Контакты
Подписка
МЕНЮ
Контакты
Подписка

Журнал учета сетевых паролей и паролей доступа к ИСПДн - Форум по вопросам информационной безопасности

Журнал учета сетевых паролей и паролей доступа к ИСПДн - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 >

Автор: Jud | 30026 22.07.2011 11:15
Ну чтож, человек я подвинный, сказали сделать журналы - делаем.
А вот с журналом учета посещений в сервеную комнату, аналогичная ситуация? никаких требований со стороны законодательства?

Автор: Зашедший | 30031 22.07.2011 11:32
Хранить сами пароли в едином журнале нельзя, уже исходя из чистой логики.

Пароли, я так допускаю, хранить нужно, но владелец пароля должен привести его на носителе (бумажном, электронном), носитель запечатать в конверт, конверт отдать на сохранение в сейфе отдела ИБ.

Вместо, журнала, я так полагаю, будет более правильным оформление Разрешительной системы доступа с приложением в виде Матрицы доступа. По данному документу всегда можно понять кто и на какие ресурсы имеет определенные права. Имеет человек доступ к серверу, значит - у него есть и пароль от администрирования сервера (точнее пароль не всегда может быть, ситуации разные, можно администрировать сервак и в присутствии сисадмина).

Автор: вован | 30034 22.07.2011 11:43
Автор: Jud | 30026 А вот с журналом учета посещений в сервеную комнату, аналогичная ситуация?

не так.

Автор: Jud | 30026 никаких требований со стороны законодательства?

Конкретно по "серверной" есть в отраслевых НМД.
В прочих рассматриваются "помещения".
точка зрения меняется в связи с конкретным статусом помещения либо оборудования в нём.
Если в серверной есть ключи шифрования..........

но есть несколько нюансов, которые действуют всегда.
1. если серверная есть в перечне помещений ограниченного доступа, то доступ в помещение регулируется инструкцией и списком доступа.
2. Если доступ в серверную управляется СКУД по карточке, то журнал доступа ведётся в логе СКУД.
3. если помещение записано в журнале охраны то приём-сдача помещения под охрану фиксируется. или приём-выдача ключей.

Если помещение аттестовано...
Если в помещении находится железо ИСПДн...

журнал такой пусть будет.

Автор: Прохожий | 30045 22.07.2011 12:36
Уважаемые - все что достаточно логично для ГТ для КТ не всегда подходит.
Господа из ФСТЭК просто переписали в СТР-К норму из грифованных документов - а Вы теперь спорите.

В ГТ предполагается именно в журнале записывать пароль а выдавать его под роспись на отд. грифованном листке в виде выписки.
У всех есть сейфы и все там и хранится.

Для КТ это не комильфо.
Ну нет сейфов у людей
Нет формы 7 и проч и проч...

У Вас же пароли все хранятся у админа а не у секретчика и чего вы спорите?
И раздает Вам их админ и у себя вы копию должны держать только в голове а не на бумажке приклеенной к монитору или к обратной стороне клавы.

Такое впечатление что схоластика рулит....?....
ну включите же мозги на секундочку - этого хватит.

Автор: Jud | 30046 22.07.2011 12:38
Большое спасибо за советы!

Зашедший

Значит можно создать матрицу доступа к ИСПДн, указать определенные группы что-то вроде администратор безопасности, операторы, имеющие право записи в ИСПДн, операторы, имеющие право чтения, разграничить им доступ и завести для каждой группы свой пароль, пароли хранить в сейфе..т.е. получается, что сам факт наличия пароля можно определить из матриы доступа, а сами пароли в сейфе, так я Вас понимаю? а как фиксировать такую информацию как дата выдачи, дата смены пароля..для этого всё-таки требуется журнал? если использовать журнал, но отмечать там сам факт выдачи пароля, а пароль хранить, как Вы говорите в сейфе?

Автор: Зашедший | 30052 22.07.2011 13:04
>>Значит можно создать матрицу доступа к ИСПДн<<
Вообще-то такой документ должен быть всегда для АС. Не знаю как по требованиям ИСПДн, но СТР-К обязывает иметь наличие РСД.

>>получается, что сам факт наличия пароля можно определить из матриы доступа, а сами пароли в сейфе, так я Вас понимаю?<<
Я не претендую на правильность своего мнения, но ответ на вопрос - да, факт наличия пароля косвенно проистекает из матрицы доступа (РСД), а копия пароля должна хранится в надежном месте.

>> как фиксировать такую информацию как дата выдачи, дата смены пароля<<
Выдача пароля не всегда может быть завязана на журнал. Человек пишет заявку на получение прав доступа к ресурсу. На основании этой заявки ему дают доступ с соответствующим логином-паролем. Процедура доступа к ресурсам должна быть регламентирована, например, в документе "Положение о предоставлении доступа к информационным ресурсам ...", разрабатываемым и утверждаемым на предприятии.

Смена пароля должна быть регламентирована в "Инструкции по парольной политике" или подобном документе.

Факт выдачи и смены пароля, таким образом, регламентированы. Человек же просто будет в соответствии с регламентом менять опечатанный конверт в сейфе.

Но, каюсь своим сообщением, Вы, *Jud* поставили меня в тупик. Я вот подумал, а что, если человек имеет 10-20 паролей от разных ресурсов... ему же тогда держать 10-20 конвертов в сейфе что ли?!.

При этом и ни в каком Журнале хранить пароли нельзя. Тогда как же иметь копию пароля?

Короче, в вопросе темы я пока пас. Нужно анализировать.

Добавлю лишь, что на практике всё обходится одной лишь "Инструкцией по парольной защите", обязывающей надежно хранить пароль и выполнять требования к его формированию. Самим паролем и его возможными копиями, никто кроме его обладателя не располагает.

Автор: вован | 30054 22.07.2011 13:07
Автор: Прохожий | 30045 У Вас же пароли все хранятся у админа а не у секретчика и чего вы спорите?
И раздает Вам их админ и у себя вы копию должны держать только в голове а не на бумажке приклеенной к монитору или к обратной стороне клавы.

извините, но без уточнения этот метод неприемлем. Админ может использовать чужие рег.данные (при определённых условиях) для совершения противоправных действий. Поэтому полученный от админа пароль пользователя при первичной регистрации сразу же меняется.

Автор: Прохожий | 30070 22.07.2011 15:57
2 вован 30054
Из сути вашего вопроса можно сделать вывод что вы все поняли и просто пытаетесь постебаться...
Просто решили упростить и обострить?
Ну -ну
...Поэтому полученный от админа пароль пользователя при первичной регистрации сразу же меняется...

И админ никак его просмотреть не сможет?
А если брейкдаун?
Другое дело - не должен он обычно это делать и там лазить ему тоже незачем

Защита от админа занятие вредное или не полезное - проще избавиться (если нет доверия)

Прошло несколько лет

Автор: Манипулятор | 57905 23.07.2015 13:03
Темка старая, но да решил немного освежить.

Некоторые соображения
1) Считаю, что для пользователей пароли должны выдавать администраторы ИБ поскольку это является фактором безопасности информации - доступности. Если пользователь забудет свой пароль, то может оказаться, что получить доступ к его учетной записи (будь-то ОС или конкретное программное обеспечение) будет проблематично и как минимум потребует дополнительного времени, если же будет резерв пароля у АИБ, то вопрос решиться значительно быстрее.
2) Вопрос как именно резервировать пароли. Можно конечно отдельную бумажку заводить и держать их в сейфе, но почему бы эти отдельные бумажки не скрепить в один журнальчик и так же хранить его в сейфе? Доступ к нему будет иметь только АИБ. Тоже самое, только более организованно.

Нет?

Автор: Манипулятор | 57906 23.07.2015 13:11
Темка старая, но да решил немного освежить.

Некоторые соображения
1) Считаю, что для пользователей пароли должны выдавать администраторы ИБ и хранить их копии у себя поскольку это является фактором безопасности информации - доступность.
Если пользователь забудет свой пароль, то может оказаться, что получить доступ к его учетной записи (будь-то ОС или конкретное программное обеспечение) будет проблематично и как минимум потребует дополнительного времени, если же будет резерв пароля у АИБ, то вопрос решится значительно быстрее.
2) Вопрос лишь в том: как именно резервировать пароли? Можно конечно отдельную бумажку заводить и держать их в сейфе, но почему бы эти отдельные бумажки не скрепить в один журнальчик и так же хранить его в сейфе? Доступ к нему будет иметь только АИБ.

Нет?

Страницы: < 1 2 3 >

Просмотров темы: 33034

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*