ГОСТ Р ИСО/МЭК 27002-2012
a) требования в отношении безопасности конкретных прикладных программ
бизнеса:
b
) определение всей информации, связанной с прикладными программами
бизнеса, и рисков, касающихся информации;
c) правила в отношении распространения информации и авторизации доступа,
например необходимо знать принципы и уровни безопасности и классификации
информации (см. 7.2);
d) согласованность между управлением доступом и политиками классификации
информации различных систем и сетей;
e) соответствующиетребованиязаконодательстваилюбыедоговорные
обязательства в отношении защиты доступа кданным или услугам (см. 15.1);
f) стандартные профили доступа пользователей для должностных ролей в
организации;
д) менеджмент прав доступа в распределенной среде или сетях с учетом всех
типов доступных соединений;
h) разделение ролей в отношении управления доступом, например запрос доступа,
авторизация доступа, администрирование доступа;
i) требованиявотношенииформальногоразрешениязапросовдоступа
(см. 11.2.1);
j) требования в отношении периодического пересмотра управления доступом
(см. 11.2.4);
k) аннулирование прав доступа (см. 8.3.3).
Дополнительная информация
При определении правил управления доступом, следует принимать во внимание
следующее:
a) различиемеждуправилами,обязательнымидляисполнения,и
рекомендациями, которые являются необязательными или обусловленными чем-либо;
b
) установление правил, основанных на предпосылке «все в общем случае
запрещено, пока явно не разрешено», а не на более слабом принципе «все в общем
случае разрешено, пока явно не запрещено»;
c) изменениявинформационныхметках(см. 7.2),инициированныхкак
автоматически средствами обработки информации, так и по усмотрению пользователя;
97