к информации

Меры и средства

Доступ к информации и прикладным функциям системы должен ограничиваться в соответствии с правилами разграничения доступа.

Рекомендации по реализации

Ограничения доступа должно базироваться на индивидуальных требованиях бизнес-приложений в соответствии с определенными правилами разграничения доступа.

Для обеспечения ограничения доступа необходимо рассмотреть следующее:

– создание пунктов меню управления доступом к прикладным функциям системы;

– контроль, к каким данным может получить доступ конкретный пользователь;

– контроль прав доступа пользователей, например, чтение, запись, удаление, изменение;

– контроль прав доступа других прикладных программ;

– ограничение информации, содержащейся в выходных данных;

– внедрение мер защиты физического или логического доступа для изоляции чувствительных прикладных программ, прикладных данных или систем.

Использование системного программного обеспечения

Меры и средства