Разграничение и контроль доступа к информации
Разграничение доступа в вычислительной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями.
Задача разграничения доступа: сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т. е. защита информации от нарушителя среди допущенного к ней персонала.
При этом деление информации может производиться по степени важности, секретности, по функциональному назначению, по документам и т. д.
Принимая во внимание, что доступ осуществляется с различных технических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в отдельных помещениях. Все подготовительные функции технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и т. д. должны быть технически и организационно отделены от основных задач системы. КСА и организация его обслуживания должны быть построены следующим образом:
• техническое обслуживание КСА в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информации, подлежащей защите;
• перезагрузка программного обеспечения и всякие его изменения
должны производиться специально выделенным для этой цели проверенным специалистом;
• функции обеспечения безопасности информации должны выполняться специальным подразделением в организации - владельце КСА, вычислительной сети или АСУ;
• организация доступа пользователей к памяти КСА обеспечивала
возможность разграничения доступа к информации, хранящейся в ней, с
достаточной степенью детализации и в соответствии с заданными уровнями полномочий пользователей;
• регистрация и документирование технологической и оперативной информации должны быть разделены.
Разграничение доступа пользователей - потребителей КСА может осуществляться также по следующим параметрам:
Þ по виду, характеру, назначению, степени важности и секретности информации;
Þ по способам ее обработки: считать, записать, внести изменения, выполнить команду;
Þ по условному номеру терминала;
Þ по времени обработки и др.
Принципиальная возможность разграничения по указанным параметрам должна быть обеспечена проектом КСА. А конкретное разграничение при эксплуатации КСА устанавливается потребителем и вводится в систему его подразделением, отвечающим за безопасность информации.
В указанных целях при проектировании базового вычислительного комплекса для построения КСА производятся:
• разработка операционной системы с возможностью реализации разграничения доступа к информации, хранящейся в памяти ВК;
• изоляция областей доступа;
• разделение базы данных на группы;
• процедуры контроля перечисленных функций.
При проектировании КСА и информационной системы АСУ (сети) на их базе производятся:
• разработка и реализация функциональных задач по разграничению
и контролю доступа к аппаратуре и информации как в рамках данного
КСА, так и АСУ (сети) в целом;
• разработка аппаратных средств идентификации и аутентификации пользователя;
• разработка программных средств контроля и управления разграничением доступа;
• разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.
В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и КСА. В помощь пользователю в системах с повышенными требованиями большие значения кодов- паролей записываются на специальные носители — электронные ключи или карточки.
Дата добавления: 2016-02-27; просмотров: 1441;