Тема 11: Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей АС
Допуск сотрудников подразделений к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован.
В рамках разрешительной системы (системы авторизации) допуска устанавливается:
• кто, кому, при каких условиях; к каким ресурсам АС и на какие виды доступа может давать разрешения;
- система санкционирования и разграничения доступа, которая
предполагает определение для всех пользователей информационных и
программных ресурсов, доступных им для чтения, модификации,
удаления, выполнения и т.п.; - как реализуется процедура допуска.
Систему санкционирования доступа целесообразно строить на основе структурно-функционального (задачного) подхода к разделению всего множества защищаемых ресурсов АС Отдельная задача должна описывать все используемые при ее решении ресурсы (файлы, каталоги, таблицы БД и т.п.), все категории пользователей (роли в задаче) и права доступа для каждой такой категории к ресурсам задачи. Описания задач в виде формуляров должны формироваться с участием специалистов по сопровождению данных задач и системных администраторов (администраторов баз данных) и могут храниться в архиве эталонных дистрибутивов программ.
Полномочия руководителей соответствующих степеней давать разрешения на допуск к решению тех или иных задач должны быть закреплены решениями (приказами) высшего руководства организации. Как правило, задачи закрепляются за конкретными подразделениями, а права допуска сотрудников этих подразделений к ресурсам этих задач предоставляются руководителям подразделений.
Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно "Инструкции по внесениюизменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы", которой должны быть отражены следующие основные вопросы.
Правила именования пользователей
С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе с конкретной подсистемой АС, должно быть сопоставлено персональное уникальное имя (бюджет или учетная запись пользователя), под которым он будет регистрироваться и работать в системе. В случае производственной необходимости сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей).
Использование несколькими сотрудниками при работе в АС одного и того же имени пользователя ("группового имени") должно быть ЗАПРЕЩЕНО.
Все операции по ведению баз данных и допуск сотрудников подразделений к работе с этими базами данных должны производиться в соответствии с технологическими инструкциями. Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей -администраторов баз данных.
Учетные записи всех пользователей должны быть "привязаны" к конкретным рабочим станциям (к номерам сетевых карт) или к сегменту сети (группе рабочих станций), закрепленных за конкретным подразделением организации. При этом могут использоваться как только штатные средства защиты СУБД и операционных систем, так и дополнительные средства зашиты.
Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в месяц.
Процедура авторизации сотрудников
Процедура регистрации (создания учетной записи) пользователя для сотрудника и предоставления ему (или изменения его) прав доступа к ресурсам АС инициируется заявкой начальника подразделения (отдела, сектора), в котором работает данный сотрудник. В заявке указывается:
• содержание запрашиваемых изменений (регистрация нового пользователя АС, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам АС ранее зарегистрированного пользователя);
• наименование подразделения, должность, фамилия, имя и отчество сотрудника;
• имя пользователя (учетной записи) данного сотрудника (при изменении полномочий и прав доступа);
• полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных рабочих станциях АС). Наименования задач должны указываться в соответствии с формулярами задач, наименования рабочих станций (компьютеров) - в соответствии с формулярами этих рабочих станций.
Если полномочий непосредственного начальника недостаточно, заявку может визировать вышестоящий руководитель, утверждая тем самым производственную необходимость допуска (изменения прав доступа) конкретного сотрудника к необходимым для решения им указанных задач ресурсам АС.
Затем начальник отдела автоматизации и руководитель службы (начальник отдела) обеспечения безопасности информации рассматривают представленную заявку и подписывают задание соответствующим системным администраторам (серверов, баз данных) и администратору специальных средств защиты информации от несанкционированного доступа (СЗИ НСД) на внесение необходимых изменений в списки пользователей соответствующих подсистем.
На основании заявки (задания) системный администратор сети в соответствии с формулярами указанных задач (хранящихся в архиве эталонных дистрибутивов программ - АЭД), и документацией на средства защиты сетевых операционных систем производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам АС, включению его в соответствующие ролям задач группы пользователей и другие необходимые действия.
Аналогичные операции для систем управления базами данных (СУБД) выполняет администратор баз данных.
Администратор СЗИ НСД в соответствии с формулярами указанных задач и Руководством администратора системы защиты от НСД производит необходимые операции по регистрации нового пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора, например Touch Memory ) и прав доступа к ресурсам указанных в заявке рабочих станций, включению его в соответствующие задачам системные группы пользователей и другие необходимые операции.
После внесения изменений в списки пользователей администратор СЗИ НСД должен обеспечить соответствующие категориям защиты указанных рабочих станций настройки средств защиты. Проверка правильности настроек средств защиты должна осуществляться с участием сотрудника, ответственного за эксплуатацию конкретной рабочей станции, согласно "Порядка проверки работоспособности системы защиты после установки (обновления) программных средств АС и внесения изменений в спискипользователей".
По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписями исполнителей - системного администратора, администратора баз данных и администратора СЗИ НСД.
Сотруднику, зарегистрированному в качестве нового пользователя системы, под роспись сообщается имя соответствующего ему пользователя, выдается персональный идентификатор и личные ключевые дискеты (для работы в режиме усиленной аутентификации и работы со средствами криптографической защиты) и начальное(-ые) значение(-ия) пароля(-ей), которое(-ые) он обязан сменить при первом же входе в систему (при первом подключении к АС).
Исполненная заявка передается в подразделение и хранится в архиве у ответственного за информационную безопасность подразделения (при его отсутствии - у руководителя подразделения). Копии исполненных заявок могут находиться также в отделе автоматизации (у системных администраторов) и в службе обеспечения безопасности информации. Они могут впоследствии использоваться:
• для восстановления бюджетов и полномочий пользователей после аварий в АС;
• для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам системы при разборе конфликтных ситуаций;
• для проверки правильности настройки средств разграничения доступа к . ресурсам системы.