LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • УЗП.1 (Т-Т-Т)
  • УЗП.2 (О-О-Т)
  • УЗП.3 (О-О-Т)
  • УЗП.4 (О-О-О)
  1. Процессы
  2. 1-П. Обеспечение защиты информации при управлении доступом
  3. УЗП - Управление учетными записями и правами субъектов логического доступа

УЗП 1-4

Базовый состав мер по организации и контролю использования учетных записей субъектов логического доступа применительно к уровням защиты информации

УЗП.1 (Т-Т-Т)

Осуществление логического доступа пользователями и эксплуатационным персоналом под уникальными и персонифицированными учетными записями

Уровень защиты информации: 3-Т, 2-Т, 1-Т

Пояснение

Данная мера требует, чтобы для каждого сотрудника была создана учетная запись с уникальным названием и позволяющая однозначно идентифицировать сотрудника. Обычно данная мера зафиксирована в документе "Политика управления доступом" и определена область применения меры. Данная мера необходима для персонификации ответственности в компании.

При реализации подпроцесса «Управление учетными записями и правами субъектов логического доступа» рекомендуется использовать ГОСТ Р 50739.

Данная мера направлена на присвоение конкретной (персонифицированной) учетной записи конкретному пользователю.

Реализация - Т (Заполнить)

Реализация на месте: регистрация персонифицированной учетной записи с помощью технических решений таких как Active Directory, встроенные в АС, СУБД, ОС, средства виртуализации подсистемы управления доступом, средства для реализации персонифицированного доступа Secret Net Studio, OpenIDM и другие.

Реализация на удаленном доступе: использование решений типа vGate 4.0

Проверочные процедуры

Необходимо провести анализ внутренний нормативной документации на регламентацию данной меры. После чего определить, какими техническими средствами она реализуется. Определить как осуществляется проверка выполнения данной меры внутри организации. Запросить документацию о проведении проверок или список учетных записей пользователей и персонифицированного персонала для проверки выполнения требования УЗП.1, а именно: 1) Учетные записи являются уникальными 2) Учетные записи являются персонифицированными

Свидетельства

Скриншоты из ресурсов доступа о присвоении каждой учетной записи индивидуальных идентификационных данных.

Типичные недостатки

  • Использование общей учетной записи для входа (например, для АРМ КБР-Н)

  • Администрирование СХД QNAP происходит от единой учетной записи по умолчанию

  • Администрирование СЗИ, МЭ происходит от УЗ неперсонифицированной общей учетной записи admin

Компенсационные меры

Для мер

Выявленные коллизии

Для коллизий

УЗП.2 (О-О-Т)

Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа

Уровень защиты информации: 3-О, 2-О, 1-Т

Пояснение

Данная мера направлена на контроль учетных записей. Она требует, чтобы под каждого пользователя в системе была создана индивидуальная учетная запись. А также контролировалось отсутствие незаблокированных учетных записей не присвоенных легальному субъекту.

Реализация - О

Мера должна быть регламентирована в Политике управления доступом, должны быть закреплены порядок, периодичность контроля состава и прав учетных записей субъектов доступа с формированием отчетного документа.

Реализация - Т (Заполнить)

Мера реализуется применением систем управления идентификацией и аутентификацией (систем IdM). При этом необходим обмен данными с системой учета персонала в организации (например, 1С). Обмен данными может быть как при прямой интеграции с IdM системой, так и путем систематической выгрузки данных из системы учета персонала в организации (при этом необходимо установить разумный срок обмена данными, если не выполнена прямая интеграция)

Возможна реализация с использованием скрипта. Сравнение действующих учетных записей субъектов и фактического состава легальных субъектов может быть реализовано как обращением скрипта в базу учета персонала, так и при выгрузке данных из системы учета персонала.

Нужно учитывать, что системы IdM могут не поддерживать функции проверки в специализированных системах, мера при этом не может быть выполнена полностью

Проверочные процедуры - О

(О) Необходимо изучить внутреннюю руководящую документацию организации, например, "Политику управления доступом", на предмет регламентации данной меры. Для подтверждения выполнения данной меры необходимо запросить отчетные документы по сверке соответствия учетных записей и субъектов прав по УЗП.2

Проверочные процедуры - Т

Скриншоты логов работы системы IdM, обнаружения учетной записи субъекта, более не являющегося легальным. Пример скрипта контроля учетных записей и демонстрация его применения.

Свидетельства (Дозаполнить):

  • Результаты интервью с ИБ, IT ссылка ????

  • Документы о проведении сверки

  • Зарегламентированная мера в Политики управления доступом

Типичные недостатки

Для недостатков

Компенсационные меры

Для мер

Выявленные коллизии

Контроль в системах IdM или с использованием скрипта, как правило, опирается на данные из систем учета персонала, где регистрируются данные персонала в штате. Работники сторонних организаций (например, находящиеся на аутсорсе) при этом могут в системе учета персонала не быть зарегистрированы, в этом случае контроль такие учетные записи охватывать не будет

УЗП.3 (О-О-Т)

Контроль отсутствия незаблокированных учетных записей:

  • уволенных работников;

  • работников, отсутствующих на рабочем месте более 90 календарных дней;

  • работников внешних (подрядных) организаций, прекративших свою деятельность в организации

Уровень защиты информации: 3-О, 2-О, 1-Т

Пояснение

Данная мера необходима для контроля отсутствия незаблокированных учетных записей, закрепленных за конкретным лицом, который уже не осуществляет деятельность, связанную с организацией. Такой контроль обеспечивает защиту от неправомерных действий со стороны бывших ранее легальными субъектов доступа.

Реализация - О

Данная мера должна быть регламентирована в документе "Политика управления доступом", должен быть определен и указан временной период проверок, направленных на контроль отсутствия незаблокированных учетных записей. Назначенные ответственные лица должны передавать следующую информацию владельцам ресурсов доступа:

  • уволенные работники;

  • работники, отсутствующие на рабочем месте более 90 календарных дней;

  • работники внешних (подрядных) организаций, прекратившие свою деятельность в организации.

После чего владелец ресурса доступа должен принимать решения о целесообразности предоставления дальнейших прав логического доступа.

Реализация - Т

Мера реализуется применением систем управления идентификацией и аутентификацией (систем IdM) либо с помощью проверочного скрипта.

При этом необходим обмен данными с системой учета персонала в организации (например, 1С). Обмен данными может быть как при прямой интеграции с IdM системой, так и путем систематической выгрузки данных из системы учета персонала в организации (при этом необходимо установить разумный срок обмена данными, если не выполнена прямая интеграция).

Возможна реализация с использованием скрипта. При этом должны быть заданы проверки неиспользования учетной записи свыше 90 дней, сверка с составом действующих работников из базы учета персонала.

Для реализации меры должна быть отработана процедура регистрации данных работников внешних организаций в той же системе учета персонала, где регистрируются данные штатных работников, а также обязательно должно указываться время действия контракта.

Нужно учитывать, что системы IdM могут не поддерживать функции проверки в специализированных системах, мера при этом не может быть выполнена полностью.

Проверочные процедуры - О

Необходимо изучить внутреннюю нормативную документацию на наличие регламентирования меры УЗП.3. Убедиться, что регламентирована передача информации об уволенных сотрудниках, отсутствующих более 90 дней, и подрядчиках, прекративших свою деятельность, до владельца ресурса доступа или ответственного лица, который на основании этой информации будет принимать решение о блокировании учетных записей.

Проверочные процедуры - Т

Скриншоты логов работы системы IdM, обнаружения учетной записи субъекта, более не являющегося работником, прекратившего деятельность от имени внешней организации или не использующего учетную запись свыше 90 дней. Пример скрипта контроля учетных записей согласно требованиям и демонстрация его применения.

Свидетельства:

  • Зарегламентированная мера в документе Политика управления доступом

  • Отчет о проверке учетных записей

  • Акт о прекращении предоставления прав по вышеупомянутым причинам

Типичные недостатки

Для недостатков

Компенсационные меры

Для мер

Выявленные коллизии

  • Контроль в системах IdM или с использованием скрипта, как правило, опирается на данные из систем учета персонала, где регистрируются данные персонала в штате. Работники сторонних организаций (например, находящиеся на аутсорсе) при этом могут в системе учета персонала не быть зарегистрированы, в этом случае контроль такие учетные записи охватывать не будет и мера выполнена не будет.

    В ряде случаев за реализацию контроля работников внешних организаций принимают установку на учетной записи временного ограничения по умолчанию на время контракта, что не выполняет меру в полном объеме, так как работник внешней организации может прекратить работу ранее истечения срока контракта.

УЗП.4 (О-О-О)

Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения

Пояснение

Данная мера необходима для контроля учетных записей без прямого назначения, которые не используются по назначению или не имеют такового, так как злоумышленники могут воспользоваться такими учетными записями для достижения своих целей.

Реализация - О

Данная мера должна быть регламентирована в "Политики управления доступом", должен быть определен и указан временной период проверок и порядок реализации мер, направленных на контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения. Также, назначенные ответственные лица должны передавать информацию владельцам ресурсов доступа об обнаружении таких учетных записей в ходе проверок.

Проверочные процедуры

Необходимо изучить внутреннюю нормативную документацию на наличие регламентирование меры УЗП.4. Убедиться, что регламентирована передача информации о наличии учетных записей неопределенного целевого назначения владельцу ресурса доступа или ответственному лицу, который на основании этой информации будет принимать решение о блокировании учетных записей.

Свидетельства:

  • Зарегламентированная мера в документе "Политика управления доступом" или ином аналогичном документе;

  • Отчет о проверки учетных записей по УЗП.4;

  • Акт о прекращении предоставления прав/удалении учетных записей по причине неопределенного целевого назначения

Типичные недостатки (Заполнить)

Для недостатков

Компенсационные меры (Заполнить)

Для мер

Выявленные коллизии (Заполнить)

Для коллизий

Пример текста в регламенте:

Ежегодно/ежемесячно/ежедневно в компании проводится процедура контроля отсутствия незаблокированных учетных записей неопределенного целевого назначения.

PreviousУЗП - Управление учетными записями и правами субъектов логического доступаNextУЗП 5-21

Last updated 10 months ago