9.1.1 Политика управления доступом
Мера обеспечения ИБ
Политика управления доступом должна быть разработана, документирована и периодически пересматриваться с учетом требований бизнеса и ИБ.
Руководство по применению
Владельцы активов должны определить соответствующие правила управления доступом, права доступа и ограничения для конкретных пользовательских ролей по отношению к своим активам с уровнем детализации и строгостью мер, отражающих риски, связанные с обеспечением ИБ.
Меры по управлению доступом могут быть как логическими, так и физическими (раздел 11), и должны рассматриваться совместно. Пользователи и поставщики услуг должны получить четкое представление о требованиях бизнеса, которым должны удовлетворять меры управления доступом.
Политика должна учитывать следующее:
- a) требования безопасности бизнес-приложений;
- b) политики распространения информации и авторизации, например принцип "необходимого знания", уровни ИБ и категорирование информации (см. 8.2);
- c) соответствие между правами доступа и политиками категорирования информации для систем и сетей;
- d) соответствующие законодательные и любые договорные обязательства, касающиеся ограничения доступа к данным или сервисам (см. 18.1);
- e) управление правами доступа в распределенных средах и сетях, которые допускают все типы соединений;
- f) разделение ролей по управлению доступом, например запрос доступа, авторизация доступа, администрирование доступа;
- g) требования к формальной авторизации запросов доступа (см. 9.2.1 и 9.2.2);
- h) требования к периодическому пересмотру прав доступа (см. 9.2.6);
- i) аннулирование прав доступа (см. 9.2.6);
- j) архивирование записей всех значимых событий, касающихся использования и управления идентификаторами пользователей и секретной аутентификационной информацией;
- k) роли с привилегированным доступом (см. 9.2.3).
Дополнительная информация
Следует уделять особое внимание установлению правил управления доступом и учитывать следующее:
- a) установление правил, основанных на утверждении "Все в общем случае запрещено, пока явно не разрешено", а не на более слабом принципе "Все в общем случае разрешено, пока явно не запрещено";
- b) изменения маркировки информации (см. 8.2.2), которые инициируются автоматически средствами обработки информации и которые инициируются пользователями;
- c) изменения в правах пользователей, которые инициируются автоматически информационной системой, и те, которые инициируются администратором;
- d) правила, которые требуют определенной процедуры утверждения до вступления в силу, и те, которые этого не требуют.
Правила управления доступом должны быть зафиксированы в формальных процедурах (см. 9.2, 9.3, 9.4), и под них определены обязанности (см. 6.1, 9.3).
Управление доступом на основе ролей - это подход, успешно используемый многими организациями для связи прав доступа с бизнес-ролями.
Есть два часто применяемых принципа, определяющих политику управления доступом:
- e) принцип "необходимого знания": вам предоставляется доступ только к той информации, которая вам необходима для выполнения ваших задач (различные задачи/роли подразумевают различные "необходимые знания" и следовательно различные профили доступа);
- f) принцип "необходимого использования": вам предоставляется доступ только к тем средствам обработки информации (ИТ-оборудование, приложения, процедуры, помещения), которые необходимы для выполнения задачи/работы/роли.
