ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
Таблица А.З
А.З Техническая проверка мер и средств контроля и управления для управления
привилегиями
Мера и сред
ство контроля
и управления
ИСО/МЭК 27002 11.2.2. Управление привилегиями
Предоставление и использование привилегий необходимо ограничивать и кон
тролировать
Дополнитель
ная техниче
ская инфор
мация
Управление привилегиями является важной задачей, потому что несоответст
вующее использование привилегий оказывает существенное влияние на системы.
Состояние распределения привилегий должно быть описано в документах, опре
деляющих привилегии (документация определения привилегий). Поскольку при
вилегии доступа связаны с каждым системным продуктом (операционная система,
система управления базой данных и каждое приложение), то они отличаются.
Примерыи видов привилегий:
- суперпользователь (UNIX, Linux);
- администратор (Windows);
- оператор резервного копирования (Windows):
- опытный пользователь (Windows);
- администратор системы (DBMS1*);
- администратор базы данных (DBMS).
Распределение привилегий должно быть минимальным, на основе принципа не
обходимого использования. К тому же они не обязательно должны распределять
ся постоянно.
Метод управления привилегиями различается в системах. Примеры управления
привилегиями на основе систем;
- в операционной системе (ОС) привилегии определяет ACL2*;
- в DBMS различные привилегии определяются по умолчанию;
- в приложении могут определяться различные привилегии по умолчанию для
функции менеджмента приложения, поэтому аудиторы, проводящие проверку мер
и средств контроля и управления информационной безопасностью, должны зара
нее определить уровень проверки;
- в защищенных ОС есть функция обязательного управления доступом
Стандарт
реализации
безопасно
сти
Должны быть определены привилегии доступа, связанные с каждым системным
продуктом, например. ОС, системой управления базой данных и каждым прило
жением, а также пользователи, среди которых нужно распределить привилегии
Техническое
примечание
к стандарту
реализации
безопасно
сти
Деятельность наделенных привилегиями пользователей должна подвергаться
мониторингу, поскольку несоответствующее использование привилегий оказыва
ет существенное влияние на системы. Методы обнаружения несоответствующего
использования привилегий различаются, если архитектура систем различна.
Примечание - Типичными архитектурами систем являются:
- мэйнфрейм;
- Windows;
- UNIX. Linux:
- защищенные операционные системы
1.1
Практическое ру
ководство
Проверить, описано ли распределение привилегий в докумен
тации определения привилегий
Предполагаемые
свидетельства
Документация определения привилегий
Метод
Изучение/Наблюдение
DBMS (Database Management System) - Система управления базами данных. СУБД.
‘ ACL (Access Control List) - Список управления доступом.
28