КиберОценка

A.9.4: Контроль доступа к системам и приложениям

Предотвращение несанкционированного доступа к системам и приложениям

Подробное описание

Контроль A.9.4 требует внедрения механизмов аутентификации, авторизации и учёта действий пользователей для предотвращения несанкционированного доступа к информационным системам и приложениям. Включает использование сильных паролей, многофакторной аутентификации (MFA), управление сеансами, контроль привилегированного доступа и логирование всех попыток доступа. Обеспечивает защиту конфиденциальности данных и целостность бизнес-процессов через строгое разграничение прав доступа на основе ролей (RBAC) или атрибутов (ABAC). Контроль также охватывает защиту учётных данных, политику блокировки учётных записей при подозрительной активности и регулярный пересмотр списков доступа.

Практические шаги внедрения

  1. 1

    Внедрить централизованную систему управления идентификацией и доступом (IAM) с поддержкой LDAP/Active Directory и интеграцией с бизнес-приложениями

  2. 2

    Настроить обязательную многофакторную аутентификацию (MFA) для всех удалённых подключений и критичных систем (финансовые, HR, базы данных)

  3. 3

    Реализовать модель минимальных привилегий (Principle of Least Privilege) с автоматическим отзывом прав доступа при смене должности или увольнении

  4. 4

    Включить детальное логирование всех попыток аутентификации, изменений прав доступа и действий привилегированных пользователей в SIEM-системе

  5. 5

    Настроить автоматическую блокировку учётных записей после 5 неудачных попыток входа и тайм-ауты сессий (15 минут неактивности для критичных систем)

  6. 6

    Провести ежеквартальный аудит списков доступа с участием владельцев систем для выявления избыточных или неактуальных прав

  7. 7

    Внедрить Privileged Access Management (PAM) для управления учётными записями администраторов с записью сеансов и требованием одобрения для критичных операций

Типичные нарушения

  • Использование общих учётных записей (shared accounts) для нескольких сотрудников без возможности персональной идентификации действий

  • Отсутствие многофакторной аутентификации для удалённого доступа к корпоративным системам и VPN

  • Сохранение прав доступа уволенных сотрудников или пользователей, сменивших должность, из-за отсутствия автоматизированного процесса деактивации

  • Слабые политики паролей (менее 12 символов, отсутствие требования сложности, срок действия более 90 дней) и хранение паролей в открытом виде

  • Недостаточное логирование попыток доступа и отсутствие мониторинга подозрительной активности (множественные неудачные попытки входа, доступ в нерабочее время)

Почему это важно

Несанкционированный доступ к системам — основная причина утечек данных, финансовых потерь и нарушений комплаенса (GDPR штрафы до 4% оборота, ISO 27001 несоответствия). По данным Verizon DBIR, 74% инцидентов связаны с человеческим фактором, включая компрометацию учётных данных и злоупотребление привилегиями. Строгий контроль доступа защищает критичные активы организации, предотвращает инсайдерские угрозы и обеспечивает непрерывность бизнеса при атаках.

Проверяемые категории

AuthenticationAPI Security

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности