Процедура авторизации сотрудников
Процедура регистрации (создания учетной записи) пользователя для сотрудника и предоставления ему (или изменения его) прав доступа к ресурсам АС инициируется заявкой начальника подразделения (отдела, сектора), в котором работает данный сотрудник. В заявке указывается:
· содержание запрашиваемых изменений (регистрация нового пользователя АС, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам АС ранее зарегистрированного пользователя);
· наименование подразделения, должность, фамилия, имя и отчество сотрудника;
· имя пользователя (учетной записи) данного сотрудника (при изменении полномочий и прав доступа);
· полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных рабочих станциях АС). Наименования задач должны указываться в соответствии с формулярами задач, наименования рабочих станций (компьютеров) - в соответствии с формулярами этих рабочих станций.
Если полномочий непосредственного начальника недостаточно, заявку может визировать вышестоящий руководитель, утверждая тем самым производственную необходимость допуска (изменения прав доступа) конкретного сотрудника к необходимым для решения им указанных задач ресурсам АС.
Затем руководители подразделений автоматизации и обеспечения безопасности ИТ рассматривают представленную заявку и подписывают задание соответствующим системным администраторам (серверов, баз данных) и администратору специальных средств зашиты информации от несанкционированного доступа (СЗИ НСД) на внесение необходимых изменений в списки пользователей соответствующих подсистем.
На основании заявки (задания) системный администратор сети в соответствии с формулярами указанных задач (хранящихся в архиве эталонных дистрибутивов (АЭД) программ), и документацией на средства защиты сетевых операционных систем производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам АС, включению его в соответствующие ролям задач группы пользователей и другие необходимые действия.
Аналогичные операции для систем управления базами данных (СУБД) выполняет администратор баз данных.
Администратор СЗИ НСД в соответствии с формулярами указанных задач и Руководством администратора системы защиты от НСД производит необходимые операции по регистрации нового пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора, например iButton) и прав доступа к ресурсам указанных в заявке рабочих станций, включению его в соответствующие задачам системные группы пользователей и другие необходимые операции.
После внесения изменений в списки пользователей администратор СЗИ НСД должен обеспечить соответствующие категориям защиты указанных рабочих станций настройки средств защиты. Проверка правильности настроек средств защиты должна осуществляться с участием сотрудника, ответственного за эксплуатацию конкретной рабочей станции, согласно «Порядку проверки работоспособности системы защиты после установки (обновления) программных средств АС и внесения изменений в списки пользователей».
По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписями исполнителей - системного администратора, администратора баз данных и администратора СЗИ НСД.
Сотруднику, зарегистрированному в качестве нового пользователя системы, под роспись сообщается имя соответствующего ему пользователя (учетная запись), выдается персональный идентификатор и личные ключевые дискеты (для работы в режиме усиленной аутентификации и работы со средствами криптографической защиты) и начальное(-ые) значение(-ия) пароля(-ей), которое(-ые) он обязан сменить при первом же входе в систему (при первом подключении к АС).
Исполненная заявка передается в подразделение и хранится в архиве у ответственного за информационную безопасность подразделения (при его отсутствии - у руководителя подразделения). Копии исполненных заявок могут находиться также в подразделении автоматизации (у системных администраторов) и в подразделении обеспечения безопасности ИТ. Они могут впоследствии использоваться:
· для восстановления бюджетов и полномочий пользователей после аварий в АС;
· для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам автоматизированной системы при разборе конфликтных ситуаций;
· для проверки правильности настройки средств разграничения доступа к ресурсам автоматизированной системы.
Тема 12
Дата добавления: 2018-03-01; просмотров: 1047;