683-П Банка России. Идеальное управление доступом

avatar
Facebook Twitter Pinterest Linkedin Google + Email
683-П

Каким же образом нужно производить разграничение доступа, чтобы при оценке выполнения требований 683-П у аудиторов не возникло вопросов?

Процесс управления доступом оценивается в соответствии с ГОСТ 57580. Это значит, что те 44 меры, которые приведены в стандарте, должны выполняться организационно либо технически.

Разберём стандартный уровень защиты информации

В стандарте приведены меры в следующих направлениях:

  • идентификация и аутентификация субъектов доступа
  • организация управления и защиты идентификационных и аутентификационных данных
  • авторизация логического доступа
  • регистрация событий безопасности

«Разграничение доступа» процесса 1 ГОСТ 57580.1

Посмотрим на ответы начальника службы ИБ, которые являются исчерпывающими при оценке каждой меры подпроцесса «Разграничение доступа» процесса 1 ГОСТ 57580.

Каким образом производится идентификация и аутентификация субъектов доступа?

  • Пользователи при входе в АС проходят однофакторную аутентификацию (логин + пароль);
  • Администраторы при входе в АС проходят многофакторную аутентификацию (токен доступа, логин + пароль);
  • Администраторы имеют возможность входа в свои учетные записи только с регистрацией АРМ, с которого производится вход (отражается IP-адрес компьютера);
  • Пароли при их вводе маскируются звёздочками;
  • Учетные записи по умолчанию (user, admin) не применяются. Кроме этого, не применяется практика единой учетной записи для группы пользователей;
  • Нельзя войти в учетную запись одновременно на двух и более устройствах;
  • Пользователи имеют возможность прервать сессию доступа. Кроме этого, сессия прерывается сама по истечении 15 минут неактивности пользователя. Для возобновления доступа нужно повторно ввести входные данные;
  • Пользователь самостоятельно не может поменять настройки компьютера – для этого необходимо ввести пароль администратора.

Каким образом реализуется управление и защита аутентификационных данных?

  • Пароли в открытом виде не хранятся на компьютерах;
  • Пароли нельзя передавать по каналам связи, запрет реализован технически;
  • Пользователи меняют свои пароли не реже раза в год. Длина паролей пользователей составляет 8 символов или больше;
  • Администраторы меняют свои пароли не реже раза в три месяца. Длина паролей администраторов составляет 16 символов или больше;
  • Все пароли включают в себя цифры и символы в верхнем и нижнем регистрах. Имена, фамилии и прочие легко вычислимые сочетания (например, qwerty) запрещены;
  • Пользователи имеют возможность самостоятельно сменить пароль;
  • Копии паролей всех пользователей хранятся на отдельном компьютере. Сам компьютер защищен от возможного несанкционированного доступа к нему;
  • Токены двухфакторной аутентификации, применяемые администраторами, выдаются и уничтожаются в установленном порядке. Операции выдачи и уничтожения регистрируются;
  • В случае утечки паролей пользователи и администраторы производят их смену.

Каким образом защищается процесс авторизации субъектов логического доступа?

  • После входа в информационную систему пользователь либо администратор наделяется только необходимыми ему правами доступа;
  • Реализован ролевой (дискреционный, мандатный) метод разграничения доступа к базам данных и информационным системам;
  • Разграничение доступа производится в том числе на основе перечня доступных для конкретного пользователя операций (например, чтение / запись / выполнение) с файлами;
  • С правами учетных записей администраторов нельзя выполнять функции пользователей;
  • Ни одна учетная запись пользователя не обладает правами выше пользовательских (локальный администратор, администратор);
  • При входе пользователя в АС на экране отображается дата и время последнего входа в систему;
  • Экраны работников расположены таким образом, что возможность наблюдения за происходящим на экранах отсутствует.

Каким образом регистрируются события, связанные с разграничением доступа?

Производится регистрация следующих событий:

  • Пользователь совершил ряд неуспешных попыток входа в систему;
  • Пользователь вошел в систему либо вышел из системы;
  • Пользователь приостановил сессию логического доступа к информационной системе;
  • Пользователь произвел смену логина или пароля;
  • Если произошла утечка входных данных, действия лиц, чьи данные утекли, также регистрируются.

Заключение

Как видно из ответов, реализация защитных мер данного подпроцесса вполне возможна без наличия специализированных средств – со всем может справиться, например, домен Active Directory. Но важно понимать, что одной реализации мало — необходимо мониторить и контролировать выполнение мер.

Нет связанных сообщений

JPMorgan рассматривает объединение кворума на основе эфириума с ConsenSys

Предыдущая статья

JPMorgan рассматривает объединение кворума на основе эфириума с ConsenSys

Об авторе

Ирина Рыбкина

ПРИСТУПИТЬ К ОБСУЖДЕНИЮ

5 × 2 =