Содержание
- 2. Доступ к информации, средствам обработки информации и процессам бизнеса должен быть управляемым с учетом требований бизнеса
- 3. Мера и средство контроля и управления Политика управления доступом должна создаваться, документально оформляться и пересматриваться с
- 4. Необходимо, чтобы в политике было учтено следующее: a) требования в отношении безопасности конкретных прикладных программ бизнеса;
- 5. f) стандартные профили доступа пользователей для должностных ролей в организации; g) менеджмент прав доступа в распределенной
- 6. При определении правил управления доступом, следует принимать во внимание следующее: a) различие между правилами, обязательными для
- 7. 2 Менеджмент доступа пользователей Цель: Обеспечить уверенность в том, что доступ предоставлен авторизованным пользователям и предотвращен
- 8. Необходима формальная процедура регистрации и снятия с учета пользователей в отношении предоставления и отмены доступа ко
- 9. c) проверку того, что уровень предоставленного доступа соответствует целям бизнеса и согласуется с политикой безопасности организации,
- 10. Необходимо рассмотреть возможность создания ролей доступа пользователей, основанных на требованиях бизнеса, которые объединяют несколько прав доступа
- 11. Управление привилегиями Мера и средство контроля и управления Предоставление и использование привилегий необходимо ограничивать и контролировать.
- 12. Необходимо рассмотреть следующие меры: a) определение привилегий доступа в отношении каждого системного продукта, например эксплуатируемой системы,
- 13. Неадекватное использование привилегий в отношении администрирования системы (любой возможности или средства информационной системы, которые позволяют пользователю
- 14. Управление паролями пользователей Мера и средство контроля и управления Распределение паролей необходимо контролировать посредством формального процесса
- 15. c) создание процедур проверки личности пользователя, прежде чем ему будет предоставлен новый, заменяющий или временный пароль;
- 16. Пароли являются распространенным средством подтверждения личности пользователя перед предоставлением ему доступа к информационной системе или услуге
- 17. Пересмотр прав доступа пользователей Руководство должно осуществлять формальный процесс периодического пересмотра прав доступа пользователей. При пересмотре
- 18. d) предоставленные привилегии должны пересматриваться через равные интервалы времени для обеспечения уверенности в том, что не
- 19. 3 Обязанности пользователя Цель: Предотвращение неавторизованного доступа пользователей, а также компрометации или кражи информации и средств
- 20. Использование паролей Мера и средство контроля и управления Пользователи должны придерживаться общепринятой практики в области безопасности
- 21. d) выбирать качественные пароли с достаточно минимальной длиной, которые: 1) легко запомнить; 2) не подвержены угадыванию
- 22. f) изменять временные пароли при первом начале сеанса; g) не включать пароли ни в какой автоматизированный
- 23. Если пользователи нуждаются в доступе к многочисленным услугам, системам или платформам и вынуждены использовать несколько разных
- 24. Оборудование пользователя, оставленное без присмотра Мера и средство контроля и управления Пользователи должны обеспечивать соответствующую защиту
- 25. Пользователям рекомендуется: a) завершать активные сеансы по окончании работы, если отсутствует соответствующий механизм блокировки, например защищенная
- 26. Политика "чистого стола" и "чистого экрана" Необходимо принять политику "чистого стола" в отношении бумажных документов и
- 27. Необходимо рассмотреть следующие рекомендации: a) носители (бумажные или электронные), содержащие чувствительную или критическую информацию бизнеса, когда
- 28. d) необходимо предотвращать несанкционированное использование фотокопировальных устройств и другой воспроизводящей техники (сканеров, цифровых фотоаппаратов); e) документы,
- 29. 4 Управление доступом к сети Цель: Предотвратить неавторизованный доступ к сетевым услугам. Доступ к внутренним и
- 30. Политика использования сетевых услуг Мера и средство контроля и управления Пользователям следует предоставлять доступ только к
- 31. В политике необходимо рассмотреть: a) сети и сетевые услуги, к которым разрешен доступ; b) процедуры авторизации
- 32. Несанкционированные и незащищенные подключения к сетевым услугам могут затрагивать целую организацию. Мера и средство контроля и
- 33. Аутентификация пользователей для внешних соединений Мера и средство контроля и управления Для управления доступом удаленных пользователей
- 34. Процедуры, меры и средства контроля и управления обратного вызова, например использование модемов с обратным вызовом, могут
- 35. Аутентификация узла может служить альтернативным средством аутентификации групп удаленных пользователей там, где они подсоединены к безопасному
- 36. Внешние соединения обеспечивают благоприятную возможность для несанкционированного доступа к информации бизнеса, например доступа с использованием методов
- 37. Идентификация оборудования в сетях Мера и средство контроля и управления Автоматическую идентификацию оборудования необходимо рассматривать как
- 38. Эти меры и средства контроля и управления могут быть дополнены другими методами, направленными на аутентификацию пользователя
- 39. Защита портов дистанционной диагностики и конфигурации Мера и средство контроля и управления Физический и логический доступ
- 40. Порты, сервисы и аналогичные средства, установленные на компьютере или сетевом оборудовании, которые определенно не требуются для
- 41. Разделение в сетях Мера и средство контроля и управления Группы информационных услуг, пользователей и информационных систем
- 42. Такой сетевой периметр может быть реализован посредством внедрения шлюза безопасности между двумя связанными сетями для управления
- 43. Сети также могут быть разделены с помощью функциональных возможностей сетевых устройств, например IP-коммутации *(6). Отдельные домены
- 44. Следует уделять внимание отделению беспроводных сетей от внутренних и частных сетей. Поскольку периметры беспроводных сетей не
- 45. Управление сетевыми соединениями Мера и средство контроля и управления Присоединение пользователей к совместно используемым сетям, особенно
- 46. Примерами прикладных программ, к которым следует применить ограничения являются: a) обмен сообщениями, например электронная почта; b)
- 47. Управление сетевой маршрутизацией Мера и средство контроля и управления Для сетей следует внедрять меры и средства
- 48. Шлюзы безопасности могут использоваться для подтверждения адресов источника и получателя на внутренней и внешней точках управления
- 49. 5 Управление доступом к эксплуатируемой системе Цель: Предотвратить несанкционированный доступ к эксплуатируемым системам. Средства безопасности следует
- 50. Безопасные процедуры начала сеанса Мера и средство контроля и управления Доступ к эксплуатируемым системам должен контролироваться
- 51. Правильная процедура начала сеанса характеризуется следующими свойствами: a) не отображает наименований системы или прикладных программ, пока
- 52. e) ограничивает число разрешенных неудачных попыток начала сеанса (например три попытки) и предусматривает: 1) протоколирование неудачных
- 53. g) отображает следующую информацию в отношении успешного завершения начала сеанса: 1) дату и время предыдущего успешного
- 54. Идентификация и аутентификация пользователя Мера и средство контроля и управления Необходимо, чтобы все пользователи имели уникальный
- 55. При исключительных обстоятельствах, когда имеется очевидная выгода для бизнеса, может использоваться общий идентификатор для группы пользователей
- 56. Пароли являются очень распространенным способом обеспечения идентификации и аутентификации, основанным на тайне, которую знает только пользователь.
- 57. Система управления паролями Мера и средство контроля и управления Системы управления паролями должны быть интерактивными и
- 58. f) вести учет предыдущих пользовательских паролей и предотвращать их повторное использование; g) не отображать пароли на
- 59. Использование системных утилит Мера и средство контроля и управления Использование утилит, которые могли бы обойти меры
- 60. d) авторизация на использование специальных системных утилит; e) ограничение доступности системных утилит, например на время внесения
- 61. Лимит времени сеанса связи Мера и средство контроля и управления Неактивные сеансы должны быть закрыты после
- 62. Для некоторых систем может быть предусмотрена ограниченная форма средств блокировки по времени, которая очищает экран и
- 63. Ограничения времени соединения Мера и средство контроля и управления Ограничения на время соединения должны быть использованы
- 64. Примерами таких ограничений являются: a) использование заранее определенных отрезков времени, например для пакетной передачи файлов или
- 65. 6 Управление доступом к информации и прикладным программам Цель: Предотвратить неавторизованный доступ к информации прикладных систем.
- 66. Ограничение доступа к информации Мера и средство контроля и управления Доступ пользователей и персонала поддержки к
- 67. Необходимо рассмотреть возможность применения следующих рекомендаций для соблюдения требований по ограничению доступа: a) наличие пунктов меню,
- 68. Изоляция чувствительных систем Мера и средство контроля и управления Чувствительные системы должны иметь специализированную (изолированную) вычислительную
- 69. Некоторые прикладные программы системы достаточно чувствительны к потенциальному ущербу и поэтому требуют особой эксплуатации. Чувствительность может
- 70. 7 Мобильная вычислительная техника и дистанционная работа Цель: Обеспечить уверенность в информационной безопасности при использовании средств
- 71. Мобильная вычислительная техника и связь Мера и средство контроля и управления Необходимо принять формальную политику и
- 72. Политика использования мобильных вычислительных средств должна включать требования к физической защите, управлению доступом, использованию средств криптографии,
- 73. Необходимо регулярно делать резервные копии критической информации бизнеса. Следует также обеспечить доступность оборудования для быстрого и
- 74. Мобильные вычислительные средства необходимо также физически защищать от краж, особенно когда их оставляют без присмотра/забывают, например
- 75. Необходимо провести тренинг сотрудников, использующих мобильные вычислительные средства, с целью повышения осведомленности о дополнительных рисках, связанных
- 76. Дистанционная работа Мера и средство контроля и управления Политика, планы и процедуры эксплуатации должны быть разработаны
- 77. Необходимо принимать во внимание следующее: a) существующую физическую безопасность места дистанционной работы, включая физическую безопасность здания
- 78. f) политики и процедуры для предотвращения споров, касающихся прав на интеллектуальную собственность, разработанную на оборудовании, находящемся
- 79. Рекомендации и необходимые организационные меры включают, в частности: a) обеспечение подходящим оборудованием и мебелью для дистанционной
- 81. Скачать презентацию