ГОСТ Р ИСО/МЭК 27011-2012
b
) определение всей информации, связанной с прикладными программами
бизнеса, и рисков, касающихся информации;
c) правила в отношении распространения информации и авторизации
доступа, например, необходимо знать принципы и уровни безопасности и
классификации информации (см. 7.2);
d) согласованность между управлением доступом и политикой классификации
информации различных систем и сетей;
e) соответствующие требования законодательства и любые договорные
обязательства в отношении защиты доступа к данным или услугам (см. 15.1 в
ИСО/МЭК 27002);
f) стандартные профили доступа пользователей для должностных ролей в
организации;
д) менеджмент прав доступа в распределенной среде или сетях с учетом всех
типов доступных соединений;
h) разделение ролей в отношении управления доступом, например, запрос
доступа, авторизация доступа, администрирование доступа;
i) требования в отношении формального разрешения запросов доступа
(см. 11.2.1 в ИСО/МЭК 27002);
j) требования в отношении периодического пересмотра управления доступом
(см. 11.2.4 в ИСО/МЭК 27002);
k) аннулирование прав доступа (см. 8.3.3 в ИСО/МЭК 27002).
Рекомендация по реализации, характерная для телекоммуникаций
Телекоммуникационные организации должны определить соответствующие
правила управления доступом к оборудованию, расположенному в помещениях
пользователей. Доступ должен быть основан на владении информацией, а не на
владениифизическимиактивами.Например,толькопользователь
телекоммуникационного оборудования должен иметь доступ к адресной книге,
хранящейся в мобильном телефоне, но не иметь доступа к любой информации,
относящейся к структуре системы, такой как идентификатор терминала.
Дополнительная информация
При определении правил управления доступом, следует принимать во
внимание следующее:
53