Куда я попал?
Цель: сокращение возможностей злоумышленника по компрометации учетных записей.
Политика:
Политика:
- Неактивные более 45 дней учетные записи пользователей подлежат отключению.
- Неактивные более 60 дней учетные записи компьютеров и серверов подлежат удалению.
Автоматический регулярный поиск неактивных учетных записей и уведомление ответственного за защитную меру осуществляет скрипт, запускаемый ежедневно.
Пример реализации скрипта приведен в заметке к защитной мере
Инструкция
Началом для процесса является получение писем от скрипта аудита с заголовками:
Пример реализации скрипта приведен в заметке к защитной мере
Инструкция
Началом для процесса является получение писем от скрипта аудита с заголовками:
- Чистка AD: Users
- Чистка AD: Computers
Алгоритм обработки писем:
- Учетные записи пользователей отключаются и переносятся в юнит domain.local/Отключенные учетные записи/
- Учетные записи компьютеров удаляются или переносятся в юнит domain.local/Рабочие станции/Отключенные/
- В случае необходимости, неясности - проводятся консультации с Отделом ИТ или с владельцами отключаемой учетной записи
Область действия: Вся организация
Классификация
Тип
Организационная
?
Техническая
?
Корректирующая
?
Компенсирующая
?
Реализация
Вручную
Периодичность
По событию
Ответственный
Не определено
Инструменты
Не определено
Исполнение требований
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
АНЗ.5
АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе
УПД.1
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 16.8
CSC 16.8 Disable Any Unassociated Accounts
Disable any account that cannot be associated with a business process or business owner.
Disable any account that cannot be associated with a business process or business owner.
CSC 16.9
CSC 16.9 Disable Dormant Accounts
Automatically disable dormant accounts after a set period of inactivity.
Automatically disable dormant accounts after a set period of inactivity.
CSC 16.7
CSC 16.7 Establish Process for Revoking Access
Establish and follow an automated process for revoking system access by disabling accounts immediately upon termination or change of responsibilities of an employee or contractor . Disabling these accounts, instead of deleting accounts, allows preservation of audit trails.
Establish and follow an automated process for revoking system access by disabling accounts immediately upon termination or change of responsibilities of an employee or contractor . Disabling these accounts, instead of deleting accounts, allows preservation of audit trails.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.1
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
АНЗ.5
АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе
SWIFT Customer Security Controls Framework v2022:
1 - 1.2 Operating System Account Control
1.2 Operating System Privileged Account Control
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УПД.1
УПД.1 Управление учетными записями пользователей
ИАФ.3
ИАФ.3 Управление идентификаторами
NIST Cybersecurity Framework (EN):
PR.AC-1
PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УПД.1
УПД.1 Управление учетными записями пользователей
Заметки
1Скрипт аудита AD
Пример уведомления: