Розмежування доступу зареєстрованих користувачів до ресурсів автоматизованих систем by Наталия Ломакина https://padlet.com/natalom2003/wt20npf8zxz1 Made with a stroke of good luck en-us 2019-02-18 12:38:01 UTC 2026-02-14 18:07:56 UTC hello@padlet.com https://padlet-assets.s3.amazonaws.com/icons/Dootheets.png Сенс поняття "Розмежування доступу" natalom2003 https://padlet.com/natalom2003/wt20npf8zxz1/wish/334702682
Розмежування доступу ( англ. access mediation) — сукупність процедур, що реалізують перевірку запитів на доступ і оцінку на підставі Правил розмежування доступу можливості надання доступу.

Розмежування доступу полягає в організація доступу до інформації користувачів відповідно до їхніх функціональних особливостей і повноважень, тобто:
· визначення правил доступу (моделі ПБ) до захищаємих ресурсів;
· визначення категорій користувачів згідно повноважень та обов’язків;
· встановлення повноважень доступу.

Задача розмежування доступу: скорочення кількості користувачів, що не мають відношення до певної категорії інформації при виконанні своїх функцій, тобто захист інформації від порушника серед допущеного до неї персоналу.

Усі користувачі можуть мати допуск до інформації з найвищим грифом. Але вони повинні мати обмеження по доступу до певних інформаційних ресурсів ІС в залежності від їх посадових обов’язків.


Функції системи розмежування доступу:

· Реалізація правил розмежування доступу суб'єктів і їх процесів до даних;
· Реалізація ПРД суб'єктів і їх процесів до пристроїв створення твердих копій;
· Ізоляція програм процесу, що виконується на користь суб'єкта, від інших суб'єктів;
· Управління потоками даних з метою запобігання запису даних на носії невідповідного грифа;
· Реалізація правил обміну даними між суб'єктами для АС і ЗОТ, побудованих з мережних принципам.
Крім того, зазначений керівний документ передбачає наявність забезпечують коштів для СРД, які виконують функції:
· Ідентифікацію і впізнання (аутентифікацію) суб'єктів і підтримка прив'язки суб'єкта до процесу, що виконується для суб'єкта;
· Реєстрацію дій суб'єкта і його процесу;
· Надання можливостей виключення і включення нових суб'єктів і об'єктів доступу, а також зміна повноважень суб'єктів;
· Реакцію на спроби НСД, наприклад, сигналізацію, блокування, відновлення після НСД;
· Тестування;
· Очищення оперативної пам'яті і робочих областей на магнітних носіях після завершення роботи користувача з захищеними даними;
· Облік вихідних друкарських і графічних форм і твердих копій на АС;
· Контроль цілісності програмної й інформаційної частини як СРД, так і забезпечують її коштів.
]]> 2019-02-25 05:05:20 UTC https://padlet.com/natalom2003/wt20npf8zxz1/wish/334702682 Ідентифікація та аутентифікація суб'єктів natalom2003 https://padlet.com/natalom2003/wt20npf8zxz1/wish/334703695
Ідентифікація/автентифікація використовуються для підтвердження дійсності суб'єкта, забезпечення його роботи в системі, і визначення законності прав суб'єкта на об'єкт або на певні дії з ним.

В процесі ідентифікації елементи системи розпізнаються за допомогою заздалегідь визначеного ідентифікатора; кожен суб'єкт чи об'єкт системи однозначно ідентифікується.

В процесі автентифікації, яка обов’язково здійснюється перед дозволом на доступ, перевіряється дійсність ідентифікації елементу системи, а також перевіряються цілісність та авторство даних при їхньому збереженні або передачі для запобігання несанкціонованої модифікації. Подальші взаємодії з системою можливі тільки після успішної ідентифікації/автентифікації. Інформація щодо ідентифікації/автентифікації зберігається таким чином, що тільки адміністратор СЗІ має до неї доступ.

]]> 2019-02-25 05:15:08 UTC https://padlet.com/natalom2003/wt20npf8zxz1/wish/334703695 Системи розмежування за управлінням доступу natalom2003 https://padlet.com/natalom2003/wt20npf8zxz1/wish/334703823
Задача обмеження доступу – протидія загрозі випадкового чи навмисного доступу сторонніх осіб на територію розміщення ІС та безпосередньо до її ресурсів.

Обмеження доступу в ІС полягає в існуванні фізично замкнутої перешкоди навколо об'єкта захисту та організації контрольованого доступу осіб, зв'язаних з об'єктом захисту по своїм функціональнихм обов'язкам.

Доступ на територію та у приміщення, де розташовані об’єкти, контролюється за допомогою комплексу організаційно-технічних заходів, які визначені у керівному документі.

Крім того, в ІС встановлюються наступні обмеження на роботу користувачів:
· обмеження періоду часу, в ході якого користувач може входити в мережу;
· визначення адрес робочих станцій, з якими дозволено входити в мережу;
· обмеження кількості робочих станцій, з яких одночасно можна входити в мережу;
· обмеження кількості спроб входу в мережу з неправильним паролем.

Розмежування доступу полягає в організація доступу до інформації користувачів відповідно до їхніх функціональних особливостей і повноважень, тобто:
· визначення правил доступу (моделі ПБ) до захищаємих ресурсів;
· визначення категорій користувачів згідно повноважень та обов’язків;
· встановлення повноважень доступу.

Задача розмежування доступу: скорочення кількості користувачів, що не мають відношення до певної категорії інформації при виконанні своїх функцій, тобто захист інформації від порушника серед допущеного до неї персоналу.
Усі користувачі можуть мати допуск до інформації з найвищим грифом. Але вони повинні мати обмеження по доступу до певних інформаційних ресурсів ІС в залежності від їх посадових обов’язків.

]]> 2019-02-25 05:16:22 UTC https://padlet.com/natalom2003/wt20npf8zxz1/wish/334703823 Матрична модель доступу natalom2003 https://padlet.com/natalom2003/wt20npf8zxz1/wish/334704310 Матричная модель - это метод разграничения доступа к объектам, основанный на учете идентификатора субъекта или группы, в которую входит субъект. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.
Поведение этой модели описывается простыми правилами:
  1. пользователю разрешен доступ в систему, если он входит в множество известных системе пользователей
  2. пользователю разрешен доступ к консоли (терминал или ПК, выступающий в роли устройства ввода команд для ЭВМ, удаленной ЭВМ, локальной сети и т. п.), если он входит в подмножество пользователей, закрепленных за данной консолью
  3. пользователю разрешен доступ к файлу, если:
  • пользователь входит в подмножество допущенных к файлу пользователей
  • режим доступа задания пользователя включает режим доступа к файлу
  • уровень конфиденциальности пользователя не ниже уровня конфиденциальности файла
Отношение “субъекты-объекты” можно представить в виде матрицы доступа, в строках которой перечислены субъекты, а в ячейках, расположенных на пересечении строк и столбцов, записаны разрешенные виды доступа и дополнительные условия (например, время и место действия).
Фрагмент матрицы, может выглядеть, например, так:

]]> 2019-02-25 05:20:31 UTC https://padlet.com/natalom2003/wt20npf8zxz1/wish/334704310 Захист інформації від витоку технічними каналами natalom2003 https://padlet.com/natalom2003/wt20npf8zxz1/wish/334704843 Захист інформації від витоку технічними каналами досягається шляхом розробки та реалізації наступних заходів (у різних джерелах ці заходи виділяються і формулюються по-різному): 
- організаційних;                                                                              
- первинних технічних;                                                                     
- основних технічних з використанням засобів забезпечення ТЗІ.   
Організаційні заходи захисту інформації – це комплекс адміністративних і обмежувальних заходів, спрямованих на оперативне вирішення завдань захисту шляхом регламентації діяльності персоналу та порядку функціонування засобів (систем) забезпечення інформаційної діяльності та засобів (систем) забезпечення ТЗІ.  
Первинні технічні заходи передбачають захист інформації шляхом блокування виявлених загроз без використання спеціальних засобів ТЗІ. 
Основні технічні заходи передбачають захист інформації шляхом блокування виявлених загроз із використанням спеціальних засобів ТЗІ.  
Усі заходи розробляються одночасно і ув'язуються один з одним. 
Організаційні заходи передбачають встановлення: 
- окремих завдань захисту ІзОД та ІПЗ;
- структури й технології функціонування ТЗІ; 
- вимог до забезпечення ТЗІ при організації проектування будівництва (нового будівництва, розширення, реконструкції та капітального ремонту) будівель, споруд і окремих приміщень;
- порядку реалізації організаційних, первинних і основних технічних заходів ТЗІ; 
- прав і обов'язків підрозділів і осіб, що беруть участь в обробці ІзОД та ІПЗ; 
- порядку придбання засобів забезпечення ТЗІ і необхідних нормативних документів; 
- контролю й обмежень доступу до виділених приміщень; 
- територіальних, частотних, енергетичних, просторових і тимчасових обмежень у режимах використання технічних засобів, що потребують захисту; 
- порядку відключення на період проведення закритих заходів технічних засобів, які мають електроакустичні перетворювачі, від ліній зв'язку і т. д.; 
- порядку залучення до проведення робіт із захисту інформації організацій, які мають ліцензію на діяльність у сфері захисту інформації, видану відповідними органами (Держспецзв’язок); 
- порядку впровадження захищених засобів обробки інформації, програмних і технічних засобів захисту інформації, а також засобів контролю ТЗІ; 
- порядку контролю функціонування СЗІ за її якісними характеристиками; 
- порядку проведення атестації СЗІ з розробкою програми атестаційних випробувань; 
- процедури керування СЗІ, яка полягає у: 
  • вивченні та аналізі технології проходження ІзОД та ІПЗ у процесі функціонування ІС; 
  • оцінці дії загроз на ІзОД та ІПЗ в конкретний момент часу; 
  • оцінці очікуваного ефекту від застосування засобів забезпечення ТЗІ; 
  • визначенні додаткової потреби в засобах забезпечення ТЗІ; 
  • здійсненні збору, обробки й реєстрації даних, що відносяться до ТЗІ; 
  • розробці та реалізації пропозицій щодо коригування "Плану ТЗІ" в цілому або окремих його складових.  
Первинні технічні заходи передбачають: 
- блокування каналів витоку інформації без використання спеціальних засобів ТЗІ, яке може здійснюватися шляхом:                      
  • демонтажу технічних засобів, ліній зв'язку, сигналізації та управління, енергетичних мереж, використання яких не пов'язане з життєзабезпеченням підприємства і обробкою ІзОД; 
  • видалення окремих елементів технічних засобів, які є середовищем поширення полів і сигналів, з приміщень, де циркулює ІзОД; 
  • тимчасового відключення технічних засобів, що не беруть участь в обробці ІзОД, від ліній зв'язку, сигналізації, управління і енергетичних мереж; 
  • застосування способів і схемних рішень із захисту інформації, які не порушують основних технічних характеристик засобів забезпечення інформаційної діяльності; 
- блокування несанкціонованого доступу до інформації або її носіїв без використання спеціальних засобів ТЗІ, яке може здійснюватися шляхом: 
  • створення умов роботи в межах встановленого регламенту; 
  • виключення можливості використання (випробування) програмних, програмно-апаратних засобів, які не пройшли перевірку; 
- перевірку справності та працездатності технічних засобів і систем забезпечення інформаційної діяльності відповідно до експлуатаційних документів. Виявлені несправні блоки та елементи можуть сприяти витоку або порушенню цілісності інформації й підлягають негайній заміні (демонтажу). 
Основою первинних технічних заходів є використання захищених засобів (систем) забезпечення інформаційної діяльності, до яких включають: 
- програмні засоби обробки інформації;                   
- технічні засоби (системи) обробки інформації;       
- технічні засоби (системи) життєзабезпечення;         
- оргтехніку;                                                                
- продукцію, процеси;                                                 
- інженерно-технічні споруди, будівлі, приміщення. 
Основні технічні заходи спрямовані на блокування КВІ, ґрунтуються на одному з показаних на наступному рисунку принципів. 

]]> 2019-02-25 05:25:00 UTC https://padlet.com/natalom2003/wt20npf8zxz1/wish/334704843 Засоби охорони об'єкта natalom2003 https://padlet.com/natalom2003/wt20npf8zxz1/wish/334705538
Технічні засоби охорони (ТЗО) — технічні засоби, що використовуються під час провадження охоронної діяльності: системи, прилади та обладнання для виявлення, оповіщення й попередження про наявність небезпеки для життя людей та/або майна.
Практика охороної діяльності доводить необхідність наукового підходу до вирішення проблем і задач охорони об'єктів, перш за все, якщо це особливо важливі, особливо небезпечні об'єкти, об'єкти підвищеного ризику або об'єкти, де зберігаються матеріальні цінності (банки, сховища дорогоцінного каміння і металів, тощо).
Головне завдання, яке повинні вирішувати технічні засоби охорони — сприяти підвищенню надійності охорони об'єктів при максимальній надійності та ефективності роботи технічних засобів.


Технічні засоби охорони повинні надійно спрацьовувати при будь-яких обставинах, що можуть виникнути на об'єкті. Погодні умови, температура повітря, рельєф місцевості, перепади напруг — це параметри, які можуть впливати на надійність роботи технічних засобів охорони.
Тобто надійність роботи технічних засобів охорони визначається:
  • високою стійкістю технічних засобів охорони до перешкод;
  • забезпеченням виявлення зловмисника в умовах, які оговорюються в технічній документації.
Технічні засоби охорони повинні забезпечувати:
  • своєчасну сигналізацію про спробу проникнення на об'єкт, що охороняється, а також сигналізацію про несанкціонований доступ до елементів технічних засобів охорони;
  • автоматизований збір, обробку, відображення, документування інформації, контроль та діагностику елементів системи охорони;
  • автоматичне управління комплексами технічних засобів охорони і їх функціональними елементами, передачу сигналів стану і контролю технічних засобів;
  • санкціонований доступ на об'єкти, що охороняються, з документуванням і накопичуванням даних про доступ на об'єкти;
  • стійке функціонування даних про доступ на об'єкти;
  • можливість програмування режимів і алгоритмів роботи;
  • стійкість системи до кліматичних та погодних умов;
  • побудова за блочно-модульним принципом із можливістю утворення базового комплексу і гнучких архітектур, що забезпечують можливість проведення їх поетапної модернізації і нарощування системи охорони;
  • безпеку експлуатації та електромагнітну сумісність з іншими системами;
  • зняття з охорони об'єктів повинне робитися за допомогою введення спеціального коду на клавіатурі пульта управління сигналізацією;
  • гарантія на охоронну систем повинна складати 18 місяців з моменту підписання акту виконаних робіт.


]]> 2019-02-25 05:30:38 UTC https://padlet.com/natalom2003/wt20npf8zxz1/wish/334705538