Правила розмежування доступу

Оскільки ПРД є конкретними практичними правилами, які безпосередньо використовуються практично всіма кінцевими користувачами, розглянемо їх більш детально. ПРД є певним абстрактним механізмом, який виступає посередником при будь-яких взаємодіях об’єктів ІС, і є найбільш суттєвим елементом ПБ.

Відповідно до встановлених в ІС ієрархічних ролей – адміністраторів безпеки, адміністраторів ОС, користувачів) ПРД мають включати наступне:

1. Кожне робоче місце повинно мати свого адміністратора, який несе відповідальність за його працездатність та за дотримання всіх вимог і процедур, пов’язаних з обробкою інформації та її захистом. Таку роль може виконувати уповноважений користувач. Цей користувач повинен бути забезпечений відповідними керівництвами і навчений всім вимогам і процедурам.

2. Для попередження неавторизованого доступу до даних, ПЗ, іншим ресурсам ІС і централізоване керування всіма механізмами захисту повинно здійснюватися адміністратором СЗІ ІС. На АРМ керування механізмами захисту здійснюється адміністратором.

3. Для попередження поширення комп’ютерних вірусів відповідальність за дотримання правил використання ПЗ несуть: на АРМ – користувачі, адміністратор, в ІС – адміністратор СЗІ. Використовуватися повинно тільки ПЗ, яке дозволено ПБ (ліцензійне, яке має відповідні сертифікати, експертні висновки тощо).

4. За всі зміни ПЗ, створення резервних і архівних копій несе відповідальність адміністратор СЗІ. Такі роботи виконуються за його дозволом.

5. Кожний користувач повинен мати свій унікальний ідентифікатор і пароль. Право видачі цих атрибутів надається адміністратору. Атрибути для адміністраторів надає адміністратор СЗІ. Видача атрибутів дозволяється тільки після документальної реєстрації особи як користувача. Користувачам забороняється спільне використання персональних атрибутів.

6. Користувачі повинні пройти процедуру автентифікації для отримання доступу до ресурсів ІС.

7. Атрибути користувачів повинні періодично змінюватися, а невикористовувані і скомпрометовані – видалятися.

8. Використання активного мережевого обладнання, а також окремих видів ПЗ, яке може суттєво впливати на безпеку (аналізатори трафіку, аналізатори безпеки мереж, засоби адміністрування та ін.), має бути авторизовано і здійснюватися під контролем адміністратора СЗІ ІС.

9. Усі користувачі повинні знати «Інструкцію користувача» (пройти відповідний курс навчання, скласти іспит).

10. Адміністратор СЗІ ІС і адміністратори повсякденно здійснюють перевірку працездатності засобів захисту, ведуть облік критичних з точки зору безпеки подій і готують звіти щодо цього.

Загальні ПРД мають бути конкретизовані на рівні вибору необхідних функціональних послуг захисту (профіль захищеності) та впровадження організаційних заходів захисту. Частиною ПРД є керування доступом (КД).

Керування доступом включає:

· обмеження доступу;

· розмежування доступу;

· розмежування повноважень;

· контроль і облік доступу.

В ІС повинно бути реалізоване адміністративне керування доступом. Тільки адміністратори СЗІ мають право включати і вилучати користувачів та об'єкти.

Задача обмеження доступу – протидія загрозі випадкового чи навмисного доступу сторонніх осіб на територію розміщення ІС та безпосередньо до її ресурсів.

Обмеження доступу в ІС полягає в існуванні фізично замкнутої перешкоди навколо об'єкта захисту та організації контрольованого доступу осіб, зв'язаних з об'єктом захисту по своїм функціональнихм обов'язкам.

Доступ на територію та у приміщення, де розташовані об’єкти, контролюється за допомогою комплексу організаційно-технічних заходів, які визначені у керівному документі.

Крім того, в ІС встановлюються наступні обмеження на роботу користувачів:

· обмеження періоду часу, в ході якого користувач може входити в мережу;

· визначення адрес робочих станцій, з якими дозволено входити в мережу;

· обмеження кількості робочих станцій, з яких одночасно можна входити в мережу;

· обмеження кількості спроб входу в мережу з неправильним паролем.

Розмежування доступу полягає в організація доступу до інформації користувачів відповідно до їхніх функціональних особливостей і повноважень, тобто:

· визначення правил доступу (моделі ПБ) до захищаємих ресурсів;

· визначення категорій користувачів згідно повноважень та обов’язків;

· встановлення повноважень доступу.

Задача розмежування доступу: скорочення кількості користувачів, що не мають відношення до певної категорії інформації при виконанні своїх функцій, тобто захист інформації від порушника серед допущеного до неї персоналу.

Усі користувачі можуть мати допуск до інформації з найвищим грифом. Але вони повинні мати обмеження по доступу до певних інформаційних ресурсів ІС в залежності від їх посадових обов’язків.

Розподіл повноважень доступу користувачів до даних та ресурсів ІС виконується на основі принципу, згідно з яким користувач одержує лише ті повноваження, які у мінімальному обсязі потрібні йому для виконання своїх обов’язків.

Доцільно виділити наступні категорії користувачів, що мають різні сукупності повноважень по доступу:

· користувачі, які мають доступ до інформації з грифом «таємно»;

· користувачі, які мають доступ до інформації з грифом „конфіденційно”;

· користувачі, які мають доступ до інформації з грифом «нетаємно».

Контроль і облік доступу до ресурсів робочіх станцій та мережевих ресурсів ІС реалізується за допомогою комплексу організаційно-технічних заходів та програмних (програмно-апаратних) засобів СЗІ ІС.

Доступ на територію, в приміщення та до елементів об'єкта контролюється за допомогою комплексу організаційно-технічних заходів, що визначаються відповідними керівними документами, в тому числі:

· організація перепусткового режиму;

· допуск осіб до секретних відомостей, доступ до оборобки секретної інформації;розташовування об'єктів обчислювальної техніки в приміщеннях, які виключають можливість їх безконтрольного використовування;

· виконання вимог до розміщення технічних засобів та експлуатації приміщень об'єктів обчислювальної техніки;

· зберігання, облік та поводження з магнітними та паперовими носіями таємної інформації;

· фізичний захист засобів обчислювальної техніки;

· заборона на залучення іноземних суб'єктів до господарської діяльності, яка пов'язана з монтажем, налагоджуванням, технічним та гарантійним обслуговуванням автоматизованої системи, а також встановленням програмного забезпечення.

Ідентифікація/автентифікація використовуються для підтвердження дійсності суб'єкта, забезпечення його роботи в системі, і визначення законності прав суб'єкта на об'єкт або на певні дії з ним.

В процесі ідентифікації елементи системи розпізнаються за допомогою заздалегідь визначеного ідентифікатора; кожен суб'єкт чи об'єкт системи однозначно ідентифікується.

В процесі автентифікації, яка обов’язково здійснюється перед дозволом на доступ, перевіряється дійсність ідентифікації елементу системи, а також перевіряються цілісність та авторство даних при їхньому збереженні або передачі для запобігання несанкціонованої модифікації. Подальші взаємодії з системою можливі тільки після успішної ідентифікації/автентифікації. Інформація щодо ідентифікації/автентифікації зберігається таким чином, що тільки адміністратор СЗІ має до неї доступ.








Дата добавления: 2015-12-22; просмотров: 3971;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.008 сек.