ГОСТ Р ИСО/МЭК 17799—2005
теристик(особенностей)индивидуума, могуттакже использоватьсядля аутентификации пользователя.
Сочетание различных технологий и методов обеспечивает более надежную аутентификацию.
9.5.4 Система управления паролями
Пароли — одно изглавных средств подтверждения полномочия пользователя, осуществляющего
доступ к компьютерным сервисам. В системах управления паролем должны быть предусмотрены
эффективные интерактивные возможности поддержки необходимого их качества (9.3.1).
Для некоторых бизнес-приложений требуется назначение пользовательских паролей независи
мымдолжностным лицом. Вбольшинстве жеслучаев пароли выбираются иподдерживаются пользова
телями.
Система управления паролями должна:
- предписывать использование индивидуальных паролей для обеспечения установления ответ
ственности:
- позволять пользователям выбирать и изменять их собственные пароли, а также включать под
тверждающую процедуру для учета ошибок ввода при необходимости:
- предписывать выбор высококачественных паролей в соответствии с 9.3.1;
- там. гдепользователиотвечают за поддержкусвоихсобственных паролей, принуждать ихк изме
нению паролей (9.3.1);
- там, где пользователи выбирают пароли, обеспечивать изменение временных паролей при пер
вой регистрации (9.2.3);
- поддерживатьхранение истории предыдущих пользовательских паролей (за предыдущий год) и
предотвращать их повторное использование;
- не отображать пароли на экране при их вводе;
- хранить файлы паролей отдельно от данных прикладных систем:
- хранить пароли в зашифрованной форме, используя односторонний алгоритм шифрования;
- обеспечиватьсменупаролейпоставщика, установленныхпоумолчанию, после инсталляции про
граммного обеспечения.
9.5.5 Использование системных утилит
На большинстве компьютеров устанавливается, по крайней мере, одна программа — системная
утилита, которая позволяетобойти меры предотвращениянеавторизованногодоступа к операционным
системам и бизнес-приложениям. Использование системных утилит должно быть ограничено и тща
тельным образом контролироваться. Для этого необходимо использованиеследующихмероприятийпо
управлению информационной безопасностью:
- использование процедур аутентификации системных утилит.
- отделение системных утилит от прикладных программ;
- ограничение использования системных утилит путем выбора минимального числа доверенных
авторизованных пользователей, которым это необходимо:
- авторизация эпизодического использования системных утилит;
- ограничениедоступности системныхутилит (только на время внесенияавторизованныхизмене
ний);
- регистрация использования всех системных утилит;
- определение и документирование уровней авторизации в отношении системных утилит;
- удаление всех ненужных утилит из системного программного обеспечения.
9.5.6 Сигнал тревоги для защиты пользователей на случай, когда они могутстать объектом
насилия
Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объек
том насилия. Решение об обеспечении такой сигнализацией следует принимать на основе оценки рис
ков. При этомнеобходимоопределитьобязанностиипроцедурыреагированиянасигнал такойтревоги.
9.5.7 Периоды бездействия терминалов
Терминалы, размещенные в местах повышенного риска, например в общедоступных местах или
внесферы контроля процессауправлениябезопасностьюорганизации.обслуживающие системы высо
кого риска, должны отключаться после определенного периода их бездействия для предотвращения
доступа неавторизованныхлиц. Механизм блокировки повременидолжен обеспечиватьочисткуэкрана
терминала, а также закрытие работы сеансов приложения и сетевого сеанса терминала после опреде
ленного периода времениегобездействия. Времясрабатыванияблокировкидолжно устанавливатьсяс
учетом рисковбезопасности, связанныхсместом установки терминала. Следуетиметьв виду, что неко
торые персональные компьютеры обеспечиваютограниченную возможностьблокировки терминала по
времени путем очисткиэкрана ипредотвращения неавторизованного доступа, не осуществляя приэтом
закрытия сеанса приложений или сетевого сеанса.
35