ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

- хранить файлы паролей отдельно от данных прикладных систем;

- хранить пароли в зашифрованной форме, используя односторонний алгоритм шифрования;

- обеспечивать смену паролей поставщика, установленных по умолчанию, после инсталляции программного обеспечения.

9.5.5 Использование системных утилит

На большинстве компьютеров устанавливается, по крайней мере, одна программа - системная утилита, которая позволяет обойти меры предотвращения неавторизованного доступа к операционным системам и бизнес-приложениям. Использование системных утилит должно быть ограничено и тщательным образом контролироваться. Для этого необходимо использование следующих мероприятий по управлению информационной безопасностью:

- использование процедур аутентификации системных утилит;

- отделение системных утилит от прикладных программ;

- ограничение использования системных утилит путем выбора минимального числа доверенных авторизованных пользователей, которым это необходимо;

- авторизация эпизодического использования системных утилит;

- ограничение доступности системных утилит (только на время внесения авторизованных изменений);

- регистрация использования всех системных утилит;

- определение и документирование уровней авторизации в отношении системных утилит;

- удаление всех ненужных утилит из системного программного обеспечения.

9.5.6 Сигнал тревоги для защиты пользователей на случай, когда они могут стать объектом насилия

Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия. Решение об обеспечении такой сигнализацией следует принимать на основе оценки рисков. При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги.

9.5.7 Периоды бездействия терминалов

Терминалы, размещенные в местах повышенного риска, например в общедоступных местах или вне сферы контроля процесса управления безопасностью организации, обслуживающие системы высокого риска, должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц. Механизм блокировки по времени должен обеспечивать очистку экрана терминала, а также закрытие работы сеансов приложения и сетевого сеанса терминала после определенного периода времени его бездействия. Время срабатывания блокировки должно устанавливаться с учетом рисков безопасности, связанных с местом установки терминала. Следует иметь в виду, что некоторые персональные компьютеры обеспечивают ограниченную возможность блокировки терминала по времени путем очистки экрана и предотвращения неавторизованного доступа, не осуществляя при этом закрытия сеанса приложений или сетевого сеанса.

9.5.8 Ограничения подсоединения по времени

Ограничения подсоединения по времени должны обеспечивать дополнительную безопасность для приложений высокого риска. Ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам, уменьшает интервал времени, в течение которого возможен неавторизованный доступ. Эту меру обеспечения информационной безопасности необходимо применять для наиболее важных компьютерных приложений, особенно тех, которые связаны с терминалами, установленными в местах повышенного риска, например, в общедоступных местах или вне сферы контроля управления безопасностью организации. Примеры таких ограничений:

- использование заранее определенных отрезков времени для пакетной передачи файлов или регулярных интерактивных сеансов небольшой продолжительности;

- ограничение времени подключений часами работы организации, если нет необходимости сверхурочной или более продолжительной работы.

9.6 Контроль доступа к приложениям