Организации используют в своих информационных сетях программное обеспечение и процедуры по управлению учетными данными, чтобы облегчить управление цифровыми учетными данными пользователей и их цифровыми правами.
Эта категория решений соотносится со многими важнейшими категориями элементов управления в рамках обеспечения соответствия нормативным требованиям. Использование решений по управлению учетными данными является одной из самых распространенных рекомендаций консультантов по обеспечению соответствия нормативным требованиям. К примерам решений по управлению учетными данными можно отнести разработку процессов, обеспечивающих своевременную блокировку учетных записей, и процедур оценки элементов управления доступом к ресурсам данных.
Конкретные примеры
Управление проверкой подлинности, авторизацией и доступом
Для проверки подлинности пользователя обычно требуются его имя и пароль, однако могут использоваться и иные методы подтверждения личности, такие как смарт-карта, сканирование сетчатки глаза, распознавание голоса или отпечатков пальцев. Авторизация определяет, имеет ли пользователь, личность которого уже установлена, разрешения на доступ к запрошенным ресурсам. Предоставление или запрещение доступа зависит от многих факторов, в том числе от сетевого адреса пользователя, времени суток или используемого обозревателя.
Данный вид управления критически важен по отношению к ключевым принципам обеспечения безопасности — конфиденциальности, целостности и доступности. Например, большая часть функций службы каталогов Active Directory® в операционных системах Microsoft® Windows Server™ 2003/2008 предназначена для осуществления проверки подлинности, авторизации и управления доступом. Служба проверки подлинности в Интернете (IAS) представляет собой реализацию корпорацией Майкрософт сервера и прокси-сервера службы удаленной проверки подлинности RADIUS.
Как и RADIUS-сервер IAS выполняет централизованную проверку подлинности соединений, авторизацию и учет многочисленных типов сетевого доступа, в том числе подключения по беспроводным и виртуальным частным сетям (VPN). Как прокси-сервер службы RADIUS IAS пересылает сообщения с данными для проверки подлинности и учета на другие RADIUS-серверы.
Обучение
Чтобы обеспечить хорошие результаты работы, компании важно ознакомить служащих с ключевыми вопросами безопасности и соответствия нормативным предписаниям, организовав соответствующее обучение. Оно поможет создать критически важную взаимосвязь между людьми, процессами и технологиями, благодаря которой будет функционировать программа безопасности.
Решение задачи соответствия нормативным требованиям предполагает проведение обучения персонала по вопросам безопасности и соблюдения предписаний. Решения по обучению персонала по вопросам безопасности и соответствия нормативным требованиям в большинстве организаций представляют собой модификации существующих решений по обучению работе с программным обеспечением.
Физическая защита
Решения по физической защите обеспечивают безопасность физического доступа к системам и рабочим станциям в организации и управления ими.
Физическая защита имеет большое значение для обеспечения безопасности всей ИТ-инфраструктуры в организации. Практически все атаки, в ходе которых злоумышленник получает физический доступ к серверу, приводят к раскрытию или потере ресурсов организации. Квалифицированные поставщики услуг обычно выполняют для организаций индивидуализированную доработку решений по физической защите (в том числе и обеспечение защищенного доступа с применением смарт-карт), а после внедрения предоставляют услуги по их обслуживанию.
Выявление уязвимостей
В решениях по выявлению уязвимостей используются средства, позволяющие выполнить тестирование информационной системы организации на наличие слабых мест. Сотрудники ИТ-подразделений должны быть осведомлены об уязвимых местах в ИТ-инфраструктуре, чтобы иметь возможность эффективно их устранить.
Регулярная проверка компьютеров и серверов организации на наличие уязвимостей имеет чрезвычайно важное значение, поскольку обеспечивает управляемую платформу для выполнения бизнес-приложений. Отсутствие у руководства ИТ-подразделения информации об уязвимых местах системы означает отсутствие уверенности в том, что некоему злоумышленнику не удалось взломать защиту рабочей среды. Рабочая среда с нарушенной системой безопасности не может считаться управляемой и пригодной для выполнения бизнес-приложений в соответствии с нормативными требованиями.
Мониторинг и отчетность
Решения по мониторингу и отчетности позволяют собирать и анализировать данные журналов проверки подлинности и допуска в системы. (Все предлагаемые в настоящее время операционные системы включают функции ведения журналов.) Эти решения либо осуществляют сбор конкретных данных о соответствии тем или иным нормативным актам, либо используют существующие журналы, встроенные в операционные системы или пакеты программного обеспечения.
Подкатегорией мониторинга и отчетности является сбор, анализ и сопоставление данных всех журналов в организации. Иногда это достигается с помощью решения инструментального типа, которое позволяет эффективнее анализировать разнообразные данные в рамках всей организации. Решение такого типа дает руководству ИТ-подразделения возможность более точно определять наличие взаимосвязей между событиями.
Решения по мониторингу и отчетности включают методы проверки и контроля качества, гарантирующие обеспечение безопасности и конфиденциальности. Например, такие решения позволяют организациям обеспечить соответствие требованиям HIPAA, предписывающего аудиторам проводить оценку отдельных историй болезни.