Правила настройки сервисов для обеспечения безопасности
SSH
Сервис должен быть настроен на использование только одного порта TCP/IP;
Номер порта TCP/IP должен отличаться от стандартного (22). При этом номер должен быть трёх-, четырёх- или пятизначный и неиспользуемый другими сервисами;
Пароль доступа к службе должен содержать как буквы латинского алфавита, так и цифры, и быть не короче шести знаков;
Пароль доступа к службе должен меняться не реже одного раза в шесть месяцев.
MySQL
Сервер MySQL должен прослушивать только один IP адрес, а именно IP «внутренней петли» (англ. loopback);
Пароль доступа к службе должен содержать как буквы латинского алфавита, так и цифры, и быть не короче шести знаков.
Общие правила
Пароли доступа к службе SSH и серверу MySQL должны быть известны только персоналу, занимающемуся обслуживанием Системы на уровне, при котором такой доступ необходим и согласно условиям договора.
Учётные данные пользователя для входа в систему Arta Synergy — это логин и пароль. Arta Synergy позволяет реализовать парольную политику — набор требований к сложности, устареваемости логинов и паролей и т.п. - настолько «параноидально», насколько это необходимо.
Настройки безопасности производятся в приложении Администратора — раздел «Настройки системы», вкладка Безопасность. Поддерживаемые возможности задания требований к учётным данным:
минимальная длина пароля;
минимальное количество цифровых символов в пароле;
минимальное количество букв верхнего, нижнего регистра в пароле;
минимальное количество специальных символов в пароле;
количество хранимых старых паролей, при совпадении с которыми нового пароля отказывать в его использовании;
максимальное количество последовательных одинаковых символов, символов одного класса;
запрет совпадения пароля с логином;
запрет совпадения пароля с фамилией, именем, отчеством пользователя (включая транслитерацию).
Кроме этого, для противодействия попыткам подбора учётных данных пользователя возможно установить ограничение количества неудачных попыток входа под каким-либо пользователем с одного IP адреса. По достижении этого количества неудачных входов будет активирован тайм-аут — следующую попытку ввода логина и пароля можно будет произвести только через определённое в настройках время, например, 15 минут.
Этот тайм-аут может быть также прогрессивным — следующее значение времени задержки получается по настраиваемой формуле, в которой задействуется предыдущее время задержки и различные математические действия — можно, например, настроить систему так, что при достижении 15 неудачных попыток входа каждая следующая (неудачная) попытка будет доступна через 5, 10, 15, … минут.
Все эти возможности в совокупности позволяют настроить парольную политику Arta Synergy в соответствии со стандартом PCI DSS 2.0.
Права доступа к Платформе определяются ролями. В Arta Synergy предусмотрены следующие роли, которые определяются в приложении Администратора — раздел Управление пользователями, карточки пользователей:
«Разработчик Synergy» - роль пользователя в системе, определяющая возможность конфигурирования всех объектов системы для разработки индивидуальных решений;
«Администратор» - роль пользователя в системе, определяющая возможность администрирования всех объектов системы для поддержания ее корректной работы;
«Сотрудник канцелярии» - роль пользователя в системе, определяющая возможность просматривать журналы, а также производить действия (просмотр, регистрация, редактирование, отклонение) с документами в журнале в соответствии с правами доступа к журналу;
«Сотрудник отдела кадров» - роль пользователя в системе, определяющая возможность просматривать личные дела сотрудников, загружать туда файлы и их новые версии, скачивать, переименовывать, перемещать,отправлять по почте и удалять, а также редактировать организационную структуру и доступ к разделу резерва;
«Дополнительный доступ» - роль пользователя в системе, определяющая возможность просматривать списки работ, заметки и отчеты пользователей указанного подразделения;
«Локальный методолог» - роль пользователя в системе, определяющая возможность конфигурирования некоторых объектов системы;
«Локальный администратор» - роль пользователя в системе, определяющая возможность администрирования некоторых объектов системы;
«Доступ к справочнику показателей» - роль пользователя в системе, определяющая возможность создавать и редактировать базовые и рассчитываемые показатели в соответствующих справочниках;
«Доступ к стратегии» - роль пользователя в системе, определяющая возможность создавать, редактировать и просматривать карты показателей, редактировать права доступа к карте.