Библибоба

Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Управление информационной безопасностью. Стандарты СУИБ (СИ)

Вадим Викторович Гребенников

— управление доступом к исходным кодам программ.

Процедуры безопасного входа

Меры и средства

Доступ к системе и приложениям должен контролироваться с помощью процедуры безопасного входа в соответствии с правилами разграничения доступа.

Рекомендация по реализации

Должно быть выбрано соответствующее средство аутентификации для подтверждения заявленной личности пользователя.

Если требуется строгая аутентификация и проверка личности, вместо паролей должны использоваться такие методы аутентификации, как средства криптографии, биометрии, смарт-карты или токены.

Процедура входа в систему или приложение должна минимизировать возможность несанкционированного доступа. Процедура входа должна разглашать минимум информации о системе и приложении, чтобы избежать какого-либо содействия неавторизованному пользователю.

Правильная процедура входа должна:

— не отображать наименований системы и приложений, пока процесс входа не будет успешно завершен;

— отображать общее предупреждение о том, что доступ к компьютеру могут получить только авторизованные пользователи;

— не предоставлять сообщений-подсказок в течение процедуры начала сеанса, которые могли бы помочь неавторизованному пользователю;

— подтверждать информацию начала сеанса только по завершении ввода всех исходных данных, а в случае ошибочного ввода не показывать, какая часть данных является правильной или неправильной;

— защищать от перебора попыток входа;

— регистрировать успешные и неуспешные попытки входа;

— повысить событие безопасности в случае выявления потенциальных попыток и реального нарушения мер защиты входа;

— отображать следующую информацию после завершения успешного входа:

• дату и время предыдущего успешного входа;

• детали любых неуспешных попыток входа, начиная с последнего успешного входа;

— не отображать введенный пароль;

— не передавать пароли открытым текстом по сети;

— завершать неактивные сессии после определенного периода неактивности, особенно в местах повышенного риска, таких как публичные или удаленные регионы, вне зоны управления безопасностью организации или на мобильных устройствах;

— ограничивать время соединения для обеспечения дополнительной безопасности для прикладных программ повышенного риска и уменьшения временных возможностей неавторизованного пользователя.

Пароль является обычным средством идентификации и аутентификации, основанным на тайне, известной только пользователю. То же самое может также достигаться средствами криптографии и протоколами аутентификации. Стойкость аутентификации пользователя должна соответствовать классификации информации, к которой осуществляется доступ.

Если пароли передаются открытым текстом в течение сеанса входа по сети, они могут быть перехвачены сетевой «sniffer» — программой (анализатором трафика).

Система управление паролями

Меры и средства

Системы управления паролями должны быть интерактивными и обеспечивать качество паролей.

Рекомендации по реализации

Система управления паролями должна:

— предписывать использование индивидуальных идентификаторов пользователя и паролей для установления ответственности;

— разрешать пользователям выбор и смену своих паролей и включать процедуру подтверждения ошибок ввода;

— предписывать использование качественных паролей;

— заставлять пользователей менять временные пароли при первом начале сеанса;

— предписывать регулярную смену паролей и по необходимости;

— вести учет ранее использованных паролей и предотвращать их повторное использование;

— не отображать пароли на экране при их вводе;

— хранить файлы паролей отдельно от прикладных системных данных;

— хранить и передавать пароли в защищенной форме.

Ограничение доступа к информации

Меры и средства

Доступ к информации и прикладным функциям системы должен ограничиваться в соответствии с правилами разграничения доступа.

Рекомендации по реализации

Ограничения доступа должно базироваться на индивидуальных требованиях бизнес-приложений в соответствии с определенными правилами разграничения доступа.

Для обеспечения ограничения доступа необходимо рассмотреть следующее:

— создание пунктов меню управления доступом к прикладным функциям системы;

— контроль, к каким данным может получить доступ конкретный пользователь;

— контроль прав доступа пользователей, например, чтение, запись, удаление, изменение;

— контроль прав доступа других прикладных программ;

— ограничение информации, содержащейся в выходных данных;

— внедрение мер защиты физического или логического доступа для изоляции чувствительных прикладных программ, прикладных данных или систем.

Использование системного программного обеспечения

Меры и средства

Перейти на страницу:
Читать далее

Похожие книги

Linux: Полное руководство
Linux: Полное руководство

Данная книга представляет СЃРѕР±РѕР№ великолепное руководство по Linux, позволяющее получить наиболее полное представление об этой операционной системе. Книга состоит из трех частей, каждая из которых раскрывает один из трех основных аспектов работы с Linux: Linux для пользователя, сетевые технологии Linux (и методика настройки Linux-сервера), программирование Linux. Р' книге охвачен очень широкий круг вопросов, начиная с установки и использования Linux «в обычной жизни» (офисные пакеты, РёРіСЂС‹, видео, Р

Денис Николаевич Колисниченко , Питер В. Аллен

ОС и Сети, интернет
Читать бесплатно
Полное руководство по Microsoft Windows XP
Полное руководство по Microsoft Windows XP

В книге известного американского автора описывается среда ОС Windows XP и принципы ее функционирования, приведен сравнительный анализ Windows XP с предшествующими версиями операционной системы Windows. Рассматриваются вопросы применения и модификации нового интерфейса с целью получения прямого доступа ко всем функциям Windows XP обсуждаются варианты подключения к компьютерным сетям. Несколько разделов посвящены работе с реестром и конфигурационными файлами, мультимедийным функциям и разнообразным системным службам, а также методам решения проблем с программным обеспечением и оборудованием. Особое внимание уделено обеспечению безопасности операционной системы.Издание адресовано пользователям и сетевым администраторам, желающим активно применять возможности операционной системы Windows XP (в том числе и недокументированные).

Джон Поль Мюллер , Питер Нортон

ОС и Сети, интернет / ОС и Сети / Книги по IT
Без регистрации
Недокументированные и малоизвестные возможности Windows XP
Недокументированные и малоизвестные возможности Windows XP

Книга содержит подробные сведения о таких недокументированных или малоизвестных возможностях Windows XP, как принципы работы с программами rundll32.exe и regsvr32.exe, написание скриптов сервера сценариев Windows и создание INF-файлов. Р' ней приведено описание оснасток, изложены принципы работы с консолью управления mmc.exe и параметрами реестра, которые изменяются с ее помощью. Кроме того, рассмотрено большое количество средств, позволяющих выполнить тонкую настройку Windows XP.Эта книга предназначена для опытных пользователей и администраторов, которым интересно узнать о нестандартных возможностях Windows. Тем более что довольно часто эти возможности позволяют обойти ограничения на те или иные функции Windows, установленные администратором. Р

Роман Александрович Клименко

ОС и Сети, интернет / ОС и Сети / Книги по IT
Полная версия
Искусство обмана
Искусство обмана

Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии
Читать Онлайн
Избранное