8.2.2
Определенные требования к подходу:
Групповые, общие или универсальные идентификаторы, а также другие общие учетные данные для аутентификации используются только в случае необходимости, как исключение, и управляются следующим образом:
- Использование идентификатора предотвращается, если это не требуется для исключительного случая.
- Использование ограничивается временем, необходимым для исключительного случая.
- Для использования есть документированное деловое оправдание.
- Использование явно одобряется руководством.
- Личность пользователя подтверждается до предоставления доступа к учетной записи.
- Каждое действие может быть отнесено к конкретному пользователю.
Цель Индивидуального подхода:
Все действия, выполненные пользователями с групповыми, общими или универсальными идентификаторами, должны быть отнесены к конкретному человеку.
Примечания по применимости:
Это требование не применяется к учетным записям пользователей на терминалах точек продаж, которые имеют доступ только к одному номеру карты за раз для выполнения одной транзакции.
Определенные Процедуры Тестирования Подхода:
- 8.2.2.a Изучить списки учетных записей пользователей на компонентах системы и соответствующую документацию, чтобы убедиться, что общие учетные данные используются только в случае необходимости, как исключение, и управляются в соответствии с указанными в этом требовании элементами.
- 8.2.2.b Изучить политику и процедуры аутентификации, чтобы убедиться, что процессы определены для использования общих учетных данных только в случае необходимости, как исключение, и управляются в соответствии с указанными в этом требовании элементами.
- 8.2.2.c Провести интервью с администраторами системы, чтобы подтвердить, что общие учетные данные используются только в случае необходимости, как исключение, и управляются в соответствии с указанными в этом требовании элементами.
Цель:
Групповые, общие или универсальные (или стандартные) идентификаторы обычно поставляются с программным обеспечением или операционными системами — например, root или с привилегиями, связанными с конкретной функцией, как у администратора.
Если несколько пользователей используют одни и те же учетные данные (например, идентификатор пользователя и пароль), становится невозможно отслеживать доступ к системе и действия, совершенные этим пользователем. Это предотвращает назначение ответственности за действия или ведение эффективного журнала действий, поскольку любое действие может быть выполнено любым из участников группы, знающих идентификатор пользователя и связанные с ним данные для аутентификации.
Возможность связывать действия, выполненные с использованием идентификатора, с конкретным пользователем, является важным элементом для обеспечения индивидуальной ответственности и прослеживаемости относительно того, кто выполнил действие, какое именно действие было выполнено и когда оно было совершено.
Надлежащая практика:
Если используются общие идентификаторы по какой-либо причине, необходимо установить строгие управляющие меры для обеспечения индивидуальной ответственности и прослеживаемости.
Примеры:
Инструменты и методы могут облегчить управление и безопасность таких учетных записей, а также подтвердить личность пользователя до предоставления доступа к учетной записи. Организации могут рассматривать использование хранилищ паролей или другие системные средства управления, такие как команда sudo. Примером исключительного случая является ситуация, когда все другие методы аутентификации не сработали, и для экстренного использования или доступа администратора необходимо использовать общий идентификатор.