УЗП 1-4
Базовый состав мер по организации и контролю использования учетных записей субъектов логического доступа применительно к уровням защиты информации
Last updated
Базовый состав мер по организации и контролю использования учетных записей субъектов логического доступа применительно к уровням защиты информации
Last updated
Осуществление доступа пользователями и эксплуатационным персоналом под уникальными и персонифицированными учетными записями
Уровень защиты информации: 3-Т, 2-Т, 1-Т
Данная мера требует, чтобы для каждого сотрудника была создана учетная запись с уникальным названием и позволяющая однозначно идентифицировать сотрудника. Обычно данная мера зафиксирована в документе "Политика управления доступом" и определена область применения меры. Данная мера необходима для персонификации ответственности в компании.
При реализации подпроцесса «Управление учетными записями и правами субъектов логического доступа» рекомендуется использовать ГОСТ Р 50739.
Данная мера направлена на присвоение конкретной (персонифицированной) учетной записи конкретному пользователю.
Реализация на месте: регистрация персонифицированной учетной записи с помощью технических решений таких как Active Directory, встроенные в АС, СУБД, ОС, средства виртуализации подсистемы управления доступом, средства для реализации персонифицированного доступа Secret Net Studio, OpenIDM и другие.
Реализация на удаленном доступе: использование решений типа vGate 4.0
Необходимо провести анализ внутренний нормативной документации на регламентацию данной меры. После чего определить, какими техническими средствами она реализуется. Определить как осуществляется проверка выполнения данной меры внутри организации. Запросить документацию о проведении проверок или список учетных записей пользователей и персонифицированного персонала для проверки выполнения требования УЗП.1, а именно: 1) Учетные записи являются уникальными 2) Учетные записи являются персонифицированными
Скриншоты из ресурсов доступа о присвоении каждой учетной записи индивидуальных идентификационных данных.
Использование общей учетной записи для входа (например, для АРМ КБР-Н)
Администрирование СХД QNAP происходит от единой учетной записи по умолчанию
Администрирование СЗИ, МЭ происходит от УЗ неперсонифицированной общей учетной записи admin
Для мер
Для коллизий
Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа
Уровень защиты информации: 3-О, 2-О, 1-Т
Данная мера направлена на контроль учетных записей. Она требует, чтобы под каждого пользователя в системе была создана индивидуальная учетная запись. А также контролировалось отсутствие незаблокированных учетных записей не присвоенных легальному субъекту.
Мера должна быть регламентирована в Политике управления доступом, должны быть закреплены порядок, периодичность контроля состава и прав учетных записей субъектов доступа с формированием отчетного документа.
Мера реализуется применением систем управления идентификацией и аутентификацией (систем IdM). При этом необходим обмен данными с системой учета персонала в организации (например, 1С). Обмен данными может быть как при прямой интеграции с IdM системой, так и путем систематической выгрузки данных из системы учета персонала в организации (при этом необходимо установить разумный срок обмена данными, если не выполнена прямая интеграция)
Возможна реализация с использованием скрипта. Сравнение действующих учетных записей субъектов и фактического состава легальных субъектов может быть реализовано как обращением скрипта в базу учета персонала, так и при выгрузке данных из системы учета персонала.
Нужно учитывать, что системы IdM могут не поддерживать функции проверки в специализированных системах, мера при этом не может быть выполнена полностью
(О) Необходимо изучить внутреннюю руководящую документацию организации, например, "Политику управления доступом", на предмет регламентации данной меры. Для подтверждения выполнения данной меры необходимо запросить отчетные документы по сверке соответствия учетных записей и субъектов прав по УЗП.2
Скриншоты логов работы системы IdM, обнаружения учетной записи субъекта, более не являющегося легальным. Пример скрипта контроля учетных записей и демонстрация его применения.
Результаты интервью с ИБ, IT ссылка ????
Документы о проведении сверки
Зарегламентированная мера в Политики управления доступом
Для недостатков
Для мер
Контроль в системах IdM или с использованием скрипта, как правило, опирается на данные из систем учета персонала, где регистрируются данные персонала в штате. Работники сторонних организаций (например, находящиеся на аутсорсе) при этом могут в системе учета персонала не быть зарегистрированы, в этом случае контроль такие учетные записи охватывать не будет
Контроль отсутствия незаблокированных учетных записей:
уволенных работников;
работников, отсутствующих на рабочем месте более 90 календарных дней;
работников внешних (подрядных) организаций, прекративших свою деятельность в организации
Уровень защиты информации: 3-О, 2-О, 1-Т
Данная мера необходима для контроля отсутствия незаблокированных учетных записей, закрепленных за конкретным лицом, который уже не осуществляет деятельность, связанную с организацией. Такой контроль обеспечивает защиту от неправомерных действий со стороны бывших ранее легальными субъектов доступа.
Данная мера должна быть регламентирована в документе "Политика управления доступом", должен быть определен и указан временной период проверок, направленных на контроль отсутствия незаблокированных учетных записей. Назначенные ответственные лица должны передавать следующую информацию владельцам ресурсов доступа:
уволенные работники;
работники, отсутствующие на рабочем месте более 90 календарных дней;
работники внешних (подрядных) организаций, прекратившие свою деятельность в организации.
После чего владелец ресурса доступа должен принимать решения о целесообразности предоставления дальнейших прав логического доступа.
Мера реализуется применением систем управления идентификацией и аутентификацией (систем IdM) либо с помощью проверочного скрипта.
При этом необходим обмен данными с системой учета персонала в организации (например, 1С). Обмен данными может быть как при прямой интеграции с IdM системой, так и путем систематической выгрузки данных из системы учета персонала в организации (при этом необходимо установить разумный срок обмена данными, если не выполнена прямая интеграция).
Возможна реализация с использованием скрипта. При этом должны быть заданы проверки неиспользования учетной записи свыше 90 дней, сверка с составом действующих работников из базы учета персонала.
Для реализации меры должна быть отработана процедура регистрации данных работников внешних организаций в той же системе учета персонала, где регистрируются данные штатных работников, а также обязательно должно указываться время действия контракта.
Нужно учитывать, что системы IdM могут не поддерживать функции проверки в специализированных системах, мера при этом не может быть выполнена полностью.
Необходимо изучить внутреннюю нормативную документацию на наличие регламентирования меры УЗП.3. Убедиться, что регламентирована передача информации об уволенных сотрудниках, отсутствующих более 90 дней, и подрядчиках, прекративших свою деятельность, до владельца ресурса доступа или ответственного лица, который на основании этой информации будет принимать решение о блокировании учетных записей.
Скриншоты логов работы системы IdM, обнаружения учетной записи субъекта, более не являющегося работником, прекратившего деятельность от имени внешней организации или не использующего учетную запись свыше 90 дней. Пример скрипта контроля учетных записей согласно требованиям и демонстрация его применения.
Зарегламентированная мера в документе Политика управления доступом
Отчет о проверке учетных записей
Акт о прекращении предоставления прав по вышеупомянутым причинам
Для недостатков
Для мер
Контроль в системах IdM или с использованием скрипта, как правило, опирается на данные из систем учета персонала, где регистрируются данные персонала в штате. Работники сторонних организаций (например, находящиеся на аутсорсе) при этом могут в системе учета персонала не быть зарегистрированы, в этом случае контроль такие учетные записи охватывать не будет и мера выполнена не будет.
В ряде случаев за реализацию контроля работников внешних организаций принимают установку на учетной записи временного ограничения по умолчанию на время контракта, что не выполняет меру в полном объеме, так как работник внешней организации может прекратить работу ранее истечения срока контракта.
Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения
Данная мера необходима для контроля учетных записей без прямого назначения, которые не используются по назначению или не имеют такового, так как злоумышленники могут воспользоваться такими учетными записями для достижения своих целей.
Данная мера должна быть регламентирована в "Политики управления доступом", должен быть определен и указан временной период проверок и порядок реализации мер, направленных на контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения. Также, назначенные ответственные лица должны передавать информацию владельцам ресурсов доступа об обнаружении таких учетных записей в ходе проверок.
Необходимо изучить внутреннюю нормативную документацию на наличие регламентирование меры УЗП.4. Убедиться, что регламентирована передача информации о наличии учетных записей неопределенного целевого назначения владельцу ресурса доступа или ответственному лицу, который на основании этой информации будет принимать решение о блокировании учетных записей.
Зарегламентированная мера в документе "Политика управления доступом" или ином аналогичном документе;
Отчет о проверки учетных записей по УЗП.4;
Акт о прекращении предоставления прав/удалении учетных записей по причине неопределенного целевого назначения
Для недостатков
Для мер
Для коллизий