ГлавнаяБиблиотечные книжкиКурс «Безопасность Информационных Технологий»

Тема 11: Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей АС

Допуск сотрудников подразделений к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован.

В рамках разрешительной системы (системы авторизации) допуска устанавливается:

• кто, кому, при каких условиях; к каким ресурсам АС и на какие виды доступа может давать разрешения;

  • система санкционирования и разграничения доступа, которая
    предполагает определение для всех пользователей информационных и
    программных ресурсов, доступных им для чтения, модификации,
    удаления, выполнения и т.п.;
  • как реализуется процедура допуска.

Систему санкционирования доступа целесообразно строить на основе структурно-функционального (задачного) подхода к разделению всего множества защищаемых ресурсов АС Отдельная задача должна описывать все используемые при ее решении ресурсы (файлы, каталоги, таблицы БД и т.п.), все категории пользователей (роли в задаче) и права доступа для каждой такой категории к ресурсам задачи. Описания задач в виде формуляров должны формироваться с участием специалистов по сопровождению данных задач и системных администраторов (администраторов баз данных) и могут храниться в архиве эталонных дистрибутивов программ.

Полномочия руководителей соответствующих степеней давать разрешения на допуск к решению тех или иных задач должны быть закреплены решениями (приказами) высшего руководства организации. Как правило, задачи закрепляются за конкретными подразделениями, а права допуска сотрудников этих подразделений к ресурсам этих задач предоставляются руководителям подразделений.

Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно "Инструкции по внесениюизменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы", которой должны быть отражены следующие основные вопросы.

Правила именования пользователей

С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе с конкретной подсистемой АС, должно быть сопоставлено персональное уникальное имя (бюджет или учетная запись пользователя), под которым он будет регистрироваться и работать в системе. В случае производственной необходимости сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей).

Использование несколькими сотрудниками при работе в АС одного и того же имени пользователя ("группового имени") должно быть ЗАПРЕЩЕНО.

Все операции по ведению баз данных и допуск сотрудников подразделений к работе с этими базами данных должны производиться в соответствии с технологическими инструкциями. Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей -администраторов баз данных.

Учетные записи всех пользователей должны быть "привязаны" к конкретным рабочим станциям (к номерам сетевых карт) или к сегменту сети (группе рабочих станций), закрепленных за конкретным подразделением организации. При этом могут использоваться как только штатные средства защиты СУБД и операционных систем, так и дополнительные средства зашиты.

Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в месяц.

Процедура авторизации сотрудников

Процедура регистрации (создания учетной записи) пользователя для сотрудника и предоставления ему (или изменения его) прав доступа к ресурсам АС инициируется заявкой начальника подразделения (отдела, сектора), в котором работает данный сотрудник. В заявке указывается:

• содержание запрашиваемых изменений (регистрация нового пользователя АС, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам АС ранее зарегистрированного пользователя);

• наименование подразделения, должность, фамилия, имя и отчество сотрудника;

• имя пользователя (учетной записи) данного сотрудника (при изменении полномочий и прав доступа);

• полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных рабочих станциях АС). Наименования задач должны указываться в соответствии с формулярами задач, наименования рабочих станций (компьютеров) - в соответствии с формулярами этих рабочих станций.

Если полномочий непосредственного начальника недостаточно, заявку может визировать вышестоящий руководитель, утверждая тем самым производственную необходимость допуска (изменения прав доступа) конкретного сотрудника к необходимым для решения им указанных задач ресурсам АС.

Затем начальник отдела автоматизации и руководитель службы (начальник отдела) обеспечения безопасности информации рассматривают представленную заявку и подписывают задание соответствующим системным администраторам (серверов, баз данных) и администратору специальных средств защиты информации от несанкционированного доступа (СЗИ НСД) на внесение необходимых изменений в списки пользователей соответствующих подсистем.

На основании заявки (задания) системный администратор сети в соответствии с формулярами указанных задач (хранящихся в архиве эталонных дистрибутивов программ - АЭД), и документацией на средства защиты сетевых операционных систем производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам АС, включению его в соответствующие ролям задач группы пользователей и другие необходимые действия.

Аналогичные операции для систем управления базами данных (СУБД) выполняет администратор баз данных.

Администратор СЗИ НСД в соответствии с формулярами указанных задач и Руководством администратора системы защиты от НСД производит необходимые операции по регистрации нового пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора, например Touch Memory ) и прав доступа к ресурсам указанных в заявке рабочих станций, включению его в соответствующие задачам системные группы пользователей и другие необходимые операции.

После внесения изменений в списки пользователей администратор СЗИ НСД должен обеспечить соответствующие категориям защиты указанных рабочих станций настройки средств защиты. Проверка правильности настроек средств защиты должна осуществляться с участием сотрудника, ответственного за эксплуатацию конкретной рабочей станции, согласно "Порядка проверки работоспособности системы защиты после установки (обновления) программных средств АС и внесения изменений в спискипользователей".

По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписями исполнителей - системного администратора, администратора баз данных и администратора СЗИ НСД.

Сотруднику, зарегистрированному в качестве нового пользователя системы, под роспись сообщается имя соответствующего ему пользователя, выдается персональный идентификатор и личные ключевые дискеты (для работы в режиме усиленной аутентификации и работы со средствами криптографической защиты) и начальное(-ые) значение(-ия) пароля(-ей), которое(-ые) он обязан сменить при первом же входе в систему (при первом подключении к АС).

Исполненная заявка передается в подразделение и хранится в архиве у ответственного за информационную безопасность подразделения (при его отсутствии - у руководителя подразделения). Копии исполненных заявок могут находиться также в отделе автоматизации (у системных администраторов) и в службе обеспечения безопасности информации. Они могут впоследствии использоваться:

• для восстановления бюджетов и полномочий пользователей после аварий в АС;

• для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам системы при разборе конфликтных ситуаций;

• для проверки правильности настройки средств разграничения доступа к . ресурсам системы.