Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы
Допуск сотрудников подразделений к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован.
В рамках разрешительной системы (системы авторизации) допуска устанавливается:
· кто, кому, при каких условиях, к каким ресурсам АС и на какие виды доступа может давать разрешения;
· система санкционирования и разграничения доступа, которая предполагает определение для всех пользователей информационных и программных ресурсов, доступных им для чтения, модификации, удаления, выполнения и т.п.;
· как реализуется процедура допуска.
Систему санкционирования доступа целесообразно строить на основе структурно-функционального (задачного) подхода к разделению всего множества защищаемых ресурсов АС. Отдельная задача должна описывать все используемые при ее решении ресурсы (файлы, каталоги, таблицы баз данных и т.п.), все категории пользователей (роли в задаче) и права доступа для каждой такой категории к ресурсам задачи. Описания задач в виде формуляров должны формироваться с участием специалистов по сопровождению данных задач и системных администраторов (администраторов баз данных) и могут храниться в архиве эталонных дистрибутивов программ.
Полномочия руководителей подразделений давать разрешения на допуск к решению тех или иных задач должны быть закреплены решениями (приказами) высшего руководства организации. Как правило, задачи закрепляются за конкретными подразделениями, а права допуска сотрудников этих подразделений к ресурсам этих задач предоставляются руководителям подразделений.
|
|
|
Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно «Инструкции по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы», в которой должны быть отражены следующие основные вопросы.
Правила именования пользователей
С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе с конкретной подсистемой АС, должно быть сопоставлено персональное уникальное имя (бюджет или учетная запись пользователя), под которым он будет регистрироваться и работать в автоматизированной системе. В случае производственной необходимости сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей).
Использование несколькими сотрудниками при работе в АС одного и того же имени пользователя («группового имени») должно быть ЗАПРЕЩЕНО.
Все операции по ведению баз данных и допуск сотрудников подразделений к работе с этими базами данных должны производиться в соответствии с технологическими инструкциями. Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей -администраторов баз данных.
|
|
|
Учетные записи всех пользователей должны быть «привязаны» к конкретным рабочим станциям (к номерам сетевых карт) или к сегменту сети (группе рабочих станций), закрепленных за конкретным подразделением организации. При этом могут использоваться, как штатные средства защиты СУБД и операционных систем, так и дополнительные средства зашиты.
Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в месяц.
Процедура авторизации сотрудников
Процедура регистрации (создания учетной записи) пользователя для сотрудника и предоставления ему (или изменения его) прав доступа к ресурсам АС инициируется заявкой начальника подразделения (отдела, сектора), в котором работает данный сотрудник. В заявке указывается:
· содержание запрашиваемых изменений (регистрация нового пользователя АС, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам АС ранее зарегистрированного пользователя);
|
|
|
· наименование подразделения, должность, фамилия, имя и отчество сотрудника;
· имя пользователя (учетной записи) данного сотрудника (при изменении полномочий и прав доступа);
· полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных рабочих станциях АС). Наименования задач должны указываться в соответствии с формулярами задач, наименования рабочих станций (компьютеров) - в соответствии с формулярами этих рабочих станций.
Если полномочий непосредственного начальника недостаточно, заявку может визировать вышестоящий руководитель, утверждая тем самым производственную необходимость допуска (изменения прав доступа) конкретного сотрудника к необходимым для решения им указанных задач ресурсам АС.
Затем руководители подразделений автоматизации и обеспечения безопасности ИТ рассматривают представленную заявку и подписывают задание соответствующим системным администраторам (серверов, баз данных) и администратору специальных средств зашиты информации от несанкционированного доступа (СЗИ НСД) на внесение необходимых изменений в списки пользователей соответствующих подсистем.
|
|
|
На основании заявки (задания) системный администратор сети в соответствии с формулярами указанных задач (хранящихся в архиве эталонных дистрибутивов (АЭД) программ), и документацией на средства защиты сетевых операционных систем производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам АС, включению его в соответствующие ролям задач группы пользователей и другие необходимые действия.
Аналогичные операции для систем управления базами данных (СУБД) выполняет администратор баз данных.
Администратор СЗИ НСД в соответствии с формулярами указанных задач и Руководством администратора системы защиты от НСД производит необходимые операции по регистрации нового пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора, например iButton) и прав доступа к ресурсам указанных в заявке рабочих станций, включению его в соответствующие задачам системные группы пользователей и другие необходимые операции.
После внесения изменений в списки пользователей администратор СЗИ НСД должен обеспечить соответствующие категориям защиты указанных рабочих станций настройки средств защиты. Проверка правильности настроек средств защиты должна осуществляться с участием сотрудника, ответственного за эксплуатацию конкретной рабочей станции, согласно «Порядку проверки работоспособности системы защиты после установки (обновления) программных средств АС и внесения изменений в списки пользователей».
По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписями исполнителей - системного администратора, администратора баз данных и администратора СЗИ НСД.
Сотруднику, зарегистрированному в качестве нового пользователя системы, под роспись сообщается имя соответствующего ему пользователя (учетная запись), выдается персональный идентификатор и личные ключевые дискеты (для работы в режиме усиленной аутентификации и работы со средствами криптографической защиты) и начальное(-ые) значение(-ия) пароля(-ей), которое(-ые) он обязан сменить при первом же входе в систему (при первом подключении к АС).
Исполненная заявка передается в подразделение и хранится в архиве у ответственного за информационную безопасность подразделения (при его отсутствии - у руководителя подразделения). Копии исполненных заявок могут находиться также в подразделении автоматизации (у системных администраторов) и в подразделении обеспечения безопасности ИТ. Они могут впоследствии использоваться:
· для восстановления бюджетов и полномочий пользователей после аварий в АС;
· для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам автоматизированной системы при разборе конфликтных ситуаций;
· для проверки правильности настройки средств разграничения доступа к ресурсам автоматизированной системы.
Тема 12
Дата добавления: 2018-02-28; просмотров: 408; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!