Читайте также: |
|
4.1. Обязательному протоколированию в системных журналах ИС подлежат события:
· регистрации пользователей в ИС;
· наделения правами доступа;
· изменения прав доступа;
· аннулирования и блокирование прав доступа.
4.2. В рамках протоколирования должны в обязательном порядке отслеживаться следующие параметры событий:
· дата и время события;
· имя пользователя совершившего операцию по изменению набора прав доступа;
· системный объект, над которым произошло событие;
· описание события (состав набора прав доступа);
· имя пользователя, которому производится изменение набора прав доступа.
4.3. Срок хранения записей в системных журналах ИС составляет один год (в случае наличия технической возможности). Для увеличения срока хранения записей журналов, они могут быть переписаны на съемный носитель.
4.4. Должна быть реализована невозможность внесения изменений в системные журналы ИС.
4.5. УИБ СБ должен быть обеспечен постоянный доступ к таким журналам. По любому факту регистрации или изменения, аннулирования и блокировки прав доступа УИБ СБ имеет право получить информацию, документально подтверждающую вышеуказанный факт (предоставить согласованную заявку). В случае отсутствия документального подтверждения УИБ СБ инициирует расследование согласно установленному в Банке порядку.[4]
4.6. УИБ СБ периодически (ежегодно) осуществляет инвентаризацию прав доступа к бизнес-критичным[5] ИС и ресурсам КС (для остальных ИС не реже раза в 2 года):
· УИБ СБ направляет Владельцу и эксплуатирующему подразделению ИС запрос на выборку пользователей (в разрезе подразделений и ФИО), ролей и прав доступа назначенных данным пользователям;
· Владелец ИС и ресурса КС предоставляет выборку в УИБ СБ в согласованном формате;
· УИБ СБ рассылает данные из выборки по руководителям подразделений с запросом на актуализацию прав доступа;
· Руководители подразделений проводят актуализацию прав доступа и предоставляют ответ в УИБ в виде подтверждения прав доступ, запросов на изменение, на аннулирование или блокировку прав доступа;
· УИБ СБ анализирует полученные данные на отсутствие сочетания ролей, которые не могут быть предоставлены одному пользователю, документирует и обобщает актуализированные данные по правам доступа и направляет их Владельцу и эксплуатирующему подразделению ИС для внесения соответствующих изменений;
· УИБ СБ составляется Акт по результатам проведенной инвентаризации прав доступа к ИС/ресурсам КС.
Дата добавления: 2015-07-08; просмотров: 137 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Порядок предоставления доступа к ИС и ресурсам КС Банка | | | Административные процедуры |