Процедура регистрации (создания учётной записи) пользователя для сотрудника и предоставления ему (или изменения его) прав доступа к ресурсам АС инициируется заявкой начальника подразделения (отдела, сектора), в котором работает данный сотрудник. В заявке указывается:
o содержание запрашиваемых изменений (регистрация нового пользователя АС, удаление учётной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам АС ранее зарегистрированного пользователя);
o наименование подразделения, должность, фамилия, имя и отчество сотрудника;
o имя пользователя (учётной записи) данного сотрудника (при изменении полномочий и прав доступа);
o полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путём указания решаемых пользователем задач на конкретных рабочих станциях АС). Наименования задач должны указываться в соответствии с формулярами задач, наименования рабочих станций (компьютеров) - в соответствии с формулярами этих рабочих станций.
Если полномочий непосредственного начальника недостаточно, заявку может визировать вышестоящий руководитель, утверждая тем самым производственную необходимость допуска (изменения прав доступа) конкретного сотрудника к необходимым для решения им указанных задач ресурсам АС.
Затем руководители подразделений автоматизации и обеспечения безопасности ИТ рассматривают представленную заявку и подписывают задание соответствующим системным администраторам (серверов, баз данных) и администратору специальных средств защиты информации от несанкционированного доступа (СЗИ НСД) на внесение необходимых изменений в списки пользователей соответствующих подсистем.
На основании заявки (задания) системный администратор сети в соответствии с формулярами указанных задач (хранящихся в архиве эталонных дистрибутивов (АЭД) программ), и документацией на средства защиты сетевых операционных систем производит необходимые операции по созданию (удалению) учётной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам АС, включению его в соответствующие ролям задач группы пользователей и другие необходимые действия.
Аналогичные операции для систем управления базами данных (СУБД) выполняет администратор баз данных.
Администратор СЗИ НСД в соответствии с формулярами указанных задач и Руководством администратора системы защиты от НСД производит необходимые операции по регистрации нового пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора, например iButton) и прав доступа к ресурсам указанных в заявке рабочих станций, включению его в соответствующие задачам системные группы пользователей и другие необходимые операции.
После внесения изменений в списки пользователей администратор СЗИ НСД должен обеспечить соответствующие категориям защиты указанных рабочих станций настройки средств защиты. Проверка правильности настроек средств защиты должна осуществляться с участием сотрудника, ответственного за эксплуатацию конкретной рабочей станции, согласно «Порядку проверки работоспособности системы защиты после установки (обновления) программных средств АС и внесения изменений в списки пользователей».
По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписями исполнителей - системного администратора, администратора баз данных и администратора СЗИ НСД.
Сотруднику, зарегистрированному в качестве нового пользователя системы, под роспись сообщается имя соответствующего ему пользователя (учётная запись), выдаётся персональный идентификатор и личные ключевые дискеты (для работы в режиме усиленной аутентификации и работы со средствами криптографической защиты) и начальное(-ые) значение(-ия) пароля(-ей), которое(-ые) он обязан сменить при первом же входе в систему (при первом подключении к АС).
Исполненная заявка передаётся в подразделение и хранится в архиве у ответственного за информационную безопасность подразделения (при его отсутствии - у руководителя подразделения). Копии исполненных заявок могут находиться также в подразделении автоматизации (у системных администраторов) и в подразделении обеспечения безопасности ИТ. Они могут впоследствии использоваться:
o для восстановления бюджетов и полномочий пользователей после аварий в
o для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам автоматизированной системы при разборе конфликтных ситуаций;
o для проверки правильности настройки средств разграничения доступа к ресурсам автоматизированной системы.
Документы, регламентирующие порядок изменения конфигурации аппаратно-программных средств автоматизированной системы
Требования к документированию аппаратно программных средств автоматизированной системы
Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на сотрудников (пользователей данного АРМ) функциональных обязанностей. В соответствии с принципом «минимизации полномочий» все неиспользуемые в работе (лишние) устройства ввода- вывода информации на таких АРМ должны быть отключены (удалены), ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.
Все аппаратные и программные ресурсы защищённых компьютеров должны быть установленным порядком категорированы (для каждого ресурса должен быть определён требуемый уровень защищённости). Подлежащие защите ресурсы системы (информационные файлы, задачи, программы, АРМ) подлежат учёту (на основе использования соответствующих формуляров или специализированных баз данных).
Все программное обеспечение (разработанное специалистами организации, полученное централизованно или приобретённой у фирм-производителей) должно установленным порядком проходить испытания и передаваться в фонд алгоритмов и программ (архив эталонных дистрибутивов). В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из АЭД программные средства.Использование в АС ПО, неучтённого в АЭД, должно быть запрещено.
На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты (соответствующие категории данных АРМ).
Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).
