Пользователям должен предоставляться доступ к сетям и сетевым сервисам, когда они имеют официальные полномочия на это.
Рекомендации по реализации
Следует сформулировать политику использования сетей и сетевых услуг.
В политике необходимо рассмотреть:
– сети и сетевые услуги, к которым разрешен доступ;
– процедуры авторизации для определения того, кому и к каким сетям и сетевым услугам разрешен доступ;
– процедуры и средства управления по защите доступа к сетевым подключениям и сетевым услугам;
– средства доступа к сетям и сетевым услугам (например, VPN или беспроводной сети);
– требования пользовательской аутентификации для доступа к разным сетевым сервисам;
– мониторинг использования сетевых сервисов.
Политика использования сетевых сервисов должна быть согласована с правилами разграничения доступа организации.
Неавторизованные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Такой контроль очень важен для сетевых подключений к чувствительным и критичным бизнес-приложениям или к пользователям в местах повышенного риска, например, публичных или удаленных регионах, находящихся вне зоны контроля и управления ИБ организации.
5.2. Управление доступом пользователей
Цель: Обеспечить авторизованный доступ пользователей и предотвратить неавторизованный доступ к системам и сервисам.
Управление доступом пользователей обеспечивают следующие мероприятия:
– регистрация и ее отмена;
– предоставление доступа;
– пересмотр прав доступа;
– удаление или изменение прав доступа.
Управление доступом пользователей обеспечивает также управление следующим:
– правами привилегированного доступа;
– паролями.
Регистрация и ее отмена
Меры и средства
Формальный процесс регистрации пользователя ее отмены должен быть внедрен для предоставления прав доступа.
Рекомендации по реализации
Процесс управления идентификаторами пользователя должен включать:
– использование уникальных идентификаторов пользователя, позволяющих отследить их действия и ответственность за них; использование распространенных идентификаторов должно быть разрешено только в случае оперативной или бизнес-необходимости, задокументировано и утверждено;
– немедленную деактивацию или удаление идентификаторов пользователя после его увольнения;
– периодическую идентификацию и деактивацию или удаление ненужных идентификаторов пользователя;
– гарантию того, что деактивированные идентификаторы не достались другим пользователям.
Разрешение или запрет доступа к информации и средствам ее обработки состоит из следующих двух этапов:
– создание