Обязанности администраторов
В предыдущем разделе этой главы были описаны, в основном, обязанности руководства по внедрению правил безопасности. Руководство может назначить администраторов для мониторинга и проверки соответствия, но об их обязанностях не было ничего сказано, так как это отнесли к деталям реализации. В правилах для администраторов необходимо указать те вопросы, за которые отвечает администратор.
Некоторые правила предназначены не только для системных администраторов или администраторов безопасности. В правилах администрирования могут быть также отражены административные обязанности, которые являются обязанностями лиц, ответственных за данные или за технологию, а также – обязанности пользователей. Эти правила охватывают вопросы административного согласования и внедрения, которые не входят в сферу административного управления.
В зависимости от полноты и широты охвата ваших правил количество вопросов, которые должны быть в них учтены, может показаться несметным. Прежде чем приступать к разработке правил, необходимо продумать, что именно должно входить в правила администрирования. Ниже представлен краткий список предлагаемых вопросов.
- Периодический пересмотр и повторная авторизация прав пользовательского доступа для служащих и подрядчиков.
- Требование достоверного учета всех пользователей, даже если они отнесены к другим руководителям или другому коллективу.
- Идентификация тех лиц, кто проводит учет пользователей систем и сетей.
- Сопровождение главной базы данных или каталога идентификационной базы пользователей и прав доступа.
- Выполнение операций по изменению прав и должностных обязанностей.
- Управление вспомогательными средствами, используемыми в работе по реализации положений этих правил.
- Контроль соответствия при переводе систем в онлайновый режим или их обновлении.
- Определение соглашений по присвоению имен для систем и других компонентов сети.
В правиле, которое имеет смысл обсудить особо, рассматривается, какие действия следует предпринять, когда служащий или подрядчик разрывает трудовое соглашение с организацией. Независимо от того, является это добровольным уходом или нет, администраторы должны разработать процедуры аннулирования права доступа к ресурсам организации. Поддерживая актуальность идентификационной базы пользователей, можно уберечь сеть от возможных атак.
Процедуры по работе с уволенными пользователями не должны входить в эти правила. Однако, предписаниями правил могут устанавливаться обязанности по решению вопросов в отношении уволенных пользователей. Некоторые из этих вопросов касаются назначения лиц, которые несут ответственность за своевременное аннулирование права доступа, освобождение ресурсов, выделенных этому пользователю, выявление в пользовательских ресурсах нарушений безопасности и других ошибок, а также за архивное хранение пользовательских файлов и других данных. Упрощенная формулировка, в которой говорится об аннулировании и архивном хранении, может выглядеть следующим образом.
Права доступа к ресурсам организации пользователей, которые разорвали трудовые отношения с организацией, должны быть немедленно аннулированы. Администраторы должны привести в порядок программы и другие данные, с которыми работали эти пользователи. Администраторы должны разработать процедуры аннулирования прав доступа этих пользователей.