|
|
@@ -0,0 +1,78 @@
|
|
|
+## **УПРАВЛЕНИЕ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА**
|
|
|
+
|
|
|
+Требования к реализации УПД.1: Оператором должны быть установлены и реализованы следующие функции управления учетными записями пользователей, в том числе внешних пользователей:
|
|
|
+
|
|
|
+Определение типа учетной записи (внутреннего пользователя, внешнего пользователя; системная, приложения; гостевая (анонимная), временная и (или) иные типы записей);объединение учетных записей в группы (при необходимости);
|
|
|
+
|
|
|
+Верификацию пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя;заведение, активация, блокирование и уничтожение учетных записей пользователей;пересмотр и, при необходимости, корректировка учетных записей пользователей с периодичностью, определяемой оператором;
|
|
|
+
|
|
|
+Порядок заведения и контроля использования гостевых (анонимных) и временных учетных записей пользователей, а также привилегированных учетных записей администраторов;
|
|
|
+
|
|
|
+Оповещение администратора, осуществляющего управление учетными записями пользователей, об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях;
|
|
|
+
|
|
|
+Уничтожение временных учетных записей пользователей, предоставленных для однократного (ограниченного по времени) выполнения задач в информационной системе;
|
|
|
+
|
|
|
+Предоставление пользователям прав доступа к объектам доступа информационной системы, основываясь на задачах, решаемых пользователями в информационной системе и взаимодействующими с ней информационными системами.
|
|
|
+
|
|
|
+Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).
|
|
|
+
|
|
|
+Правила и процедуры управления учетными записями пользователей регламентируются в организационно-распорядительных документах оператора по защите информации.
|
|
|
+##
|
|
|
+##
|
|
|
+##
|
|
|
+##
|
|
|
+##
|
|
|
+##
|
|
|
+## **Требования к усилению УПД**
|
|
|
+\1) оператором должны использоваться автоматизированные средства поддержки управления учетными записями пользователей;
|
|
|
+
|
|
|
+\2) в информационной системе должно осуществляться автоматическое блокирование временных учетных записей пользователей по окончании установленного периода времени для их использования;
|
|
|
+
|
|
|
+\3) в информационной системе должно осуществляться автоматическое блокирование неактивных (неиспользуемых) учетных записей пользователей после периода времени неиспользования:
|
|
|
+
|
|
|
+а) более 90 дней;
|
|
|
+
|
|
|
+б) более 45 дней;
|
|
|
+
|
|
|
+\4) в информационной системе должно осуществляться автоматическое блокирование учетных записей пользователей:
|
|
|
+
|
|
|
+а) при превышении установленного оператором числа неуспешных попыток аутентификации пользователя;
|
|
|
+
|
|
|
+б) при выявлении по результатам мониторинга (просмотра, анализа) журналов регистрации событий безопасности действий пользователей, которые отнесены оператором к событиям нарушения безопасности информации;
|
|
|
+
|
|
|
+\5) в информационной системе должен осуществляться автоматический контроль заведения, активации, блокирования и уничтожения учетных записей пользователей и оповещение администраторов о результатах автоматического контроля.
|
|
|
+
|
|
|
+\6) в информационной системе должно обеспечиваться динамическое управление информационными потоками, запрещающее и (или) разрешающее передачу информации на основе анализа изменения текущего состояния информационной системы или условий ее функционирования;
|
|
|
+
|
|
|
+\7) в информационной системе должно обеспечиваться управление информационными потоками на основе структуры передаваемых данных (текст, таблицы, видео, аудиоинформация);
|
|
|
+
|
|
|
+\8) в информационной системе должно обеспечиваться управление информационными потоками на основе используемых сетевых протоколов;
|
|
|
+
|
|
|
+\9) в информационной системе должно обеспечиваться управление информационными потоками на основе типов (расширений) файлов и (или) имен файлов;
|
|
|
+
|
|
|
+\10) в информационной системе должна обеспечиваться возможность запрета, разрешения и изменения маршрута передачи информации только администраторами;
|
|
|
+
|
|
|
+\11) в информационной системе должно обеспечиваться разделение информационных потоков, содержащих различные виды (категории) информации, а также отделение информации управления от пользовательской информации;
|
|
|
+
|
|
|
+\12) в информационной системе должна обеспечиваться возможность автоматического блокирования передачи информации при выявлении в передаваемой информации вредоносных компьютерных программ;
|
|
|
+
|
|
|
+\13) в информационной системе должно осуществляться управление информационными потоками при передаче информации между информационными системами;
|
|
|
+
|
|
|
+\14) в информационной системе должна обеспечиваться возможность фильтрации информационных потоков на уровне прикладного программного обеспечения (приложений);
|
|
|
+
|
|
|
+\15) в информационной системе должна осуществляться накопление статистических данных, проверка и фильтрация сетевых пакетов по их содержимому (технология DPI);
|
|
|
+
|
|
|
+\16) наделение трафика конкретными параметрами (в частности включение уведомлений пользователей, исключение или замена элементов трафика) в зависимости от получателя информации.
|
|
|
+## **Реализация мер по управления доступом субъектов доступа к объектам доступа**
|
|
|
+- контроль доступа субъектов доступа к средствам управления компонентами виртуальной инфраструктуры;
|
|
|
+- контроль доступа субъектов доступа к файлам-образам виртуализированного программного обеспечения, виртуальных машин, файлам-образам, служебным данным, используемым для обеспечения работы виртуальных файловых систем, и иным служебным данным средств виртуальной среды;
|
|
|
+- управление доступом к виртуальному аппаратному обеспечению ИСПДн, являющимся объектом доступа;
|
|
|
+- контроль запуска виртуальных машин на основе заданных оператором персональных данных правил (режима запуска, типа используемого носителя и иных правил).
|
|
|
+
|
|
|
+Кроме того, меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать:
|
|
|
+
|
|
|
+- разграничение доступа субъектов доступа, зарегистрированных на виртуальных машинах, к объектам доступа, расположенным внутри виртуальных машин, в соответствии с правилами разграничения доступа пользователей данных виртуальных машин (потребителей облачных услуг);
|
|
|
+- разграничение доступа субъектов доступа, зарегистрированных на виртуальных машинах, к ресурсам ИСПДн, размещенным за пределами виртуальных машин, в соответствии с правилами разграничения доступа принятыми в ИСПДн в целом.
|
|
|
+
|
|
|
+
|
|
|
+
|
nosovdaniil