ГОСТ Р ИСО/МЭК 27034-1—2014
Окончание таблицы В. 2
Название меры и средства контроля и управления
безопасностью
Уровень контроля
Управление доступомНизкий
СреднийВысокий
АС-18 Ограничения беспроводного доступа
АС-18
АС-18 (1)
АС-18 (1) (2)
АС-19Управление доступом для портативных и мо
бильных устройств
Не выбран
АС-19
АС-19
АС-20 Использование внешних информационных АС-20АС-20 (1)АС-20 (1)
систем
В.4 Детализация класса мер и средств контроля и управления доступом
В данном подразделе показаны три семейства класса управления доступом: АС-1, АС-2. АС-17, которые
взяты из SP 800-53 (редакция 3).
СЕМЕЙСТВО: УПРАВЛЕНИЕ ДОСТУПОМ КЛАСС: ТЕХНИЧЕСКИЕ
В.4.1 АС-1 Политика и процедуры управления доступом
Мера и средство контроля и управления: Организация разрабатывает, распространяет и периодически
пересматривает/обновпяет:
1) надлежащим образом документально оформленную политику управления доступом, рассматривающую
цели, сферу действия, роли, обязанности, обязательства руководства, координацию организационных подразде
лений и соответствие требованиям;
2) надлежащим образом документально оформленные процедуры для содействия реализации политики
управления доступом и соответствующих мер и средств контроля и управления доступом.
Дополнительное руководство:Политика и процедуры управления доступом согласуются с применяемыми за
конами, распоряжениями правительства, директивами, политиками, предписаниями, стандартами и руководства
ми. Политика управления доступом гложет включаться в общую политику информационной безопасности органи
зации как отдельная часть. Процедуры управления доступом могут разрабатываться для программы обеспечения
безопасности в целом и. когда необходимо, для конкретной информационной системы. Специальная публикация
NIST SP 800-12 предоставляет руководство по политикам и процедурам обеспечения безопасности.
Приоритетность и базовое размещение:
Расширения мер и средств контроля и управления: Нет. Низкий АС-1Средний АС-1Высокий АС-1
В.4.2 АС-2 Менеджмент учетных записей
Мера и средство контроля и управления: Организация осуществляет менеджмент учетных записей инфор
мационной системы, включая:
1) идентификацию типов учетных записей (например, индивидуальные, групповые и системные);
2) установление условий для членства в группе;
3) идентификацию уполномоченных пользователей информационной системы и определение прав/приви-
легий доступа;
4) требование соответствующего утверждения запросов о создании учетных записей;
5) санкционирование, создание, активацию, модификацию, блокирование и удаление учетных записей:
6) проверку учетных записей (Назначение: устанавливаемая организацией частота);
7) специальное санкционирование и мониторинг использования гостевых/анонимных учетных записей:
8) уведомление лиц. осуществляющих менеджмент учетных записей, об увольнении и переводе пользова
телей информационной системы или об изменении использования информационной системы или принципа не
обходимого знания’необходимого совместного использования;
9) предоставление доступа к информационной системе на основе: (i) принципа необходимого знания или
необходимого совместного использования, который определяется назначенными должностными обязанностями и
соответствием всем критериям безопасности, связанным с персоналом; (ii) предназначенного использования
системы.
Дополнительное руководство: Идентификация уполномоченных пользователей информационной системы и
определение прав/привилегий доступа согласуются с требованиями других мер и средств контроля и управления
безопасностью в плане обеспечения безопасности. Взаимосвязанные меры и средства контроля и управления:
АС-1. АС-3, АС-4, АС-5, АС-6, АС-10. АС-13, АС-17, АС-19. АС-20, AU-9. СМ-5, СМ-6. МА-3. МА-4. МА-5. SA-7. SI-9, SC-
13.
Расширения меры и средства контроля и управления:
1)организация использует механизмы автоматизации для поддержки менеджмента учетных записей инфор
мационной системы;
55