ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

Обеспечение информационной безопасности при осуществлении маршрутизации основывается на надежном механизме контроля адресов источника и назначения сообщения. Преобразование сетевых адресов также очень полезно для изоляции сетей и предотвращения распространения маршрутов от сети одной организации в сеть другой. Этот подход может быть реализован как программным способом, так и аппаратно. Необходимо, чтобы специалисты, занимающиеся внедрением, были осведомлены о характеристиках используемых механизмов.

9.4.9 Безопасность использования сетевых служб

Общедоступные и частные сетевые службы предлагают широкий спектр дополнительных информационных услуг, обладающих характеристиками безопасности и обеспечивающих разные уровни защиты. Организации, пользующиеся этими услугами, должны быть уверены в том, что при этом обеспечивается необходимый уровень информационной безопасности и имеется четкое описание атрибутов безопасности всех используемых сервисов.

9.5 Контроль доступа к операционной системе

Цель: предотвращение неавторизованного доступа к компьютерам.

На уровне операционной системы следует использовать средства информационной безопасности для ограничения доступа к компьютерным ресурсам. Эти средства должны обеспечивать:

а) идентификацию и верификацию компьютера пользователя и, если необходимо, терминала и местоположение каждого авторизованного пользователя;

б) регистрацию успешных и неудавшихся доступов к системе;

в) аутентификацию соответствующего уровня. Если используется система парольной защиты, то она должна обеспечивать качественные пароли (9.3.1 г);

г) ограничение времени подсоединения пользователей, в случае необходимости.

Другие методы контроля доступа, такие как "отклик-отзыв", являются допустимыми, если они оправданы с точки зрения бизнес-рисков.

9.5.1 Автоматическая идентификация терминала

Следует рассматривать возможность использования автоматической идентификации терминала, чтобы аутентифицировать его подсоединение к определенным точкам системы. Автоматическая идентификация терминала - метод, который должен использоваться, если важно, чтобы сеанс мог быть инициирован только с определенного места или компьютерного терминала. Встроенный или подсоединенный к терминалу идентификатор может использоваться для определения, разрешено ли этому конкретному терминалу инициировать или получать определенные сообщения. Может быть необходимым применение физической защиты терминала для обеспечения безопасности его идентификатора. Существуют другие методы, которые можно использовать для аутентификации пользователей (9.4.3).

9.5.2 Процедуры регистрации с терминала

Доступ к информационным сервисам должен быть обеспечен путем использования безопасной процедуры входа в систему (способ регистрации). Процедуру регистрации в компьютерной системе следует проектировать так, чтобы свести к минимуму возможность неавторизованного доступа и не оказывать помощи неавторизованному пользователю. Правильно спланированная процедура регистрации должна обладать следующими свойствами:

а) не отображать наименований системы или приложений, пока процесс регистрации не будет успешно завершен;

б) отображать общее уведомление, предупреждающее, что доступ к компьютеру могут получить только авторизованные пользователи;

в) не предоставлять сообщений-подсказок в течение процедуры регистрации, которые могли бы помочь неавторизованному пользователю;

г) подтверждать информацию регистрации только по завершении ввода всех входных данных. В случае ошибочного ввода система не показывает, какая часть данных является правильной или неправильной;

д) ограничивать число разрешенных неудачных попыток регистрации (рекомендуется три) и предусматривать: