Авторизация пользователя

114. Следует в полной мере использовать механизмы контроля доступа для обеспечения того, чтобы сотрудники имели доступ только к функциям, соответствующим их служебной роли, и чтобы действия относились к конкретным лицам. Регулируемые компании должны быть в состоянии продемонстрировать уровни доступа, предоставленные отдельным сотрудникам, и обеспечить наличие ретроспективной информации об уровне доступа пользователей.

115. Контроль доступа должен применяться как при входе в операционную систему, так и запуске (работе) приложений. Индивидуальный вход в систему на уровне операционной системы может не потребоваться, если имеются соответствующие средства управления для обеспечения целостности данных (например, невозможно изменить, удалить или создать данные вне приложения).

116. Доступ администратора к компьютерным системам, используемым для запуска приложений, должен контролироваться. Обычные пользователи не должны иметь доступа к критически важным аспектам программного обеспечения, например, к системному времени, функциям удаления файлов и т.д. Права системного администратора (разрешающие такие действия, как удаление данных, изменение базы данных или изменение конфигурации системы) не предоставляются лицам, непосредственно заинтересованным в сохранении целостности данных (создание данных, просмотр или утверждение данных).

117. Схема авторизации пользователей должна обеспечивать разделение обязанностей.