ГОСТ Р ИСО/МЭК 27033-1—2011
Если организация уже разработала общую программу управления техническими уязвимостями,
предпочтительным решением вопроса должна стать интеграция управления сетевыми техническими
уязвимостями в общую задачу. (Более подробную информацию об управлении техническими уязвимос
тями, включая рекомендацию по реализации, см. в ИСО/МЭК 27002).
8.4 Идентификация и аутентификация
Важно иметь возможность ограничениядоступа через соединения, разрешая доступ только упол
номоченному персоналу (являющемуся внутренним или внешним для организации). Например, рас
пространенным требованием политики является то, чтобы доступ к определенным сетевым сервисам и
связанной с ними информации был разрешен только для уполномоченного персонала. Подобные тре
бования не являются единственнымидля использования сетевыхсоединений, ипоэтомуболее подроб
ная информация, относящаяся к использованию сетей, может быть получена из ИСО/МЭК 27002 и
ИСО/МЭК 27005.
Областями применения мер и средств контроля и управления безопасностью, которые могут
иметь отношение к использованию сетей и связанных с ними информационных систем, являются:
- удаленный вход в систему — вход в систему уполномоченного персонала, работающего вне
организации, удаленного обслуживающего персонала или персонала других организаций, осуществля
емый через коммутируемое соединение с организацией. Интернет-соединения, выделенные каналы
связи из других организаций либо посредством коллективногодоступа через Интернет. Эти соединения
устанавливают при необходимости внутренними системами либо партнерами по договору с помощью
общедоступных сетей. Каждый вид удаленного входа в системудолжен иметь дополнительные меры и
средства контроля и управления безопасностью, соответствующие характеру рассматриваемой сети.
Например, непредоставление прямого доступа к системному и сетевому программному обеспечению
при учетных записях, использующихся для удаленного доступа, за исключением случаев обеспечения
дополнительной аутентификации (см. усиленная аутентификация) — и, возможно, сквозного шифрова
ния, а также обеспечение защиты от несанкционированного доступа к информации, связанной с про
граммным средством электронной почты и данными каталога, хранящимися в персональных и
дорожных компьютерах, используемых персоналом организации за пределами ее офисов;
- усиленная аутентификация — в то время как использование пар «идентификатор пользовате-
ля/пароль пользователя» является простым способом аутентификации пользователей, эти пары можно
скомпрометировать или разгадать. Следовательно, должны быть рассмотрены другие (более безопас
ные) способы аутентификации пользователей — особенно удаленных, и (или) при наличии высокой ве
роятностиполучениядоступанеуполномоченнымлицомкзащищеннымиважным
системам — вследствие того, что доступ, инициированный через общедоступные сети, или доступ к
системе (например, через лэптоп), может оказаться вне непосредственного контроля организации.
Простыми примерами являются использование CLID (но поскольку CLID открыт для спуфинга, его не
следует использовать в качестве подтвержденного идентификатора без дополнительной аутентифика
ции) и связей через модемы, которые отключаются, если не используются, и инициируются только по сле
подтверждения идентификатора вызывающей стороны. Примерами более сложного, но намного более
безопасного использования — особенно в контексте удаленного доступа — является использо вание
других средств идентификации поддержки аутентификации пользователей, таких как дистанци онно
проверенные маркеры исмарт-карты, иобеспечение функционирования маркера или смарт-карты только
вместе с аутентифицированной учетной записью уполномоченного пользователя (и предпочти тельно.
ПК этого пользователя, а также местоположения/точки доступа этого пользователя) и, напри мер.
любой соответствующий PIN-код или биометрический профиль. Обычно это называется «строгой,
двухфакторной, аутентификацией»;
- безопасное одноразовое предъявление пароля — там, где дело касается сетей, пользователи, ве
роятно. будут сталкиваться смногочисленными проверками идентификации и аутентификации. При таких
обстоятельствах у пользователей может возникнуть соблазн использовать небезопасные методы, такие,
например, как запись паролей или повторное использование одних итех же данных аутентификации. Бе
зопасное одноразовое предъявление пароля может снизить риски, связанные с таким поведением, путем
сокращения числа паролей, которые пользователь должен запомнить. Наряду со снижением рисков это
может улучшить продуктивность работы пользователя и уменьшить рабочие нагрузки «справочного сто
ла», связанные с повторной установкой паролей. Однако следует отметить, что последствия сбоя систе
мы безопасного одноразового предъявления пароля могут быть серьезными, так как не одна, а много
систем иприложений подвергнутся рискуибудут открыты для компрометации (это иногда называют «рис-
24