Недействующий

О Временном руководстве администратора безопасности по организации разграничения доступа к базам данных таможенных органов (утратил силу на основании приказа ФТС России от 22.06.2020 N 557)

III. Рекомендации об организации доступа к базам данных

15. Запрещается предоставлять сотрудникам таможенных органов прямой доступ к записям БД.

16. Доступ сотрудникам таможенных органов к БД предоставляется только с использованием типовых ролей* через формальные схемы** БД, не ассоциируемые с конкретными сотрудниками.

_______________

* Роли - это поименованные группы полномочий, предоставляемых пользователям. Подробная информация об управлении ролями представлена в документации по серверу Oracle.

** Под схемой в документации по серверу Oracle понимается некоторый набор базовых объектов БД (например, таблиц, представлений, хранимых процедур) и(или) полномочий по доступу к этим объектам (например, изменение записей таблицы, выполнение хранимой процедуры), назначенных некоторому пользователю БД.

17. Для определения состава и структуры формальных схем БД выполняются следующие операции:

а) анализ и классификация информации, используемой и(или) накапливаемой в БД в процессе деятельности таможенного органа, с учетом ее целевой направленности (например, нормативно-справочная информация, данные таможенных деклараций и т.п.);

б) формирование для каждого из выявленных классов информации отдельной схемы БД, в которую включаются все таблицы данного класса и объекты БД, наследуемые из них (например, представления и снэпшоты) или зависящие от таблиц (триггеры, хранимые процедуры и т.п.); список полномочий формальных схем должен содержать системные полномочия по управлению содержащимися в данной схеме объектами (полномочия по реструктуризации таблиц, включению (выключению) триггеров, выполнению хранимых процедур и т.п.);

в) включение в состав полномочий формальной схемы БД для администратора безопасности системных полномочий по управлению объектами, содержащимися в предметно-ориентированных (целевых) схемах.

18. Для определения состава и структуры типовых ролей выполняются следующие операции:

а) анализ хранящейся в БД информации и операций (процессов), выполняемых сотрудниками таможенного органа;

б) формирование на основе проведенного анализа элементарных ролей с единичными полномочиями, необходимыми для доступа к конкретным объектам БД;

в) создание типовых ролей для должностей каждой категории (руководство, главный инспектор и т.д.) в таможенном органе;

г) формирование дерева типовых ролей (пример фрагмента дерева приведен в (приложении 1); изменения полномочий элементарной роли автоматически вступают в силу для всех ролей, в состав которых входит изменяемая роль;

д) формирование карточек типовых ролей доступа (приложение 2).

19. Для каждого из сотрудников таможенного органа, которым необходим доступ к БД, создается учетная запись о пользователе БД, состоящая из имени (идентификатора) пользователя и пароля. Имена пользователей и пароли должны состоять только из букв латинского алфавита и(или) цифр.

Рекомендуемые варианты назначения имен пользователей:

- в виде USERXXYYY, где XX - условный номер подразделения таможенного органа, a YYY - условный (личный) номер сотрудника;

- в виде <краткое наименование подразделения>_<фамилия и инициалы, заглавными буквами>.

20. Обеспечивается уникальность паролей пользователей и исключается использование одинаковых паролей различными пользователями. Пароли пользователей изменяют ежемесячно, а также при компрометации. Рекомендуется (только для СУБД Oracle 8 и выше) устанавливать следующие параметры:

- число дней действия пароля - 30;

- число изменений пароля, после которых пароль можно использовать вновь, - не менее 3;

- число неудачных попыток подключения к БД, после которых учетная запись пользователя блокируется, - 3;

- число дней блокировки учетной записи пользователя (после совершения им установленного числа неудачных попыток подключения) - UNLIMITED*.

_______________

* Разблокировать учетную запись может только администратор БД.


Сотрудники, имеющие доступ к БД, не могут пользоваться одной и той же учетной записью. Это правило действует и в случае, когда сотрудники имеют одинаковые полномочия по доступу к БД.

21. Созданным пользователям назначаются типовые роли в зависимости от выполняемых функциональных обязанностей и соответственно прав на доступ и управление информации, хранящейся в БД таможенного органа. Каждому пользователю может быть назначено несколько типовых ролей.