Электрондық үкімет

Ақпараттық қауіпсіздік саясаты стратегияны хабарлайды және құрамдас бөлігінің ақпаратық қауіпсіздігін басқаруға қатынасын сипаттайды. Ол ұстауы тиіс:
• ақпараттық қауіпсіздікті, оның негізгі мақсаттарын, ақпаратты бірлесіп пайдаланудың кепілдік механизмі ретінде қауіпсіздіктің маңыздылығын анықтайды;
• шешілген міндеттерге сәйкес ақпараттық қауіпсіздіктің мақсаттары мен ұстанымдарын қолдау жөніндегі шаралар;
• мақсаттарға және басқару құралдарына, оның ішінде тәуекелдерді бағалау, сондай-ақ тәуекелдерді басқару құрылымдарына жетістікке жету жөніндегі іс-шаралар;
• нормативтік, құқықтық, шарттық актілердің талаптарына сәйкес ұстанымдарды, стандарттарды түсіндіру;
• ақпараттық қауіпсіздікті басқару, оның ішінде ақпараттық қауіпсіздіктің қақтығысы туралы хабарлау жөніндегі жалпы және арнаулы міндеттерді анықтау;
• қауіпсіздік саясатын қолдай алатын құжаттамаларға сілтеме (пайдаланушылардың сақтауы тиіс қауіпсіздіктің рәсімдерін немесе қауіпсіздік ережесін егжей-тегжейлі баяндау).
2. Персоналдың қауіпсіздігі
Персоналдың рөлі мен міндеті
Ақпараттық қауіпсіздік саясатына сәйкес, қызметкерлердің, келісім шарт жасайтын агенттің және үшінші тарап пайдаланушыларының рөлдері мен міндеттері құжаттандырылуы тиіс.
Қауіпсіздік жөніндегі рөлі мен міндетін талап етуге қосуы тиіс, қатысты:
• ақпараттық қауіпсіздік саясатына сәйкес іс-қимылдар;
• оларды пайдалану үшін рұқсатсыз қол жеткізуден, ашудан, өзгертуден, жоюдан немесе кедергіні құрудан ресурстарды қорғау;
• ақпараттық қауіпсіздікке байланысты анықталған үдерістерді және іс-шараларды орындау;
• жұмыстарды орындаған кезде бөлек тұлғаларға тапсырылған міндеттерді кепілді орындау;
• қауіпсіздіктің оқиғалары немесе басқадай қауіпсіздіктің тәуекелдері туралы хабарлама.
Құзыреттілік, оқыту және тренингтер
Құзыреттіліктің ең аз деңгейін анықтау қажет, онда бар пайдаланушы есебінде ақпараттық жүйелермен жұмыс жасауға қол жеткізуді жорамалдайды.
Ақпараттық жүйелерге қызмет көрсетумен айналысатын қызметкерлердің құзыреттілігіне, біліктілігіне, білімі мен тәжірибесіне талап етуді анықтау. Қызметтік міндетті орындау үшін ақпараттық жүйелермен және өз білімін үнемі жаңғыртуға жұмыс жасау үшін барлық қызметкерлердің сәйкес білім деңгейі болуы тиіс.
Қауіпсіздік талаптарына, заңдылық міндеттерге және өндірістік қызметті басқару құралдарына оқытуды жалғастырумен, қауіпсіздік саясаты жүйесімен танысу үдерісінен бастап құзыреттілік деңгейіне жету мақсатында қажеттілік болған кезде оқыту кезеңін әкелу.
3. Әкімшілендіру
Жұмыс рәсімдері мен міндеттер
Құралдармен ақпараттардың өңдеуін басқару бойынша және олармен жұмыс жасау жөніндегі міндеттерді анықтау, сәйкес жұмыс рәсімдерін әзірлеу.
Жұмыс рәсімдерін құжаттандыру
Жұмыс рәсімдері құжаттандырылуы тиіс, олардың қызмет көрсетілуін және оларға қол жеткізу мен барлық пайдаланушыларын беруді мезгілінде жүргізу.
Құжаттандырылған рәсімдер, байланыс құралдарымен және ақпараттарды өңдеу құралдармен жұмыс жасаған кезде жүйелермен орындалатын операцияларға дайын болуы тиіс. Жұмыс рәсімдерінде әрбір міндеттерді орындау бойынша нақты нұсқамалар келтірілуі тиіс:
• ақпаратты өңдеу және онымен айналысу;
• ақпаратты резервтік көшіру, мерзілімділігі;
• жоспарлауға, оның ішінде басқадай жүйелермен өзара байланыс, жұмыстың ең ерте басталуы мен ең кеш аяқталуының уақытына талап;
• қателерді өңдеу немесе басқадай ерекше жай-күй жөніндегі нұсқама, ол міндеттерді орындау, оның ішінде жүйелік қосалқы бағдарлама пайдалануға шектеу барысында пайда болуы мүмкін;
• күтпеген операциялық немесе техникалық қиыншылықтар пайда болған жағдайда байланыстарды қолдау;
• арнайы ақпаратты шығару және ақпаратты алып жүрушіге қатынасу жөніндегі нұсқама, мысалға, сәтсіз аяқталған міндеттер үшін қортынды нәтижелерін қауіпсіз жою жөніндегі рәмідерді қоса алғанда, баспа құрылғылары немесе жабық қортындыны басқару жөніндегі үшін арнаулы қағазды пайдалану бойынша;
• жүйенің істен шығуынан кейін падаланылатын қайта жіберу және жүйені қалпына келтіру;
• аудиттің есеп беруін және жүйе туралы ақпараттар жөніндегі есеп беруді басқару.
Жүйелердің операцияларын құжаттандыратын жұмыс рәсімдері нысандық құжаттар есебінде айтылуы тиіс және оларда өзгерістер енгізілуі тиіс емес. Онда ол техникалық орындалатын ақпараттық жүйелер, бірдей рәсімдерді, аспаптық құралдар мен пайдакүнімделікті пайдаланумен біркелкі басқарылуы тиіс.
Резервтік көшіру
Олардың мезгілінде қалпына келтіру үшін көшіру саясатын және деректердің резервтік көшірмелерін беру стратегиясын анықтау.
Келісілген көшіру саясатымен сәйкес деректердің резервтік көшірмесі және бағдарламалық қамтамасыз етуі үнемі құрылуы және тестіленуі тиіс.
Ақпаратты немесе апатты алып жүрушінің бас таруынан кейін барлық ақпараттар мен бағдарламалық қамтамасыз етуді кепілді қалпына келтіретін резервтік көшіру үшін сәйкес құралдарды анықтау.
Деректерді көшірген кезде мынадай факторларды ескеру қажет:
• резервтік көшіруге жататын ақпараттар құрамын анықтау;
• резервтік көшіру бойынша дәл және толық есеп берулерді шығару, көшіру рәсімдерін құжаттандыру және ақпараттарды қалпына келтіру;
• резервтік көшірудің көлемін (толық немесе таңдаулы резервтік көшіру) және оның орындалу жиілігін анықтау;
• жұмыс деректерін қалпына келтіру рәсімдерінің жұмыс жасауы үшін, тағайындалған мерзімге аяқталуына олардың тиімділігі мен мүмкіншілігін кепілдендіру үшін, ақпараттарды қалпына келтіру рәсімдерін тестілеу және рәсімдеу мүмкіншілігі;
• резервтік көшірмелер шифрлаумен қорғалуы тиіс;
• үздіксіз жұмыс жасау талаптарына сәйкес оларды кепілдендіру үшін, тестілеу мерзімділігіне көшіру жүйелерінің тізбегін анықтау;
• зілзала нәубеті немесе апаттан кейін жүйені толықтай қалпына келтіру үшін (резервтік көшіру барлық ақпараттық жүйені, қосымшаны, деректерді қамтуы тиіс) қажетті резервтік көшірудің тәртібі;
• ақпараттарды сақтау, сондай-ақ әрдайым сақталатын мұрағаттық көшірмелер үшін уақыт мерзімін анықтау.
Ақпаратты қалпына келтіру және резервтік көшіру үдерістерін оңайлату үшін резервтік көшіру бойынша операциялардың тізбегі автоматтандырылуы мүмкін. Іске асыру мен үнемі орындалудың алдында осындай автоматтандырылған шешім жеткілікті дәрежеде тестіленуі тиіс.
4. Жалпы қол жеткізуімен ақпаратты қорғау
Қол жетімді ақпараттың тұтастығы рұқсатсыз өзгертуден қорғалуы тиіс. Ақпараттық жүйеде жалпыға қол жетімді жасалған тұтастықты талап ететін, бағдарламалық қамтамасыз ету, деректер, басқадай ақпарат сәйкестендірілген механизмдермен қорғалуы тиіс. Жалпы пайдаланатын жүйе ақпаратын пайдаланар алдында онда осал орынның бар болуына және тұрақтылықтан бастартуға тестіленуі тиіс.
Соған дейін, ақпарат жалпы қолжетімді болғанда, осы қол жетімділіктің рұқсат етілетін нысандық үдерісі орындалуы тиіс. Одан басқа, сыртқы жүйеден келіп түскен барлық кіріс ақпараты тексерілуі және рұқсат етілуі тиіс.
5. Оқиғаларды тіркеу журналы
Оқиғаларды тіркеу журналы (және шартта әдейі ескертілген мерзім бойына сақталуы) құрастырылуы тиіс, онда пайдаланушының операциясы, ерекше жай-күйі, ақпараттық қауіпсіздік оқиғаларының ақпараты тіркеледі. Оқиғаларды тіркеу журналдарының есеп берулері мынадай ақпараттарды қосуы тиіс (қажет болған кезде):
• пайдаланушылардың идентификаторлары (растаулары);
• негізгі оқиғалар туралы уақыты, күні және нақты ақпараты, мысалға жүйеден шығуының тіркелуі;
• терминалдың идентификаторы немесе орналасқан орны, егер бұл мүмкін болса;
• жүйеге қол жеткізудің табысты және табыссыз әрекет жасау бойынша есеп беру;
• табысты алынған деректер мен ауытқыған деректер бойынша және басқадай ресурстарға қол жеткізуге әрекет жасау бойынша есеп беру;
• жүйенің кескін үйлесімінде өзгертулерге;
• артықшылығы барды пайдалану бойынша;
• қосымшаларды және жүйелік қосалқы бағдарламаны пайдалану;
• қол жеткізуі және қол жеткізудің түрі жүзеге асырылған файлдар;
• желілік адрестер және хаттамалар;
• қол жеткізуді басқару жүйесімен құрылғанды хабарлау;
• активтену және қорғау жүйесінің жұмыс жасауының тоқтауы, мысалға, антивирустік жүйелер, басып кіруін айқындау жүйелері;
• аудиттің есеп беруі ішкі, жасырын жеке деректерді ұстауы мүмкін, олардың құпиялығын қорғау жөніндегі сәйкес шаралар қабылдануы тиіс;
• жүйелік әкімшілер өз бастамасы бойынша журналдардағы есеп берулерді кетіруге немесе олардың құрылуын үзіп тастауға рұқсат алуы тиіс емес.
6. Жүйелерді пайдалану мониторингі
Құралдарды, ақпараттарды өңдеуді бағдарламалық қамтамасыз етуін, пайдалану мониторингінің сәйкес рәсімі әзірленуі және іске асырылуы тиіс. Әрбір құрал үшін талап етілетін мониторинг деңгейі техно-жұмыстық жобалау барысында анықталуы тиіс. Ақпараттық қауіпсіздік пен мониторингке қолданылатын қолданыстағы нормативтік құқықтық актілердің барлық талаптары сақталуы тиіс. Мынадай мәселелерді назарыңызға қабылдауыңыз қажет:
• қол жеткізуді, оның ішінде тіркеудің нақты ақпаратын бекіту:
o пайдаланушының идентификаторы (ID);
o негізгі оқиғалардың күні мен уақыты;
o оқиғалардың түрлері;
o қол жеткізуі жүзеге асырылған файлдар;
o пайдаланған бағдарламалар мен жүйелік қосалқы бағдарлама;
• барлық ерекше артықшылық операциялар:
• ерекше артық есеп жүргізу жазбаларын пайдалану, мысалға, супервизорды, (root) әзірлеушісін, әкімшіні;
• жүйені іске қосу және тоқтату;
• енгізу – шығару құрылғыларын бекіту және босату;
o рұқсат етілмейтін қол жеткізудің әрекет етулері:
o пайдаланушының сәтсіз немесе ауытқыған операциялары;
o деректермен және басқадай ресурстармен сәтсіз немесе ауытқыған операциялары;
o желілік шлюздер және желіаралық экрандар үшін қол жеткізу және хабарлама құқығының бұзылуы;
o басып кіруін айқындаған жүйелердің ескертуі;
• ескерту немесе жүйелердің істен шығуы, мысалға:
o консольға шығарылған ескерту немесе хабарлама;
o жүйенің айрықша жай-күйі бойынша есеп берулері;
o желілерді басқаруды жүйелерге ескерту;
o қол жеткізуді басқару жүйесімен құрылғанды хабарлау;
• қауіпсіздік жүйелерін және басқару құралдарын күйге келтіруді өзгерті немесе өзгертуге әрекет қылу.
Мониторинг нәтижелерінің қарау жиілігі тартылған тәуекелдермен анықталуы тиіс. Тәуекелдің факторы қаралуы тиіс, оның ішінде:
• қосымшалар үдерістерінің сыншылдығы;
• ақпараттарды талдаудың маңыздылығы, сезімталдығы, және сыншылдығы;
• жүйеге енудің және оны жөнсіз пайдаланудың өткен тәжірибесі, пайдалану жиілігінің ақсайтын жері;
• жүйелер байланыстығының дәрежесі (әсіресе жалпы пайдаланудағы желілермен);
• пайдалануы тоқтатылған құралдардың есеп беруі.
Құрылған есеп берудің тексеруі қатерлердің талдауын, онымен қақтығысқан қорғау Жүйесін және олардың пайда болу табиғатын қосуы тиіс.
7. Оқиғаларды тіркеу журналында деректерді қөорғау
Оқиғалар және құралдар журналдарындағы ақпараттар қастандық жасайтындардың жасанды көшірмесінен және рұқсатсыз қол жеткізушілерден қорғалуы тиіс. Басқару құралдары есеп берулерге рұқсатсыз өзгеріс енгізуден және есеп берулерді құру құралдарының жұмыс жасауына кедергілерден қорғауды қамтамасыз етуге талпынуы тиіс, оның ішінде
• тіркелген хабарлама түрлерінің өзгеруі;
• есеп беру файлдарын редакциялау және жою;
• онда есеп берулер сақталатын ақпараттарды алып жүрушілердің сыйымдылығын арттыру, нәтижесінде оқиғалар жазбаларының немесе соңғы тіркелген оқиғаларының қайта жазбаларының істен шығуының неден болуы;
• есеп беру жазбаларын сақтау ережелерімен сәйкес (немесе ақпараттарды растайтындарды жинау және сақтау жөніндегі талаптарды орындау үшін) аудиттің кейбір есеп берудің мұрағаттануын жасайды;
• екінші есеп беруге хабарламалардың сәйкестендірілген түрлерін автоматтық түрде көшірілуі немесе сәйкестендірілген жүйелік қосалқы бағдарламаларды пайдаланылуы немесе есеп берулер файлдарының талдауын орындау үшін аудиттің аспаптық құралдары мүмкіншілігін қарастыру;
• жүйелік есеп берулер, себебі өзгерген немесе олардағы деректерді жойған кезде қорғалуы тиіс, қолданыстағы есеп берулер қауіпсіздік туралы жалған әсер құруы мүмкін.
8. Әкімшінің және оператордың журналы
Журналдар жасалуы тиіс, онда жүйелердің әкімшісімен және операторымен орындалған операциялар тіркеледі.
Есеп берулер ұстауы тиіс:
• оқиға болған уақыт (операциялардың табысты немесе табыссыз аяқталуы);
• оқиғалар туралы ақпарат (мысалға, кері файлдар) немесе өзі туралы (мысалға, қате болды, және оны түзету бойынша операциялар қабылданды);
• қандай есеп жүргізу жазбасы пайдаланылғаны немесе қандай әкімші немесе оператор сәйкес операциаларды орындалғаны туралы мәлімет;
• қандай үдерістер пайданылғаны туралы мәлімет.
Жүйенің және желінің әкімшісімен орындалған операциясы әдептілігінің мониторинг жүйесін қарап шығу, онда басып кіруді анықтайтын жүйе пайдалануы мүмкін, ол жүйенің сырттан басқарылатыны, онда жүйенің және желінің әкімшісімен басқарылады.
9. Істен шыққандарды тіркеу журналы
Істен шыққандар тіркелуі тиіс, талдаудың нәтижесі бойынша істен шыққандарға сәйкес шаралар қабылдауы тиіс. Ақпараттарды немесе байланыс жүйелерін өңдеу проблемаларына байланысты істен шығу журналдары жасалуы тиіс, ол туралы пайдаланушылар мен жүйелік бағдарламалар хабарлады. Істен шыққанды өңдеудің айқын ережесі әзіпленуі тиіс, ескеретіндер:
• себебі, істен шығудың қанағаттандырарлық жойылғанына кепілдік беретін істен шығуларды тіркеу есеп берулерін тексеру;
• басқару құралдары қатерлердің астында қойылған жоқ және себебі рұқсат етіліп, бекітілген шаралар қабылданды дегенге кепілдік беретін жағдайды түзеу жөніндегі шараларды тексеру.
Істен шыққандар бойынша есеп берулерді қосу және өшіру мүмкіншіліктері болуы тиіс және бұл жүйелік қызмет әкімші үшін қол жетімді болуы тиіс.
Жазбаларды жасау сәйкес біліктілігі бар персоналмен белсендірілуі тиіс, есеп берулерді құрудың көлемі мен деңгейі нақты жүйелер үшін жүйелер сипаттамасының нашарлауын ескере отырып тәуекелдер бағалауының негізінде анықталуы тиіс.
Жүйелік сағаттардың үйлесімділігі
Компьютерлік сағаттардың дұрыс орнатылуы аудиттің есеп беру дәлдігін кепілдендіру үшін маңызды, ол зерттеуді жүргізген кезде және сот талқылауында немесе тәртіптілік үдерістерінде куәгер ретінде талап етілуі мүмкін. Аудиттің дәл емес есеп берулері осындай зерттеулерге кедергі жасауы және куәгерлерге сенімді азайтуы мүмкін.
«Электрондық үкімет» инфрақұрылымының сағаты дәл уақыт дерегімен сәйкес үйлесімді болуы тиіс. Осыған байланысты «электрондық үкіметтің» инфрақұрылымы жергілікті уақыт стандартымен келісілген сағаттарды салыстырып тексеру және кез келген ауытқуды түзетуге сәйкес белгіленген бірыңғай қорғалған көліктік ортада мақсатқа сай нақты уақыт сағатын пайдалануда жұмыс жасайтын болады.
Негізгі сағаттар есебінде радиохабарларын тарату желілері арқылы берілген дәл уақыт дабылымен байланысты тіркеу жүйелері үшін сағат пайдаланылуы мүмкін, ол өз кезегінде атомдық сағаттың ұлтттық стандартының көрсеткішіне тіркеулі. Негізгі сағаттармен барлық серверлердің үйлесімділігін қолдау үшін уақытты қою желілік хаттамасы қолдануы мүмкін.
Уақытқа және нақты күнге уақыт жазбаларының сәйкестігін қамтамасыз ету үшін уақыт пен күннің дұрыс талдауы маңызды.
10. Қол жеткізуді басқару
Ақпараттарға, ақпараттарды өңдеу құралдарына және өндірістік үдерістеріне қол жеткізудің ақпараттық қауіпсіздік саясатының және қол жеткізуді басқару саясатының талаптарына сәйкес басқарылуы тиіс. Қол жеткізуді басқару саясаты таратылған және рұқсат етілген ақпараттарды пайдалану ережесін ескеруі тиіс. Егер бұл көрсетілген саясатта қарастырылмаса ақпараттарға қол жеткізуді беруі тиіс емес.
Қол жеткізуді басқару саясаты
Ақпараттық қауіпсіздік саясатының талаптарына сәйкес ақпараттық жүйе қол жеткізуді басқару саясатын жүргізуі тиіс.
Қол жеткізуді басқару саясаты қол жеткізудің басқару ережесі және әрбір пайдаланушының немесе пайдаланушылар тобының құқықтары нақты анықталуы тиіс. Қол жеткізуді логикалық және физикалық басқару құралы бірге қаралуы тиіс. Саясат мынадайды ескеруі тиіс:
• бөлек жүйеге қарастылардың, қосымшалардың қауіпсіздігін талап ету;
• осы ақпараттар үшін ақпараттық жүйелердің ақпараттарын біріктіру;
• таратылған ақпараттардың және рұқсат етілген оны пайдалану саясаты, мысалға, ақпараттардың жіктелуіне сәйкес «білімнің, себебі тек қана қажет болғаны үшін» қағидасы бойынша;
• деректерге немесе қызметтерге қол жеткізуді қорғауға қатысты заңнамаға және шарттық міндеттемеге сәйкес талап етулер;
• негізгі лауазымдар үшін пайдалашушылардың стандарттық бейіні;
• қол жеткізуді басқару рөлдерін басқару, мысалға қол жеткізу, рұқсат етілген қол жеткізу, қол жеткізуді әкімшілендіру;
• қол жеткізуге нысанды рұқсат етілген сұранымдарын талап ету;
• қол жеткізуді басқару құралдарын үнемі тексерудің жүргізілуін талап ету;
• қол жеткізу құқығын жою.
Қол жеткізуді басқару ережесін анықтаған кезде мынадай факторларды ескеруі тиіс:
• ережелер арасындағы айырмашылық, ол әрқашан және нұсқамалармен сақталуы тиіс, ол кейбір жағдайларда тек қана орындалатын немесе қосымша болып табылады;
• “ашықтан-ашық тиым салынбағанға, барлығына рұқсат етілген” аса әлсіз қағида негізінде емес, “ашықтан-ашық тиым салынғанға, барлығына рұқсат етілмеген” қағидасы бойынша ережелерді орнату;
• ақпараттар грифтерінің өзгеруі, ол құралдармен ақпараттарды және пайдаланушылардың көз қарасымен белгіленгендерді өңдеу автоматты түрде беріледі;
• пайдаланушылар құқығының өзгеруі, ол ақпараттық жүйемен автоматты түрде енгізіледі, сондай-ақ солар әкімшімен белгіленеді;
• осыны талап ететін, ерекше рұқсатты және ережені талап ететін ереже.
Қол жеткізуді басқарудың ережесі нысанды рәсімдермен және нақты міндеттермен анықталуы тиіс.
Пайдаланушының қол жеткізуін басқару
Ақпараттық жүйеге және қызметке қол жеткізу құқығын бөліп таратуды басқару үшін нысанды рәсімдер әзірленуі және іске асырылуы тиіс. Рәсімдер пайдаланушылар қол жеткізуінің барлық сатысын қамтуы тиіс: жаңа пайдаланушыларды тіркеуден бастап ақпараттық жүйеге және қызметке қол жеткізуі енді талап етілмейтін сол пайдаланушыларды тіркеуден айыру қортындысына дейін. Онда осы талап етілетін, жүйені басқару құралдарын айналып өтуші пайдаланушыларға мүмкіндік беретін қол жеткізу құқығы артықшылығын бөліп тарату қажеттілігіне ерекше назар аударылуы тиіс.
Пайдаланушыны тіркеу
Ақпараттық жүйеге және қызметке қол жеткізуді беру немесе тоқтату үшін пайдаланушыларды нысанды тіркеуі немесе тіркеудің айыру рәсімі пайдаланылуы тиіс.
Пайдаланушыларды тіркеу және олардың тіркеуін айыру үшін қол жеткізуді басқару рәсімінде қолданылуы тиіс:
• олардың іс-қимылы үшін жауаптылығына сәйкес пайдаланушыларды байланыстыру үшін бірегей иденфикаторларды (ID) пайдалану;
• жүйенің жұмыс істеуінің ерекшелігін ескере отырып қызметін жүзеге асыру үшін қажет болған жағдайда топтық ID пайдалану мүмкіндігін қарастыру;
• тіркеу және айыру рұқсат етілген және құжатталған болуы тиіс, соның тексерілуі, себебі қол жеткізу құқығына басшыдан бөлек рұқсатты қолдануға, пайдаланушының ақпараттық жүйені және оның қызметін пайдалануға иесінен рұқсаты бар;
• берілген қол жеткізудің деңгейі өндірістік мақсатқа және қауіпсіздік саясатына сәйкес болуы және жұмыс тәртібіне шек қоюға қатер төндірмеуі тиіс;
• пайдаланушыларға жазбаша құжаттарды беру, онда олардың қол жеткізу құқығы регламенттелуде, талап етілуінде пайдаланушылар құжатқа қол қойып, себебі олар сол туралы қол жеткізудің шартын түсінеді;
• тіркеу рәсімдерін аяқтау сәтінен бастап қол жеткізуді беру;
• қызметтерді пайдалану үшін барлық тіркелген тұлғалар туралы нысандық есеп берулерді құру және қолдауды қамтамасыз ету;
• қызметін ауыстырған, қамтылған нысаны немесе ұйымнан босатылған пайдаланушылардың қол жеткізу құқығын дереу жою немесе оқшауландыру;
• артық ID және пайдаланушылардың есеп жүргізу жазбасын, сондай-ақ олардың жойылуы мен оқшаулануын табу үшін аудит;
• ID айыру үшін, пайдаланушылар басқадай пайдаланушыларға қол жетімсіз болуын қамтамасыз ету;
• Пайдаланушылардың қол жеткізу үлгілік профилінде қол жеткізу құқығының кейбір санын жинақтау жолымен өндірістік талап етуде негізделген олардың қызметтеріне сәйкес қол жеткізуді пайдалануды беру мүмкіншілігін қарастыру.

Артықшылықты басқару
Бөлінген артықшылығымен және оларды пайдалану қатаң шектелген және басқарылатын болуы тиіс. Артықшылықтарды бөліп тарату осы артықшылықтарды тіркеу үдерісінің көмегімен басқарылуы тиіс. Мынадай кезеңдер қаралуы тиіс:
• әрбір жүйелік өнімдермен байланысты қол жеткізудің артықшылығы ұқсастырылуы тиіс, мысалға, операциялық жүйемен, деректерді басқару жүйесімен және әрбір қосымшамен, сондай-ақ пайдаланушылар, онда олар ұсынылуы тиіс;
• қол жеткізуді басқару саясатымен сәйкес «оқта-текте» ұстанымы бойынша және «пайдалану қажеттілігі» негізінде артықшылық пайдаланушыларға берілуі тиіс, мысалға ең аз қажетті артықшылық олардың қызметтік міндеттерін орындау үшін, тек қана қашан осы артықшылықтар қажет болғанда;
• барлық берілген артықшылықтар және олар бойынша есеп беруді құрудың рұқсат етілген үдерісі қамтамасыз етілуі тиіс, оларды тіркеу үдерісін аяқтағанға дейін артықшылықты беруге болмайды;
• пайдаланушыларға артықшылықты беруден қашуға мүмкіндік беретін жүйелік бағдарламаны пайдалануды әзірлеу қажет;
• артықшылықты пайдаланушының әдеттегі жұмысында пайдаланатынына емес, пайдаланушының басқа ID беруі тиіс.
Пайдаланушының бірдейлігі және сәйкестігі
Пайдаланушы жеке пайдалану үшін бірегей идентификаторы (пайдаланушылық ID), болуы тиіс, пайдаланушының дәлме-дәлдігін растау үшін сәйкестендірілген сәйкесәдісін пайдалануы тиіс. Бұл пайдаланушылардың барлық түрлеріне (оның ішінде техникалық қолдау персоналына, операторларға, желі әкімшілеріне, желіллік бағдарламашыларға, дерекқорлар әкімшілеріне) қолданылуы тиіс. Пайдаланушылық ID сәйкес тұлғалармен орындалатын опрерациялардың сенімділігі үшін пайдаланылуы тиіс. Әдеттегі пайдаланушылық операциялар есеп жүргізу жазбаларының артық құқығымен орындалмауы тиіс.
Қашан қызметтер мен операциялар үшін осындай қол жетімді ID қажет болса, сонда жалпы ID берілуі тиіс, сенімі талап етілмейді (мысалға, тек қана оқылым бойынша қол жеткізген кезде), немесе қашан басқарудың басқадай құралдары іске асырылған болса (мысалға, жалпы ID үшін әр жолы тек қана бір персонал үшін құрылады және оқиға тіркеледі).
Сәйкестендірудің – (криптографиялық құрал, смарт-карталар, аппараттық кілттер немесе биометрикалық құралдар) баламалы әдістерін пайдалану мүмкіндігін қарау.
Паролдар – тек қана пайдаланушыға мәлім мәліметтің негізінде бірдейлестіруді және сәйкестендіруді қамтамасыз ететін ең таралған әдіс. Пайдаланушының бірдейлестіруі мен сәйкестендіруінің қатаңдығы қол жеткізуі жүзеге асырылатын ақпараттың сыншылдығына сәйкес болуы тиіс. Бірдейлестіру мен сәйкестендіру үшін жеке аппараттық кілттер мен смарт-карталар сияқты мынадай обьектілер пайдаланылуы мүмкін. Тұлғалардың дәлме-дәлдігін сәйкестендіру үшін бірегей сипаттамаларды және белгілерді пайдаланушы биометрикалық технологияларды қолдануы мүмкін.тұлғалар Нәтижесінде әртүрлі технологиялар мен механизмдердің сенімді үйлесімділігі аса қатаң сәйкестендіруді қамтамасыз етеді