ГОСТ Р ИСО/МЭК 27019-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)

9 Управление доступом

 

9.1 Требования бизнеса к управлению доступом

9.1.1 Политика управления доступом

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 9.1.1, является следующей:

Кроме того, политика должна учитывать следующее:

a) применение условий и правил, касающихся использования групповых учетных записей, когда использование персональных учетных записей пользователей невозможно. Для обеспечения достаточного уровня безопасности и отслеживаемости следует определить четкие правила, касающиеся исключений, наряду с дополнительными мерами;

b) условия и правила, применимые к системам, которые не поддерживают строгую политику паролей или где такая политика паролей невозможна по эксплуатационным причинам. Для обеспечения достаточного уровня безопасности необходимо, в частности, определить дополнительные меры;

c) необходимость того, чтобы персонал и внешний персонал аварийно-спасательных служб мог обойти меры безопасности в условиях объявленной чрезвычайной ситуации;

d) доступ к услугам или приложениям со стороны систем, не имеющих надлежащей аутентификации (т.е. в контексте межмашинной связи). Для обеспечения достаточного уровня безопасности следует рассмотреть вопрос о контроле доступа к сети или других средствах.

Дополнительная информация для ИСО/МЭК 27002:2013, 9.1.1, является следующей:

IEC/TS 62351-8 дает дополнительные рекомендации по внедрению контроля доступа пользователей и автоматизированных агентов к объектам данных в энергосистемах с помощью ролевого контроля доступа.

9.1.2 Доступ к сетям и сетевым сервисам

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 9.1.2, является следующей:

Для защиты сетевого оборудования, обеспечивающего доступ к критическим сетям, необходимо учитывать следующее:

a) обеспечение физической защиты доступа к сетевому оборудованию, особенно в удаленных местах;

b) удаление или отключение с помощью программного обеспечения или физического отключения всех служб и портов сетевого оборудования, не требующихся для нормальной эксплуатации (например, неиспользуемые порты коммутатора), аварийная эксплуатация или техническое обслуживание, включая как коммуникационные порты, так и физические порты ввода - вывода.