ГОСТ Р ИСО/МЭК 17799—2005
Если пользователи нуждаются в доступе к многочисленным услугам или бизнес-приложениям и
вынуждены использовать многочисленные пароли, можно порекомендовать возможность использова
ния одногокачественногопароля (9.3.1 .г) для всехсервисов, обеспечивающих разумныйуровень защи
ты хранимого пароля.
9.3.2 Оборудование, оставленное пользователями без присмотра
Пользователи должны обеспечивать соответствующую защиту оборудования, оставленного без
присмотра. Оборудование, установленное в рабочихзонах, например рабочие или файловыестанции,
требует специальной защиты от неавторизованного доступа в случае оставления их без присмотра на
длительный период. Всем пользователям иподрядчикам необходимо знатьтребованиябезопасности и
методы защиты оставленного без присмотра оборудования так же. какисвоиобязанности пообеспече
нию такой защиты. Пользователям рекомендуется:
- завершать активные сеансы по окончании работы, если отсутствует механизм блокировки,
например, хранитель экрана, защищенный паролем,
- отключаться от мэйнфрейма, когда сеанс закончен (то есть не только выключать PC или терми
нал);
- защищать PC или терминалы от неавторизованного использования посредством замка или экви
валентного средства контроля, например, защита доступа с помощью пароля, когда оборудование не
используется.
9.4Контроль сетевого доступа
Цель: защита сетевых сервисов.
Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Это
необходимо для уверенности в том. что пользователи, которые имеют доступ к сетям и сетевым серви
сам, не компрометируют их безопасность, обеспечивая:
- соответствующие интерфейсы между сетью организации и сетями, принадлежащими другим
организациям, или общедоступными сетями;
- соответствующие механизмы аутентификации в отношении пользователей и оборудования;
- контроль доступа пользователей к информационным сервисам.
9.4.1 Политика в отношении использования сетевых служб
Несанкционированные подключения к сетевым службам могут нарушать информационную безо
пасностьцелой организации. Пользователям следуетобеспечивать непосредственныйдоступ только к
тем сервисам, в которых они были авторизованы. Контроль доступа, в частности, является необходи
мым для сетевых подключений к важным или критичным бизнес-приложениям или для пользователей,
находящихся в зонах высокого риска, например, в общественных местах или за пределами организа
ции — вне сферы непосредственного управления и контроля безопасности со стороны организации.
Следуетпредусматривать мерыбезопасности вотношении использованиясетей исетевыхсерви
сов. При этом должны быть определены:
- сети и сетевые услуги, к которым разрешен доступ;
- процедуры авторизациидляопределения кому, ккакимсетям исетевымсервисам разрешендос
туп;
- мероприятия и процедуры по защите от несанкционированного подключения к сетевым серви
сам.
Необходимо, чтобы эти меры согласовывались с требованиями бизнеса в отношении контроля
доступа (9.1).
9.4.2 Предопределенный маршрут
Маршруты от пользовательского терминала до точек предоставления компьютерных сервисов
требуютособогоконтроля.Сети проектируютсяс учетомобеспечениямаксимальных возможностейдля
совместного использования ресурсов и гибкости маршрутизации. Эти особенности повышают риск
неавторизованногодоступа к бизнес-приложениям или неавторизованного использования информаци
онногооборудования. Мероприятия, которыеограничиваютмаршруты междупользовательским терми
налом и компьютерными сервисами, к которым пользователь авторизован осуществлять доступ,
например, путем создания оптимального маршрута, могут уменьшать такие риски.
Цель оптимизации маршрута состоит в том. чтобы исключить выбор пользователями иных мар
шрутов. кроме маршрута междупользовательским терминалом исервисами, покоторомупользователь
авторизован осуществлять доступ.
Этот подход обычно требует внедрения набора средств контроля в различных точках маршрута.
Принцип заключается в ограничении вариантов маршрутизации в каждойточке сети посредством опре
деленных способов, например:
31