Skip to main content

8.18 Użycie uprzywilejowanych programów narzędziowych

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczeństwo systemów i sieci, Bezpieczna konfiguracja, Bezpieczeństwo aplikacji
Obszary operacyjne: Ochrona

Kontrola

Użycie programów narzędziowych, które mogą omijać kontrole systemowe i aplikacyjne, powinno być ograniczone i ściśle kontrolowane.

Cel

Zapewnienie, że korzystanie z programów narzędziowych nie osłabi kontroli systemowych i aplikacyjnych w zakresie bezpieczeństwa informacji.

Wytyczne

Należy uwzględnić następujące zasady dotyczące użycia programów narzędziowych, które mogą omijać kontrole systemowe i aplikacyjne:

a) ograniczenie użycia programów narzędziowych do minimalnej praktycznej liczby zaufanych i autoryzowanych użytkowników (zob. 8.2);
b) stosowanie procedur identyfikacji, uwierzytelniania i autoryzacji dla programów narzędziowych, w tym unikalnej identyfikacji osoby korzystającej z programu;
c) definiowanie i dokumentowanie poziomów uprawnień dla programów narzędziowych;
d) wymóg autoryzacji dla jednorazowego (ad hoc) użycia programów narzędziowych;
e) uniemożliwienie dostępu do programów narzędziowych użytkownikom, którzy mają dostęp do aplikacji na systemach wymagających rozdziału obowiązków;
f) usuwanie lub wyłączanie wszystkich niepotrzebnych programów narzędziowych;
g) co najmniej logiczna separacja programów narzędziowych od oprogramowania aplikacyjnego; jeśli to możliwe, segregacja komunikacji sieciowej tych programów od ruchu aplikacyjnego;
h) ograniczenie dostępności programów narzędziowych (np. tylko na czas zatwierdzonej zmiany);
i) rejestrowanie wszystkich przypadków użycia programów narzędziowych.

Inne informacje

Większość systemów informatycznych posiada jeden lub więcej programów narzędziowych, które mogą omijać kontrole systemowe i aplikacyjne. Przykłady to: diagnostyka, aktualizacje oprogramowania, antywirusy, defragmentatory dysków, debugery, narzędzia do tworzenia kopii zapasowych i zarządzania siecią.