15. Запрещается предоставлять сотрудникам таможенных органов прямой доступ к записям БД.
16. Доступ сотрудникам таможенных органов к БД предоставляется только с использованием типовых ролей* через формальные схемы** БД, не ассоциируемые с конкретными сотрудниками.
_______________
* Роли - это поименованные группы полномочий, предоставляемых пользователям. Подробная информация об управлении ролями представлена в документации по серверу Oracle.
** Под схемой в документации по серверу Oracle понимается некоторый набор базовых объектов БД (например, таблиц, представлений, хранимых процедур) и(или) полномочий по доступу к этим объектам (например, изменение записей таблицы, выполнение хранимой процедуры), назначенных некоторому пользователю БД.
17. Для определения состава и структуры формальных схем БД выполняются следующие операции:
а) анализ и классификация информации, используемой и(или) накапливаемой в БД в процессе деятельности таможенного органа, с учетом ее целевой направленности (например, нормативно-справочная информация, данные таможенных деклараций и т.п.);
б) формирование для каждого из выявленных классов информации отдельной схемы БД, в которую включаются все таблицы данного класса и объекты БД, наследуемые из них (например, представления и снэпшоты) или зависящие от таблиц (триггеры, хранимые процедуры и т.п.); список полномочий формальных схем должен содержать системные полномочия по управлению содержащимися в данной схеме объектами (полномочия по реструктуризации таблиц, включению (выключению) триггеров, выполнению хранимых процедур и т.п.);
в) включение в состав полномочий формальной схемы БД для администратора безопасности системных полномочий по управлению объектами, содержащимися в предметно-ориентированных (целевых) схемах.
18. Для определения состава и структуры типовых ролей выполняются следующие операции:
а) анализ хранящейся в БД информации и операций (процессов), выполняемых сотрудниками таможенного органа;
б) формирование на основе проведенного анализа элементарных ролей с единичными полномочиями, необходимыми для доступа к конкретным объектам БД;
в) создание типовых ролей для должностей каждой категории (руководство, главный инспектор и т.д.) в таможенном органе;
г) формирование дерева типовых ролей (пример фрагмента дерева приведен в (приложении 1); изменения полномочий элементарной роли автоматически вступают в силу для всех ролей, в состав которых входит изменяемая роль;
д) формирование карточек типовых ролей доступа (приложение 2).
19. Для каждого из сотрудников таможенного органа, которым необходим доступ к БД, создается учетная запись о пользователе БД, состоящая из имени (идентификатора) пользователя и пароля. Имена пользователей и пароли должны состоять только из букв латинского алфавита и(или) цифр.
Рекомендуемые варианты назначения имен пользователей:
- в виде USERXXYYY, где XX - условный номер подразделения таможенного органа, a YYY - условный (личный) номер сотрудника;
- в виде <краткое наименование подразделения>_<фамилия и инициалы, заглавными буквами>.
20. Обеспечивается уникальность паролей пользователей и исключается использование одинаковых паролей различными пользователями. Пароли пользователей изменяют ежемесячно, а также при компрометации. Рекомендуется (только для СУБД Oracle 8 и выше) устанавливать следующие параметры:
- число дней действия пароля - 30;
- число изменений пароля, после которых пароль можно использовать вновь, - не менее 3;
- число неудачных попыток подключения к БД, после которых учетная запись пользователя блокируется, - 3;
- число дней блокировки учетной записи пользователя (после совершения им установленного числа неудачных попыток подключения) - UNLIMITED*.
_______________
* Разблокировать учетную запись может только администратор БД.
Сотрудники, имеющие доступ к БД, не могут пользоваться одной и той же учетной записью. Это правило действует и в случае, когда сотрудники имеют одинаковые полномочия по доступу к БД.
21. Созданным пользователям назначаются типовые роли в зависимости от выполняемых функциональных обязанностей и соответственно прав на доступ и управление информации, хранящейся в БД таможенного органа. Каждому пользователю может быть назначено несколько типовых ролей.