ГОСТ Р ИСО/МЭК 17799-2005; Страница 35

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 13219.13-81 Крышки торцовые с канавками средние диаметром от 47 до 100 мм корпусов подшипников качения. Конструкция и размеры Medium cups with grooves for diameters from 47 till 100 mm of pillow blocks. Construction and dimensions (Настоящий стандарт распространяется на средние торцовые крышки с канавками, устанавливаемые в корпусах подшипников качения и предназначенные для герметизации подшипникового узла, осевой фиксации подшипника и восприятия осевых нагрузок) ГОСТ 2082.10-81 Концентраты молибденовые. Метод определения вольфрамового ангидрида Molibdenum concentrates. Method for determination of wolfram anhydride content (Настоящий стандарт распространяется на молибденовые концентраты и устанавливает фотометрический метод определения вольфрамового ангидрида (при содержании от 0,2 до 6 %). Метод основан на образовании окрашенного комплексного соединения пятивалентного вольфрама с роданидом в солянокислом растворе после отделения молибдена в виде сульфида) ГОСТ 16483.39-81 Древесина. Метод определения показателя истирания Wood. Method for determination of wear-proofness index (Настоящий стандарт распростространяется на древесину и устанавливает метод определения показателя истирания древесины в условиях, имитирующих износ деревянных деталей полов, лестниц и настилов, сущность которого состоит в определении взвешиванием уменьшения массы образца при его истирании и вычислении показателя истирания)

Страница 35

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 17799—2005

дует уделять мероприятиям в отношении предоставления прав привилегированного доступа, с

помощью которых пользователи могут обходить системные средства контроля.

9.2.1 Регистрация пользователей

Необходимо существование формализованной процедуры регистрации и снятия с регистрации

пользователей в отношении предоставления доступа ко всем многопользовательским информацион

ным системам и сервисам.

Доступ к многопользовательским информационным сервисам должен быть контролируемым

посредством формализованного процесса регистрации пользователей, который должен включать:

- использованиеуникальныхID (идентификаторовили имен)пользователейтаким образом, чтобы

действияв системеможно былобы соотнестис пользователями иустановитьответственных. Использо

ваниегрупповыхIDследуетразрешатьтолько в техслучаях, гдеэтонеобходимо, сучетомособенностей

выполняемой работы;

- проверку того, что пользователь имеет авторизацию от владельца системы на пользование

информационной системой или сервисов. Кроме того, может быть целесообразным наличие дополни

тельного разрешения на предоставление прав от руководства.

- проверку того, что уровень предоставленногодоступа соответствует производственной необхо

димости (9.1). а такжеучитываеттребованияполитикибезопасностиорганизации, например, не наруша

ет принципа разделения обязанностей (8.1.4);

- предоставление пользователям письменного документа, в котором указаны их права доступа;

- требование того, чтобы пользователи подписывали документ о том, что они понимают условия

предоставления доступа;

- обеспечение уверенности втом. что поставщики услуг не предоставляютдоступ, пока процедуры

авторизации не завершены;

- ведение формализованного учета в отношении всех лиц. зарегистрированныхдля использова

ния сервисов;

- немедленную отмену правдоступа пользователей, у которых изменилисьдолжностные обязан

ности или уволившихся из организации;

- периодическую проверку и удаление избыточных пользовательских ID и учетных записей;

- обеспечение того, чтобы избыточныепользовательскиеIDнебылипереданыдругим пользовате

лям.

Необходимо рассматривать возможность включения положений о применении соответствующих

санкций в случае попыток неавторизованного доступа в трудовые договора сотрудников и контракты с

поставщиками услуг (6.1.4 и 6.3.5).

9.2.2 Управление привилегиями

Предоставление и использование привилегий при применении средств многопользовательской

информационной системы, которыепозволяют пользователю обходитьсредства контролясистемы или

бизнес-приложения, необходимо ограничиватьидержатьпод контролем. Неадекватноеиспользование

привилегий часто бывает главной причиной сбоев систем.

Необходимо, чтобы в многопользовательских системах, которые требуют защиты от неавторизо

ванногодоступа, предоставление привилегий контролировалось посредством формализованного про

цесса авторизации. При этом целесообразно применять следующие меры:

- идентифицировать привилегии в отношении каждого системного продукта, например, операци

онной системы, системы управления базами данных и каждого бизнес-приложения, а также категории

сотрудников, которым эти привилегии должны быть предоставлены;

- привилегии должны предоставляться только тем сотрудникам, которым это необходимо для

работы итолько на времяее выполнения, например, предоставляя минимальные возможности порабо

те с системой для выполнения требуемых функций, только когда в этом возникает потребность;

- необходимо обеспечивать процесс авторизации и регистрации всех предоставленных привиле

гий. Привилегии не должны предоставляться до завершения процесса авторизации;

- следуетпроводить политику разработки и использования стандартныхсистемныхутилит(скрип

тов) для исключения необходимости в предоставлении дополнительных привилегий пользователям;

- следуетиспользоватьразличныеидентификаторы пользователей при работевобычном режиме

и с использованием привилегий.

9.2.3 Контроль в отношении паролей пользователей

Пароли являются наиболее распространенными средствами подтверждения идентификатора

пользователя при доступе к информационной системе или сервису. Предоставление паролей должно

контролироватьсяпосредством формализованного процесса управления,который должен

предусматривать: