M 4.135 Süsteemifailide pääsuõiguste andmise kitsendused


Algatamise eest vastutavad: IT-turvaosakond, IT-juht
Rakendamise eest vastutavad: administraator

Süsteemifailide ja -kaustade eest vastutab administraator. Vastavad kaustad ja failid on kas olulised kõikide kasutajate jaoks, või siis rakendatakse neid administreerimiseesmärkidel. Süsteemifailidele peaks olema juurdepääs reeglina vaid süsteemiadministraatoritel. Vastavate pääsuõigustega administraatorite arv tuleks hoida võimalikult väike. Ka kataloogid tohivad kasutajatele anda vaid selliseid privileege, mis on hädavajalikud, ja mitte rohkem. Süsteemifailide pääsuõigusi tuleks jagada võimalikult suurte piirangutega ning vastavate volituste andmine peab toimuma ilmtingimata kooskõlas majasiseste turvaettekirjutustega (vt M 2.220 Pääsu reguleerimise suunised).

Süsteemifailid tuleks salvestada rakendusandmetest ja kasutajafailidest eraldi (vt M 2.138 Struktureeritud andmetalletus). Niimoodi saavutatakse parem ülevaade ning kergendatakse andmetest varukoopiate loomist, samuti aitab see tagada korrektset juurdepääsukaitset. Süsteemifailidele tehtud pöördused tuleb alati logida. Üleliigsed, st mittevajalikud süsteemifailid tuleks süsteemist eemaldada, et neid oleks võimalik ära kasutada rünneteks, ning et vähendada failide hulka, mille puhul tuleb regulaarselt kontrollida nende terviklust. Pääsuõiguste jagamisele piirangute kehtestamisel ei piisa, kui piirangud seotakse ainult ühe kindla programmiga. Lisaks tuleb üle vaadata ka kõikide nende programmide pääsuõiguste andmine, mida on võimalik kasutada läbi selle vastava programmi.

Süsteemifailide ja süsteemikaustade terviklust, samuti pääsuõiguste korrektset toimimist tuleks võimalusel regulaarselt kontrollida. Paljude operatsioonisüsteemide jaoks leidub selleks spetsiaalseid tööriistu, mis võimaldavad vastavaid kontrollimisi teha kiirelt ja usaldusväärselt.

Täiendavad kontrollküsimused: