Управление правами привилегированного доступа
Меры и средства
Присвоение и использование прав привилегированного доступа должно ограничиваться и контролироваться.
Рекомендации по реализации
Присвоение прав привилегированного доступа должно контролироваться формальным процессом авторизации в соответствии с правилами разграничения доступа.
Необходимо рассмотреть следующие шаги:
— определение прав привилегированного доступа в отношении каждой системы или процесса, например, ОС, СУБД, приложения и пользователей, которым эти привилегии должны быть присвоены;
— права привилегированного доступа должны присваиваться пользователям на основании принципа их необходимости в соответствии с правилами разграничения доступа, т. е. минимума требований для их функциональных ролей;
— обеспечение процедуры авторизации и записи всех предоставленных привилегий; права привилегированного доступа не должны предоставляться до завершения процедуры авторизации;
— определение требований по сроку действия прав привилегированного доступа;
— идентификатор пользователя с правами привилегированного доступа должен отличаться от идентификаторов, выполняющих обычную работу, и не должен ее выполнять;
— полномочия пользователей с правами привилигированных доступа должны регулярно пересматриваться на предмет соответствия их обязанностям;
— обеспечение специальных процедур для предотвращения несанкционированного использования универсальных административных идентификаторов с учетом особенностей системной конфигурации;
— обеспечение конфиденциальности при совместном использовании пароля универсальных административных идентификаторов (например, частая смена паролей, особенно при увольнении или смене работы, их передача с помощью специальных механизмов).
Неправильное использование системных административных привилегий (любая функция или устройство ИС, предоставляющее возможность пользователю обойти системные или программные меры защиты) является главной причиной сбоев и отказов систем.
Управление паролями
Меры и средства
Присвоение секретной информации аутентификации (пароля) пользователей должно контролироваться посредством формального процесса управления.
Рекомендации по реализации
Формальный процесс управления должен включать следующие требования:
— пользователи должны подписать заявление о сохранении персонального пароля в тайне и хранить групповые пароли членов группы (например, при общем доступе); это подписанное заявление должно содержать сроки и условия трудоустройства;
— если пользователям необходимо самостоятельно управлять своими паролями, им следует первоначально предоставить безопасный временный пароль, который подлежит немедленной замене после входа в систему;
— должны быть созданы процедуры проверки личности пользователя прежде, чем ему будет предоставлен новый, сеансовый или временный пароль;
— временные пароли следует выдавать пользователям безопасным способом, необходимо исключить использование незащищенного (открытого) текста сообщений электронной почты;
— временные пароли должны быть уникальны для каждого пользователя и не должны быть легко угадываемыми;
— пользователи должны подтверждать получение паролей;
— пароли поставщика, установленные по умолчанию, необходимо изменить после инсталляции систем или ПО.
Пароли являются наиболее распространенным типом секретной информации аутентификации и средством проверки личности пользователя. Другим типом секретной информации аутентификации являются криптографические ключи и другие данные, хранящиеся на «токенах» (смарт-картах), создающих коды аутентификации.
5.3. Ответственность пользователя
Цель: Сделать пользователя ответственным за хранение информации аутентификации (пароля).
Пользование паролем
Меры и средства
Пользователи должны выполнять установленный в организации порядок использования секретной информации аутентификации (пароля).
Рекомендации по реализации
Всем пользователям надо посоветовать следующее:
— хранить секретную информацию аутентификации в тайне, исключая возможность его разглашения даже друзьям;
— не записывать секретную информацию аутентификации (например, на бумаге, ручном устройстве, в виде файла), за исключением того случая, когда используется безопасное место и надежный метод хранения (например, сейф паролей);
— менять секретную информацию аутентификации при малейшем признаке компрометации;
— если в качестве секретной информации аутентификации используется пароль, выбрать качественный пароль с минимально достаточной длиной, который:
• легко запомнить;
• не содержит того, что можно легко угадать, или какую-либо персональную информацию (например, имена, номера телефонов, даты рождения и т. п.);
• неуязвим для словарных атак (т. е. не содержит слов, включенных в словари);
• не содержит подряд идущих одинаковых символов, только цифровых или только буквенных;
• если временный, сразу сменить при первом входе в систему;
— не делиться индивидуальной секретной информацией аутентификации пользователя;
— надлежащим образом защищать и хранить пароли, используемые в качестве секретной информации аутентификации в процедурах автоматического входа;
— не использовать одну и ту же секретную информацию аутентификации для бизнес и не бизнес-целей.
Применение технологии «единого входа» (Single Sign-On, SSO) или других инструментов управления секретной информацией аутентификации снижает ее объем и тем самым может повысить эффективность ее защиты. Однако эти инструменты могут усилить влияние от разглашения секретной информации аутентификации.
5.4. Управление доступом к системе и приложениям
Цель: Предотвратить несанкционированный доступ к системе и приложениям.
Управление доступом к системе определяют следующие составляющие:
— процедуры безопасного входа;
— система управления паролями;
Управление доступом к приложениям обеспечивают следующие мероприятия:
— ограничение доступа к информации;
— использование системного ПО;
— управление доступом к исходным кодам программ.
Процедуры безопасного входа
Меры и средства
Доступ к системе и приложениям должен контролироваться с помощью процедуры безопасного входа в соответствии с правилами разграничения доступа.
Рекомендация по реализации
Должно быть выбрано соответствующее средство аутентификации для подтверждения заявленной личности пользователя.
Если требуется строгая аутентификация и проверка личности, вместо паролей должны использоваться такие методы аутентификации, как средства криптографии, биометрии, смарт-карты или токены.
Процедура входа в систему или приложение должна минимизировать возможность несанкционированного доступа. Процедура входа должна разглашать минимум информации о системе и приложении, чтобы избежать какого-либо содействия неавторизованному пользователю.
Правильная процедура входа должна:
— не отображать наименований системы и приложений, пока процесс входа не будет успешно завершен;
— отображать общее предупреждение о том, что доступ к компьютеру могут получить только авторизованные пользователи;
— не предоставлять сообщений-подсказок в течение процедуры начала сеанса, которые могли бы помочь неавторизованному пользователю;
— подтверждать информацию начала сеанса только по завершении ввода всех исходных данных, а в случае ошибочного ввода не показывать, какая часть данных является правильной или неправильной;
— защищать от перебора попыток входа;
— регистрировать успешные и неуспешные попытки входа;
— повысить событие безопасности в случае выявления потенциальных попыток и реального нарушения мер защиты входа;
— отображать следующую информацию после завершения успешного входа:
• дату и время предыдущего успешного входа;
• детали любых неуспешных попыток входа, начиная с последнего успешного входа;
— не отображать введенный пароль;
— не передавать пароли открытым текстом по сети;
— завершать неактивные сессии после определенного периода неактивности, особенно в местах повышенного риска, таких как публичные или удаленные регионы, вне зоны управления безопасностью организации или на мобильных устройствах;
— ограничивать время соединения для обеспечения дополнительной безопасности для прикладных программ повышенного риска и уменьшения временных возможностей неавторизованного пользователя.
Пароль является обычным средством идентификации и аутентификации, основанным на тайне, известной только пользователю. То же самое может также достигаться средствами криптографии и протоколами аутентификации. Стойкость аутентификации пользователя должна соответствовать классификации информации, к которой осуществляется доступ.
Если пароли передаются открытым текстом в течение сеанса входа по сети, они могут быть перехвачены сетевой «sniffer» — программой (анализатором трафика).
Система управление паролями
Меры и средства
Системы управления паролями должны быть интерактивными и обеспечивать качество паролей.
Рекомендации по реализации
Система управления паролями должна:
— предписывать использование индивидуальных идентификаторов пользователя и паролей для установления ответственности;
— разрешать пользователям выбор и смену своих паролей и включать процедуру подтверждения ошибок ввода;
— предписывать использование качественных паролей;
— заставлять пользователей менять временные пароли при первом начале сеанса;
— предписывать регулярную смену паролей и по необходимости;
— вести учет ранее использованных паролей и предотвращать их повторное использование;