Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

NIST Cybersecurity Framework (RU)

Framework

PR.AC-4

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Постановление Правительства РФ № 1441 от 01.09.2023 "Об утверждении правил хранения на территории РФ информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных электронных сообщений":
п. 3
3. Владелец технологической сети связи обеспечивает хранение информации, указанной в пункте 2 настоящих Правил, на территории Российской Федерации в условиях, исключающих несанкционированный доступ со стороны третьих лиц. 
CIS Critical Security Controls v8 (The 18 CIS CSC):
5.4
5.4 Restrict Administrator Privileges to Dedicated Administrator Accounts 
Restrict administrator privileges to dedicated administrator accounts on enterprise assets. Conduct general computing activities, such as internet browsing, email, and productivity suite use, from the user’s primary, nonprivileged account. 
3.3
3.3 Configure Data Access Control Lists 
Configure data access control lists based on a user’s need to know. Apply data access control lists, also known as access permissions, to local and remote file systems, databases, and applications. 
12.8 
12.8 Establish and Maintain Dedicated Computing Resources for All Administrative Work Devices
Establish and maintain dedicated computing resources, either physically or logically separated, for all administrative tasks or tasks requiring administrative access. The computing resources should be segmented from the enterprise’s primary network and not be allowed internet access. 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.5 УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.4.1
РВН.4.1 Применение соответствующих мер в рамках процесса управления учетными записями и правами субъектов логического доступа, требования к которому определены в ГОСТ Р 57580.1.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
5.4
5.4 Ограничены административные привилегии до выделенных учетных записей администраторов
Стандартные офисные задачи, вроде почтовой переписки и поиска в интернете, решаются с помощью непривилегированных учетных записей.
3.3
3.3 Созданы списки разрешений для управления доступом к данным
Настроены списки управления доступом к данным в зависимости от потребностей. Применяйте списки управления доступом к данным, также известные как разрешения доступа, к локальным и удаленным файловым системам, базам данных и приложениям.
12.8 
12.8 Реализовано и поддерживается выделение отдельных вычислительных ресурсов для любых задач администрирования
Ресурсы для работы под учетной записью администратора находятся в отдельном сетевом сегменте, физически или логически. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 10.6.3
10.6.3
Defined Approach Requirements: 
Time synchronization settings and data are protected as follows:
  • Access to time data is restricted to only personnel with a business need.
  • Any changes to time settings on critical systems are logged, monitored, and reviewed. 
Customized Approach Objective:
System time settings cannot be modified by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 10.6.3.a Examine system configurations and timesynchronization settings to verify that access to time data is restricted to only personnel with a business need. 
  • 10.6.3.b Examine system configurations and time synchronization settings and logs and observe processes to verify that any changes to time settings on critical systems are logged, monitored, and reviewed. 
Purpose:
Attackers will try to change time configurations to hide their activity. Therefore, restricting the ability to change or modify time synchronization configurations or the system time to administrators will lessen the probability of an attacker successfully changing time configurations. 
Requirement 7.3.3
7.3.3
Defined Approach Requirements: 
The access control system(s) is set to “deny all” by default. 

Customized Approach Objective:
Access rights and privileges are prohibited unless expressly permitted. 

Defined Approach Testing Procedures:
  • 7.3.3 Examine vendor documentation and system settings to verify that the access control system(s) is set to “deny all” by default. 
Purpose:
A default setting of “deny all” ensures no one is granted access unless a rule is established specifically granting such access. 

Good Practice:
It is important to check the default configuration of access control systems because some are set by default to “allow all,” thereby permitting access unless/until a rule is written to specifically deny it. 
Requirement 7.2.5
7.2.5
Defined Approach Requirements: 
All application and system accounts and related access privileges are assigned and managed as follows:
  • Based on the least privileges necessary for the operability of the system or application. 
  • Access is limited to the systems, applications, or processes that specifically require their use. 
Customized Approach Objective:
Access rights granted to application and system accounts are limited to only the access needed for the operability of that application or system. 

Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 
Defined Approach Testing Procedures:
  • 7.2.5.a Examine policies and procedures to verify they define processes to manage and assign application and system accounts and related access privileges in accordance with all elements specified in this requirement. 
  • 7.2.5.b Examine privileges associated with system and application accounts and interview responsible personnel to verify that application and system accounts and related access privileges are assigned and managed in accordance with all elements specified in this requirement. 
Purpose:
It is important to establish the appropriate access level for application or system accounts. If such accounts are compromised, malicious users will receive the same access level as that granted to the application or system. Therefore, it is important to ensure limited access is granted to system and application accounts on the same basis as to user accounts. 

Good Practice:
Entities may want to consider establishing a baseline when setting up these application and system accounts including the following as applicable to the organization:
  • Making sure that the account is not a member of a privileged group such as domain administrators, local administrators, or root.
  • Restricting which computers the account can be used on.
  • Restricting hours of use.
  • Removing any additional settings like VPN access and remote access. 
Requirement 7.2.2
7.2.2
Defined Approach Requirements: 
Access is assigned to users, including privileged users, based on: 
  • Job classification and function.
  • Least privileges necessary to perform job responsibilities. 
Customized Approach Objective:
Access to systems and data is limited to only the access needed to perform job functions, as defined in the related access roles. 

Defined Approach Testing Procedures:
  • 7.2.2.a Examine policies and procedures to verify they cover assigning access to users in accordance with all elements specified in this requirement. 
  • 7.2.2.b Examine user access settings, including for privileged users, and interview responsible management personnel to verify that privileges assigned are in accordance with all elements specified in this requirement. 
  • 7.2.2.c Interview personnel responsible for assigning access to verify that privileged user access is assigned in accordance with all elements specified in this requirement. 
Purpose:
Assigning least privileges helps prevent users without sufficient knowledge about the application from incorrectly or accidentally changing application configuration or altering its security settings. Enforcing least privilege also helps to minimize the scope of damage if an unauthorized person gains access to a user ID. 

Good Practice:
Access rights are granted to a user by assignment to one or several functions. Assess is assigned depending on the specific user functions and with the minimum scope required for the job. 
When assigning privileged access, it is important to assign individuals only the privileges they need to perform their job (the “least privileges”). For example, the database administrator or backup administrator should not be assigned the same privileges as the overall systems administrator. 
Once needs are defined for user functions (per PCI DSS requirement 7.2.1), it is easy to grant individuals access according to their job classification and function by using the alreadycreated roles. 
Entities may wish to consider use of Privileged Access Management (PAM), which is a method to grant access to privileged accounts only when those privileges are required, immediately revoking that access once they are no longer needed. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.6.1.2
A.6.1.2 Разделение обязанностей 
Мера обеспечения информационной безопасности: Средства реализации: Вступающие в противоречие друг с другом обязанности и области ответственности должны быть разделены для снижения возможности несанкционированного или ненамеренного изменения или неправильного применения активов организации.
A.9.4.5
A.9.4.5 Управление доступом к исходному тексту программы 
Мера обеспечения информационной безопасности: Доступ к исходному тексту программы должен быть ограничен 
A.9.4.1
A.9.4.1 Ограничение доступа к информации 
Мера обеспечения информационной безопасности: Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой управления доступом 
A.9.4.4
A.9.4.4 Использование привилегированных служебных программ 
Мера обеспечения информационной безопасности: Использование служебных программ, которые могли бы обойти меры обеспечения информационной безопасности систем и приложений, следует ограничивать и строго контролировать 
A.9.1.2
А.9.1.2 Доступ к сетям и сетевым сервисам 
Мера обеспечения информационной безопасности: Пользователям следует предоставлять доступ только к тем сетям и сетевым сервисам, на использование которых они получили конкретное разрешение 
A.9.2.3
A.9.2.3 Управление привилегированными правами доступа 
Мера обеспечения информационной безопасности: Распределение и использование привилегированных прав доступа следует ограничивать и контролировать 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 14.6 CSC 14.6 Protect Information Through Access Control Lists
Protect all information stored on systems with file system, network share, claims, application, or database specific access control lists. These controls will enforce the principle that only authorized individuals should have access to the information based on their need to access the information as a part of their responsibilities.
CSC 4.3 CSC 4.3 Ensure the Use of Dedicated Administrative Accounts
Ensure that all users with administrative account access use a dedicated or secondary account for elevated activities. This account should only be used for administrative activities and not internet browsing, email, or similar activities.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 7.2.2
7.2.2
Определенные Требования к Подходу:
Доступ назначается пользователям, включая привилегированных пользователей, на основе:
  • Классификации должностей и функций.
  • Минимум привилегий, необходимых для выполнения должностных обязанностей.
Цель Индивидуального подхода:
Доступ к системам и данным ограничен только доступом, необходимым для выполнения рабочих функций, как определено в соответствующих ролях доступа.

Определенные Процедуры Тестирования Подхода:
  • 7.2.2.a Изучите политики и процедуры, чтобы убедиться, что они охватывают предоставление доступа пользователям в соответствии со всеми элементами, указанными в этом требовании.
  • 7.2.2.b Изучите настройки доступа пользователей, в том числе для привилегированных пользователей, и опросите ответственный управленческий персонал, чтобы убедиться, что назначенные привилегии соответствуют всем элементам, указанным в этом требовании.
  • 7.2.2.c Опросите персонал, ответственный за назначение доступа, чтобы убедиться, что привилегированный доступ пользователя назначен в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Назначение минимальных привилегий помогает предотвратить неправильное или случайное изменение конфигурации приложения или параметров его безопасности пользователями, не имеющими достаточных знаний о приложении. Применение минимальных привилегий также помогает свести к минимуму ущерб, если неавторизованное лицо получит доступ к идентификатору пользователя.

Надлежащая практика:
Права доступа предоставляются пользователю путем назначения одной или нескольким функциям. Оценка назначается в зависимости от конкретных функций пользователя и с минимальным объемом, необходимым для выполнения задания.
При назначении привилегированного доступа важно назначать отдельным лицам только те привилегии, которые им необходимы для выполнения их работы (“наименьшие привилегии”). Например, администратору базы данных или администратору резервного копирования не следует назначать те же привилегии, что и общему системному администратору.
Как только потребности определены для пользовательских функций (в соответствии с требованием PCI DSS 7.2.1), легко предоставить отдельным лицам доступ в соответствии с их классификацией должностей и функциями, используя уже созданные роли.
Организации могут пожелать рассмотреть возможность использования Управления привилегированным доступом (PAM), которое представляет собой метод предоставления доступа к привилегированным учетным записям только тогда, когда эти привилегии требуются, и немедленного отзыва этого доступа, как только они больше не нужны.
Requirement 10.6.3
10.6.3
Определенные Требования к Подходу:
Настройки и данные синхронизации времени защищены следующим образом:
  • Доступ к данным о времени ограничен только персоналом, имеющим деловые потребности.
  • Любые изменения настроек времени в критически важных системах регистрируются, отслеживаются и анализируются.
Цель Индивидуального подхода:
Настройки системного времени не могут быть изменены неавторизованным персоналом.

Определенные Процедуры Тестирования Подхода:
  • 10.6.3.a Изучите системные конфигурации и настройки синхронизации времени, чтобы убедиться, что доступ к данным о времени ограничен только персоналом с бизнес-потребностями.
  • 10.6.3.b Изучайте системные конфигурации и настройки синхронизации времени, а также журналы и наблюдайте за процессами, чтобы убедиться, что любые изменения настроек времени в критически важных системах регистрируются, отслеживаются и анализируются.
Цель:
Злоумышленники попытаются изменить временные настройки, чтобы скрыть свою активность. Следовательно, ограничение администраторам возможности изменять или изменять конфигурации синхронизации времени или системное время уменьшит вероятность успешного изменения злоумышленником временных конфигураций.
Requirement 7.3.3
7.3.3
Определенные Требования к Подходу:
Система (системы) контроля доступа по умолчанию настроена на “запретить все”.

Цель Индивидуального подхода:
Права доступа и привилегии запрещены, если это прямо не разрешено.

Определенные Процедуры Тестирования Подхода:
  • 7.3.3 Изучите документацию поставщика и системные настройки, чтобы убедиться, что для системы (систем) контроля доступа по умолчанию установлено значение “запретить все”.
Цель:
Значение по умолчанию “запретить всем” гарантирует, что никому не будет предоставлен доступ, если не установлено правило, специально предоставляющее такой доступ.

Надлежащая практика:
Важно проверить конфигурацию систем контроля доступа по умолчанию, потому что некоторые из них по умолчанию настроены на “разрешить все”, тем самым разрешая доступ, если /пока не будет написано правило, специально запрещающее его.
Requirement 7.2.5
7.2.5
Определенные Требования к Подходу:
Все учетные записи приложений и системы и связанные с ними права доступа назначаются и управляются следующим образом:
  • На основе наименьших привилегий, необходимых для работоспособности системы или приложения.
  • Доступ ограничен системами, приложениями или процессами, которые конкретно требуют их использования.
Цель Индивидуального подхода:
Права доступа, предоставляемые учетным записям приложений и систем, ограничены только доступом, необходимым для работоспособности этого приложения или системы.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 7.2.5.a Изучите политики и процедуры, чтобы убедиться, что они определяют процессы для управления и назначения учетных записей приложений и систем и связанных с ними привилегий доступа в соответствии со всеми элементами, указанными в этом требовании.
  • 7.2.5.b Проверьте привилегии, связанные с учетными записями системы и приложений, и опросите ответственный персонал, чтобы убедиться, что учетные записи приложений и системы и связанные с ними привилегии доступа назначены и управляются в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Важно установить соответствующий уровень доступа для учетных записей приложений или систем. Если такие учетные записи будут скомпрометированы, злоумышленники получат тот же уровень доступа, что и для приложения или системы. Поэтому важно обеспечить ограниченный доступ к учетным записям системы и приложений на той же основе, что и к учетным записям пользователей.

Надлежащая практика:
Организации могут захотеть рассмотреть возможность установления базовой линии при настройке этих учетных записей приложений и систем, включая следующее, если это применимо к организации:
  • Убедитесь, что учетная запись не является членом привилегированной группы, такой как администраторы домена, локальные администраторы или root.
  • Ограничение того, на каких компьютерах можно использовать учетную запись.
  • Ограничение часов использования.
  • Удаление любых дополнительных настроек, таких как VPN-доступ и удаленный доступ.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.5 УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
Strategies to Mitigate Cyber Security Incidents (EN):
2.1.
Restrict administrative privileges to operating systems and applications based on user duties. Regularly revalidate the need for privileges. Don’t use privileged accounts for reading email and web browsing.
Relative Security Effectiveness:  Essential | Potential User Resistance:  Medium | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.4
А.8.4 Доступ к исходному коду
Должен управляться соответствующим  образом доступ к исходному коду, а также к средствам разработки и программным библиотекам.
А.8.18
А.8.18 Использование привилегированных приложений
Должно быть ограничено и строго контролироваться использование приложений, способных преодолеть средства управления ИБ систем и приложений.
А.5.18
А.5.18 Права доступа
Права доступа к информационным и иным связанным с ней активам должны предоставляться, пересматриваться, изменяться и удаляться в соответствии с специфической тематической политикой и правилами управления доступом организации.
А.8.2
А.8.2 Привилегированные права доступа
Должны ограничиваться и управляться назначение и использование привилегированных прав доступа.
А.5.3
А.5.3 Разделение обязанностей
Должны быть разделены противоречивые обязанности и области ответственности.
А.8.3
А.8.3 Ограничение доступа к информации
Доступ к информационным и иным связанным с ними активам должен быть ограничен в соответствии с установленной специфической тематической политикой управления доступом.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
6.2.2.1.
Контроль действий привилегированных пользователей  осуществляется периодически
6.2.1.3.
Доступ к административным и сервисным УЗ строго ограничен. Для работы с системами используются отдельные персонифицированные УЗ с определенными наборами ролей и прав доступа к системам
SWIFT Customer Security Controls Framework v2022:
5 - 5.1 Logical Access Control
5.1 Logical Access Control
1 - 1.2 Operating System Account Control
1.2 Operating System Privileged Account Control
2 - 2.11A RMA Business Controls
2.11A RMA Business Controls
2 - 2.9 Transaction Business Controls
2.9 Transaction Business Controls
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УПД.5 УПД.5 Назначение минимально необходимых прав и привилегий
NIST Cybersecurity Framework (EN):
PR.AC-4 PR.AC-4: Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УПД.5 УПД.5 Назначение минимально необходимых прав и привилегий
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.4.1
9.4.1 Ограничение доступа к информации

Мера обеспечения ИБ
Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой управления доступом.

Руководство по применению
Ограничения доступа должны основываться на требованиях конкретных бизнес-приложений и соответствовать установленной политике управления доступом.
Для обеспечения выполнения требований по ограничению доступа следует учитывать следующее:
  • a) предоставление меню для управления доступом к функциям прикладных систем;
  • b) управление тем, какие данные могут быть доступны конкретному пользователю;
  • c) управление правами доступа пользователей, например чтение, запись, удаление и выполнение;
  • d) управление правами доступа других приложений;
  • e) ограничение информации, содержащейся в выходных данных;
  • f) обеспечение физических или логических мер управления доступом для изоляции чувствительных приложений, данных или систем.
9.1.2
9.1.2 Доступ к сетям и сетевым сервисам

Мера обеспечения ИБ
Пользователям следует предоставлять доступ только к тем сетям и сетевым сервисам, на использование которых они получили конкретное разрешение.

Руководство по применению
В отношении использования сетей и сетевых сервисов должна быть сформулирована политика. Эта политика должна охватывать:
  • a) сети и сетевые сервисы, к которым разрешен доступ;
  • b) процедуры авторизации для определения того, кому к каким сетям и сетевым сервисам разрешен доступ;
  • c) меры управления и процедуры для защиты доступа к сетевым соединениям и сетевым сервисам;
  • d) средства, используемые для доступа к сетям и сетевым сервисам (например, использование VPN или беспроводной сети);
  • e) требования к аутентификации пользователя для доступа к различным сетевым сервисам;
  • f) мониторинг использования сетевых сервисов.
Политика использования сетевых сервисов должна быть согласованной с политикой управления доступом организации (см. 9.1.1).

Дополнительная информация
Несанкционированные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Контроль подключений особенно важен для сетевых подключений к критически важным с точки зрения бизнеса приложениям или для пользователей, находящихся в местах с высоким уровнем риска, например в общественных местах или местах за пределами организации, которые не попадают под контроль системы менеджмента информационной безопасности организации.
9.4.4
9.4.4 Использование привилегированных служебных программ

Мера обеспечения ИБ
Использование служебных программ, которые могли бы обойти меры и средства ИБ систем и приложений, следует ограничивать и строго контролировать.

Руководство по применению
Следует учитывать следующие рекомендации по использованию служебных программ, которые могут обходить меры обеспечения ИБ систем и прикладных программ:
  • a) использовать процедуры идентификации, аутентификации и авторизации для служебных программ;
  • b) отделять служебные программы от прикладного программного обеспечения;
  • c) ограничивать использование служебных программ минимально возможным числом доверенных, авторизованных пользователей (см. 9.2.3);
  • d) предъявлять требования по авторизации на использование специальных служебных программ;
  • e) ограничивать доступность системных служебных программ, например на время внесения авторизованных изменений;
  • f) регистрировать все случаи использования служебных программ;
  • g) определять и документировать уровни авторизации для служебных программ;
  • h) удалять или отключать все ненужные служебные программы;
  • i) не делать служебные программы доступными тем пользователям, которые имеют доступ к прикладным программам в системах, где требуется разделение обязанностей.

Дополнительная информация
Большинство компьютеров имеют, как правило, одну или несколько служебных программ, способных обойти меры обеспечения ИБ эксплуатируемых систем и прикладных программ.
9.4.5
9.4.5 Управление доступом к исходному коду программы

Мера обеспечения ИБ
Доступ к исходному коду программ должен быть ограничен.

Руководство по применению
Доступ к исходному коду программы и связанным с ним элементам (таким, как проекты, спецификации, планы верификации и валидации) должен строго контролироваться для того, чтобы предотвратить внедрение в него несанкционированного функционала и избежать непреднамеренных изменений, а также сохранить конфиденциальность ценной интеллектуальной собственности. Для исходного кода программы это может быть достигнуто путем контролируемого централизованного хранения такого кода, предпочтительно в библиотеках исходных кодов программ. Затем следует учесть следующие рекомендации для управления доступом к таким библиотекам исходных кодов программ для того, чтобы уменьшить вероятность повреждения компьютерных программ:
  • a) где это возможно, библиотеки исходных кодов программ не должны содержаться в эксплуатируемых системах;
  • b) исходный код программы и библиотеки исходных кодов программы должны управляться в соответствии с установленными процедурами;
  • c) вспомогательный персонал не должен иметь неограниченный доступ к библиотекам исходных кодов программы;
  • d) обновление библиотек исходных кодов программ и связанных с ними элементов, а также выдача исходного кода программистам должна выполняться только после прохождения соответствующей авторизации;
  • e) листинги программ должны храниться в безопасной среде;
  • f) должны сохраняться записи всех обращений к библиотекам исходных кодов;
  • g) обслуживание и копирование библиотек исходных кодов должно проводиться по строгим процедурам контроля изменений (см. 14.2.2).
Если исходный код программы предполагается публиковать, следует принять во внимание дополнительные меры обеспечения ИБ для получения гарантии его целостности (например, электронная подпись).
9.2.3
9.2.3 Управление привилегированными правами доступа

Мера обеспечения ИБ
Распределение и использование привилегированных прав доступа следует ограничивать и контролировать.

Руководство по применению
Назначение привилегированных прав доступа должно контролироваться посредством формализованного процесса аутентификации в соответствии с действующей политикой управления доступом (см. 9.1.1). При этом должны быть предусмотрены следующие шаги:
  • a) идентификация привилегированных прав доступа, связанных с каждой системой или процессом, например операционной системой, системой управления базами данных, каждым приложением и пользователями, которым требуется назначение таких прав;
  • b) привилегированные права доступа должны назначаться пользователям исходя из принципов "необходимого использования" и "предоставления доступа по событию" в соответствии с политикой управления доступом (см. 9.1.1), то есть по минимуму для их функциональных ролей;
  • c) все процессы аутентификации и назначения привилегий должны регистрироваться. Привилегированные права доступа не должны предоставляться до завершения процесса аутентификации;
  • d) должны быть определены требования для установления срока действия привилегированных прав доступа;
  • e) привилегированные права доступа должны быть связаны с идентификатором пользователя, отличным от того, что используется для исполнения повседневных должностных обязанностей. Эти обязанности не должны выполняться под привилегированным идентификатором;
  • f) полномочия пользователей с привилегированными правами доступа должны регулярно пересматриваться с целью убедиться, что они соответствуют их обязанностям;
  • g) должны быть разработаны и поддерживаться специальные процедуры, во избежание несанкционированного использования общих административных идентификаторов в соответствии с возможностями конфигурации системы;
  • h) при совместном использовании общих административных идентификаторов должна обеспечиваться конфиденциальность секретной аутентификационной информации (например, частая смена паролей, а также максимально быстрая их смена при увольнении пользователя с привилегированными правами или изменении его обязанностей, передача паролей всем пользователям с привилегированными правами посредством соответствующих механизмов).

Дополнительная информация
Несоответствующее использование привилегий, связанных с администрированием системы (любой функции или сервиса информационной системы, которая позволяет пользователю изменить средства управления системой или приложением) является основным фактором сбоев и нарушения функционирования системы.
6.1.2
6.1.2 Разделение обязанностей

Мера обеспечения ИБ
Пересекающиеся обязанности и зоны ответственности должны быть разделены для уменьшения возможности несанкционированного или непреднамеренного изменения или нецелевого использования активов организации.

Руководство по применению
Следует позаботиться о том, чтобы одно и то же лицо не могло получить доступ к активам, изменять или использовать их без разрешения или возможности обнаружения такого действия. Инициирование события должно быть отделено от его авторизации. При разработке мер обеспечения ИБ следует учитывать возможность сговора.
Небольшие организации могут столкнуться с трудностями при разделении обязанностей, тем не менее данный принцип следует применять настолько, насколько это возможно и практически осуществимо. Там, где возникают трудности с разделением обязанностей, следует рассмотреть другие меры обеспечения ИБ, такие как мониторинг деятельности, ведение записей в журналах и контроль со стороны руководства.

Дополнительная информация
Разделение обязанностей - это метод снижения риска случайного или преднамеренного ненадлежащего использования активов организации.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.4
А.8.4 Access to source code
Read and write access to source code, development tools and software libraries shall be appropriately managed.
А.8.18
А.8.18 Use of privileged utility programs
The use of utility programs that can be capable of overriding system and application controls shall be restricted and tightly controlled.
А.8.2
А.8.2 Privileged access rights
The allocation and use of privileged access rights shall be restricted and managed.
А.8.3
А.8.3 Information access restriction
Access to information and other associated assets shall be restricted in accordance with the established topic-specific policy on access control.
А.5.18
А.5.18 Access rights
Access rights to information and other associated assets shall be provisioned, reviewed, modified and removed in accordance with the organization’s topic-specific policy on and rules for access control.
А.5.3
А.5.3 Segregation of duties
Conflicting duties and areas of responsibility shall be segregated.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.