Объявление

Свернуть
Пока нет объявлений.

Интеграция ИБ в порядок предоставления прав доступа

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Интеграция ИБ в порядок предоставления прав доступа

    Предлагаю поговорить о порядке предоставления прав доступа и как ИБ в идеале должна быть интегрирована в этот процесс.
    В старой версии ИББС 2006 года, был пункт, который убрали в редакции 2008 года и в принципе, стандарт не дает конкретный ответ на вопрос о роли ИБ в назначении прав доступа.

    СТО БР ИББС-1.0-2006

    8.2.9.5. Если в АБС обрабатывается информация, требующая по решению руководства защиты, то соответствующим распоряжением должен быть назначен администратор информационной безопасности.
    Допускаются назначение одного администратора информационной безопасности на несколько АБС, а также совмещение выполнения указанных функций с другими обязанностями. При этом совмещение в одном лице функций администратора АБС и администратора информационной безопасности АБС не допускается.
    8.2.9.6. Администратор АБС не должен иметь служебных полномочий (а при возможности и технических средств) по настройке параметров системы, влияющих на полномочия пользователей по доступу к информации.
    Однако он должен иметь право добавить в систему нового пользователя без всяких полномочий по доступу к информации, а также удалить из системы такого пользователя.
    Администратор информационной безопасности АБС должен иметь служебные полномочия и технические возможности по контролю действий соответствующих администраторов АБС (без вмешательства в их действия) и
    пользователей, а также полномочия (а при возможности и технические средства) по настройке для каждого пользователя только тех параметров системы, которые определяют права доступа к информации.
    Устанавливаемые права доступа к информации должны назначаться подразделением организации БС РФ, ответственным за эту информацию (владельцем информационного актива).
    Администратор информационной безопасности не должен иметь права добавить нового пользователя в АБС, а также удалить из нее существующего пользователя.
    В случае отсутствия у администратора информационной безопасности технических возможностей по настройке параметров АБС, влияющих на полномочия пользователей по доступу к информации, эти настройки выполняются администратором АБС, но с обязательным предварительным согласованием устанавливаемых
    прав доступа пользователей к информации с администратором информационной безопасности.
    Для каждой АБС должен быть определен порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ.
    32
    Администратор создает пользователя, ИБ назначает права
    12.50%
    4
    ИБ создает пользователя, Администратор назначает права
    0.00%
    0
    Администратор создает, назначает, ИБ подтверждает
    28.13%
    9
    С ИБ согласуются права, создает и назначает Администратор
    56.25%
    18
    ИБ не участвует в порядке предоставления прав доступа
    3.13%
    1
    Администраторы не участвуют в порядке предоставления прав доступа
    0.00%
    0

  • #2
    Роль ИБ - реализовать процедуру предоставления доступа, реализующую принципы least priveledges и separation of duties. Это достигается декларированием соответствующих требований в политике и регламентированием процедуры согласования прав доступа. Этим обеспечивается перенос риска на тех, кто в состоянии его оценить и имеет полномочия им управлять. Роль ИБ в согласовании заявок на доступ - убедиться, что установленный порядок согласования выполняется.

    Комментарий


    • #3
      Сообщение от barmalei Посмотреть сообщение
      ......
      В старой версии ИББС 2006 года, был пункт, который убрали в редакции 2008 года и в принципе, стандарт не дает конкретный ответ на вопрос о роли ИБ в назначении прав доступа.
      Ведь промелькнуло в какой-то презентации, что для системы ролей и управления ими в рамках СТО БР ИББС будет разработан отдельный документ. Может быть именно там этот выпавший из "Основных положений" кусок "парадигмального" текста и выплывет?

      Комментарий


      • #4
        Ну давай-те наконец забудет о "букве закона" и перейдем к "духу".
        1) Админ создает учетную запись без прав (или ее уничтожает).
        2) АИБ наделяет учетную запись нужными правами.
        Постольку поскольку технически это малореализуемо мы используем методику согласования заявок типа "Руководитель подразделения(необходимость подключения)->ИТ(возможность подключения)->Владелец ресурса (Целесообразность подключения)->Безопасники(Обоснованность подключения)". Вставляем АИБ в любую часть цепи и вуаля. Проще конечно при использовании ролевого управления и тем паче технологии SSO, но это уже на грани фантастики...

        А вот вопросы контроля за админами для меня остается загадкой...

        Комментарий


        • #5
          Где же правильный вариант ответа: "смотря кому из них это делегировал владелец актива, являющегося объектом доступа"?

          Комментарий


          • #6
            Мне, к сожалению, не понятно почему техническая возможность указанная в варианте: "Администратор создает, назначает, ИБ подтверждает", встречается так редко в современных программных средствах

            Комментарий


            • #7
              barmalei
              Имхо, вариант "не очень", т.к. остаётся "неприкрытым" временной промежуток между созданием аккаунта с набором прав и его утверждением.Что помешает админу на час-два "задержаться" с сообщением в ИБ о создании аккаунта и за эти два часа "натворить дел" из-под этого аккаунта?
              Всё в наших руках...(с)

              Комментарий


              • #8
                barmalei, окститесь, админа нельзя ограничить нигде и не в чем... Тут мы можем говорить только об орг. мерах..

                Комментарий


                • #9
                  Возможно так:
                  1. Администратору доступна роль только для заранее определенных действий (в том числе с идентификаторами (логин, временный пароль) пользователей). Возможна реализация разделения пароля администратора (желательно в "четыре руки" с ИБ);
                  2. Действия администратора аудируются ИБ (что при большом объеме собвтий аудита довольно непросто без автоматизации);
                  3. До передачи идентификаторов пользователю ответственность за его использование несет администратор.
                  4. Пользователь при первом подключении меняет временный пароль и вступает в сферу своей ответственности.

                  Комментарий

                  404 Not Found

                  404 Not Found


                  nginx
                  Обработка...
                  X