Безопасность регистрации
Ограничение количества регистрации
После того, как пользователь зарегистрировался в системе, может возникнуть необходимость ввести определенные ограничения на его или ее сеанс работы в системе. Если пользователь работает с важной информацией, то может появиться необходимость ввести в правила предписание, требующее блокирование доступа этого пользователя к информации других пользователей, или же выход из сети одновременно с другими пользователями. Те, кто имеет доступ к важным данным, должны понимать, какие возможны последствия, если зарегистрированную рабочую станцию оставить без присмотра при просмотре документов. В дополнение к правилам необходимо проводить инструктаж пользователей, чтобы они ни при каких обстоятельствах не нарушали секретность своего сеанса работы в системе.
Другим хорошим инструментом ограничения сеанса является ограничение времени работы пользователя в системе (например, только в течение рабочего времени) или же автоматический выход из системы посте истечения определенного времени бездействия станции, или выход в определенное время дня. Зачастую правила ограничения времени холостой работы рабочей станции или времени сеанса могут оказаться бесполезными. Во многих случаях они комбинируются с другими ограничениями сеансов работы в системе, чтобы создать основательную формулировку правил.
Пользователи обязаны разрегистрировать свою рабочую станцию, когда не работают на ней. Администраторы должны разработать процедуры, гарантирующие безопасность неиспользуемых рабочих станций путем их автоматической разрегистрации или другими способами, если они не являются активными в течение определенного периода времени, установленного во время обследования объекта.
Управление пользовательским доступом
Наряду с созданием пользовательских имен необходимо разработать директивы совокупного управления пользовательскими именами. Управление пользовательскими именами состоит из директив, которые предписывают, как создавать и аннулировать эти имена. Кроме того, в задачи управления входят следующие.
- Обработка неиспользуемых имен пользователей.
- Инструкции, касающиеся уволенных служащих или служащих, которые временно не работают.
- Удаление или защита пользовательских имен, присвоенных "по умолчанию".
- Разрешение или запрет анонимных пользовательских имен (таких как анонимный ftp).
- Требование распределения пользователей по группам или выполняемым функциям.
Несмотря на то, что эти задачи в правилах не определяются, можно включить список, наподобие представленного выше, в виде рекомендаций введения всех или некоторых этих требований в административные инструкции. Независимо от того, как разрабатываются правила, следует расписать эти моменты таким образом, чтобы административные инструкции не были сведены лишь к этим рекомендациям.
Привилегированный режим работы
Труднее всего разработать правила, в которых описываются скорее исключения, чем правила. Особые привилегии являются исключениями из правил, и такие предписания требуют особого подхода к работе и специальных инструкций, потому что они не должны нарушать другие правила и инструкции безопасности. Правила привилегированного режима работы должны быть написаны таким образом, чтобы не только разрешить работу в привилегированном режиме, но и в общих чертах описать, какие должны быть разработаны инструкции, и какими способами они должны внедряться. При разработке правил необходимо учесть, какими методами будет поддерживаться привилегированный режим. Нужно быть очень осторожным, разрабатывая правила такого рода. Ниже приведена очень простая формулировка, но вам необходимо учесть конкретные требования вашей организации и привести эту формулировку в соответствие с этими требованиями.
Для привилегированного режима работы должны быть написаны соответствующие инструкции, гарантирующие их четкое выполнение техническим персоналом организации. В этих инструкциях должны быть определены условия контроля выполнения, управления и пересмотра требований доступа.