10. Quản lý truy cập.
10.2.2. Quản lý đặc quyền
Biện pháp quản lý
Việc cấp phát và sử dụng các đặc quyền cần phải được giới hạn và kiểm soát. Hướng dẫn triển khai
Những hệ thống nhiều người dùng có yêu cầu bảo vệ trước các truy cập trái phép cần được quản lý cấp phát đặc quyền thông qua một quy trình cấp phép chính thức. Những bước dưới đây cần được quan tâm:
a) cần xác định các đặc quyền truy cập gắn liền với mỗi sản phẩm hệ thống, ví dụ hệ điều hành, hệ thống quản lý cơ sở dữ liệu và mỗi ứng dụng, và những người dùng cần được phân bổ quyền truy cập;
b) các đặc quyền cần được phân bổ cho những người dùng dựa trên cơ sở cần - sử dụng và trên cơ sở từng sự kiện phù hợp với chính sách quản lý truy cập (10.1.1), nghĩa là yêu cầu tối thiểu đối với vai trò chức năng của họ chỉ khi được yêu cầu;
c) cần duy trì một quy trình cấp phép và một hồ sơ các đặc quyền đã được phân bổ. Không được cấp phép các đặc quyền cho đến khi quá trình cấp phép đã hoàn tất;
d) cần đẩy mạnh phát triển và sử dụng các thủ tục hệ thống để tránh phải cấp phép các đặc quyền cho người dùng;
e) cần đẩy mạnh phát triển và sử dụng các chương trình không cần chạy cùng với các đặc quyền; f) các đặc quyền phải được gán cho một ID người dùng khác với các ID người dùng được sử dụng cho mục đích nghiệp vụ thông thường.
Thông tin khác
Việc sử dụng không phù hợp các đặc quyền quản trị hệ thống (tính năng hay tiện ích bất kỳ của hệ thống thông tin cho phép người dùng bỏ qua các biện pháp kiểm soát hệ thống hoặc ứng dụng) có thể là một yếu tố chính gây ra các lỗi hay các lỗ hỏng hệ thống.