Разграничение и контроль доступа к информации

Разграничение доступа в вычислительной системе заключается в раз­делении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями.

Задача разграничения доступа: сокращение количества должност­ных лиц, не имеющих к ней отношения при выполнении своих функ­ций, т. е. защита информации от нарушителя среди допущенного к ней персонала.

При этом деление информации может производиться по степени важно­сти, секретности, по функциональному назначению, по документам и т. д.

Принимая во внимание, что доступ осуществляется с различных тех­нических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в отдельных помещени­ях. Все подготовительные функции технического обслуживания аппара­туры, ее ремонта, профилактики, перезагрузки программного обеспече­ния и т. д. должны быть технически и организационно отделены от основ­ных задач системы. КСА и организация его обслуживания должны быть построены следующим образом:

• техническое обслуживание КСА в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информации, подлежащей защите;

• перезагрузка программного обеспечения и всякие его изменения
должны производиться специально выделенным для этой цели проверенным специалистом;

• функции обеспечения безопасности информации должны выполняться специальным подразделением в организации - владельце КСА, вычислительной сети или АСУ;

• организация доступа пользователей к памяти КСА обеспечивала
возможность разграничения доступа к информации, хранящейся в ней, с
достаточной степенью детализации и в соответствии с заданными уров­нями полномочий пользователей;

• регистрация и документирование технологической и оперативной информации должны быть разделены.

Разграничение доступа пользователей - потребителей КСА может осуществляться также по следующим параметрам:

Þ по виду, характеру, назначению, степени важности и секретности информации;

Þ по способам ее обработки: считать, записать, внести изменения, вы­полнить команду;

Þ по условному номеру терминала;

Þ по времени обработки и др.

Принципиальная возможность разграничения по указанным параметрам должна быть обеспечена проектом КСА. А конкретное разграничение при эксплуатации КСА устанавливается потребителем и вводится в систему его подразделением, отвечающим за безопасность информации.

В указанных целях при проектировании базового вычислительного комплекса для построения КСА производятся:

• разработка операционной системы с возможностью реализации разграничения доступа к информации, хранящейся в памяти ВК;

• изоляция областей доступа;

• разделение базы данных на группы;

• процедуры контроля перечисленных функций.

При проектировании КСА и информационной системы АСУ (сети) на их базе производятся:

• разработка и реализация функциональных задач по разграничению
и контролю доступа к аппаратуре и информации как в рамках данного
КСА, так и АСУ (сети) в целом;

• разработка аппаратных средств идентификации и аутентификации пользователя;

• разработка программных средств контроля и управления разграничением доступа;

• разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.

В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и КСА. В помощь пользователю в системах с повышенными требованиями большие значения кодов- паролей записываются на специальные носители — электронные ключи или карточки.