Kontrola dostępu do systemu z sieci

Dostęp do zasobów systemu informatycznego

W ramach definiowania środków ochrony systemu informatycznego niezbędne jest określenie zasad dostępu do zasobów systemu  m.in. poprzez podanie do wiadomości użytkowników faktu istnienia określonego rodzaju zabepzieczeń, a także wskazanie odpowiedizalności  za ich implementację. Poniżej umiesciłem wybrane zapisy, które powinny się znaleźć w dokumentacji bezpieczeństwa, np. w polityce bezpieczeństwa. 

Korzystanie z zasobów systemu informatycznego poprzez sieć jest kontrolowane poprzez mechanizmy bezpieczeństwa systemu informatycznego Spółki oraz wdrożone środki organizacyjne, za których implementację i bieżące utrzymywanie odpowiada Administrator Systemu.

Funkcje kontrolne dotyczą następujących elementów:

  • stosowania właściwych interfejsów,

  • stosowania skutecznych środków identyfikacji zdalnych użytkowników i sprzętu,

  • kontroli dostępu użytkowników do funkcji systemu,

  • kontroli połączeń w sieci.

Administrator Systemu określa procedury logowania do systemu informatycznego w taki sposób, aby zminimalizować możliwość nieuprawnionego dostępu do zasobów systemu, przy czym procedury te powinny udostępniać minimum niezbędnych dla użytkownika informacji na temat systemu.

Administrator Systemu zapewnia, że stosowana procedura logowania do systemu informatycznego Spółki:

  • nie wyświetla identyfikatorów systemu lub aplikacji, dopóki cała procedura logowania się nie zostanie pomyślnie zakończona,

  • wyświetla ostrzeżenie, że system może być dostępny tylko dla autoryzowanych użytkowników,

  • w miarę możliwości nie dostarcza informacji pomocniczych, które mogą być wykorzystane do przeprowadzenia ataku komputerowego,

  • akceptuje wprowadzone informacje w trakcie logowania się jedynie w przypadku poprawnego wprowadzenia wszystkich danych, a w przypadku błędnych danych, system nie wskazuje, w której części dane są nieprawidłowe,

  • ogranicza liczbę nieudanych prób logowania do maksymalnie trzech przed podjęciem działań w celu:

    • zarejestrowania nieudanej próby,

    • wymuszenia czasu blokady do możliwości następnej próby logowania,

    • rozłączenia połączenia.

  • określa maksymalny i minimalny dozwolony czas na realizację procedury logowania, a jeśli czas przekroczy ustalone limity, system przerywa i zakańcza procedurę logowania,

  • wyświetla następujące informacje po pomyślnym zakończeniu procedury logowania:

    • datę i czas poprzedniego pomyślnego logowania,

    • szczegółowe dane o wszystkich niepomyślnych próbach logowania od ostatniej procedury zakończonej sukcesem.

Administrator Systemu każdemu uprawnionemu użytkownikowi przydziela unikalny identyfikator do osobistego, wyłącznego użytku, w celu możliwości ciągłego śledzenia działań w systemie pod kątem określenia odpowiedzialności indywidualnej za stwierdzone naruszenia zasad bezpieczeństwa.

Przyznany użytkownikowi identyfikator nie zawiera żadnych informacji w zakresie przywilejów użytkownika.

Administrator Systemu określa, dla których elementów systemu informatycznego jedna nieudana próba logowania powoduje natychmiastowe rozłączenie i nie zapewnia żadnej obsługi do czasu wyjaśnienia zdarzenia.


Posty o podobnej tematyce można znaleźć w kategorii Bezpieczeństwo oraz Infrastruktura krytyczna.

Publikacja jest dostępna na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.

logo.png
Utwory z tej strony są dostępne na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.
© 2012-2024 machnacz.eu. Powerd by ITbrain.

Kontakt

info@machnacz.eu

Search