Adgangsrettigheder

Adgangsrettigheder  - et sæt regler, der styrer proceduren og betingelserne for subjektets adgang til informationssystemets objekter (, dets medier, processer og andre ressourcer), der er etableret af juridiske dokumenter eller ejeren, ejeren af ​​information.

Adgangsrettigheder definerer et sæt handlinger (f.eks. læsning, skrivning, eksekvering), som er tilladt at udføre af subjekter (f.eks. systembrugere) på dataobjekter. Dette kræver et eller andet system til at give subjekter forskellige adgangsrettigheder til objekter. Dette er et system til begrænsning af forsøgspersoners adgang til objekter, som anses for at være det vigtigste middel til beskyttelse mod uautoriseret adgang til information eller beskadigelse af selve systemet. [en]

Funktioner i adgangskontrolsystemet

• implementering af adgangskontrolregler (APD) for emner og deres processer til data;
• implementering af PRD af emner og deres processer til enheder til fremstilling af papirkopier;
• isolering af programmerne i processen udført i fagets interesse fra andre fag;
• dataflowkontrol for at forhindre data i at blive skrevet til upassende etiketmedier;
• implementering af dataudvekslingsregler mellem fag for AS og SVT , bygget på netværksprincipper.

Derudover sørger ovenstående vejledningsdokument for tilgængeligheden af ​​aktiverende faciliteter til SynRM, som udfører følgende funktioner:

• identifikation og identifikation (autentificering) af emner og opretholdelse af emnets binding til den proces, der udføres for emnet;
• registrering af emnets handlinger og dets proces;
• tilvejebringelse af muligheder for udelukkelse og inklusion af nye emner og adgangsobjekter, samt ændring af emners beføjelser;
• reaktion på NSD -forsøg , for eksempel signalering, blokering, genopretning efter NSD;
• afprøvning;
• rengøring af RAM og arbejdsområder på magnetiske medier efter afslutningen af ​​brugerens arbejde med de beskyttede data;
• bogføring af output trykte og grafiske formularer og papirkopier i AS;
• kontrol af integriteten af ​​softwaren og informationsdelen af ​​både SynRM og de midler, der leverer den.

Grundlæggende principper for computeradgangskontrol (CVT)

Selektiv adgangskontrol

Sættet af sikkerhedsværktøjer (CSZ) bør kontrollere navngivne emners (brugere) adgang til navngivne objekter (filer, programmer, volumener osv.).

For hvert par (emne-objekt) skal en eksplicit og utvetydig opremsning af tilladte adgangstyper (læse, skrive osv.) specificeres i CBT, det vil sige de typer af adgang, der er autoriseret for et givet emne (individuelt eller gruppe af individer) til en given CBT-ressource (objekt).

Adgangskontrol skal være gældende for hvert objekt og hvert emne (et individ eller en gruppe af ligeværdige individer).

Mekanismen, der implementerer det skønsmæssige princip om adgangskontrol, bør give mulighed for autoriseret ændring af DRP, herunder muligheden for autoriseret ændring af listen over CVT-brugere og listen over beskyttede objekter.

Rettighederne til at ændre DRP bør gives til udvalgte emner (administration, sikkerhedstjeneste osv.).

Obligatorisk princip om adgangskontrol

For at implementere dette princip skal hvert emne og hvert objekt være forbundet med klassifikationsetiketter, der afspejler dette emnes (objektets) plads i det tilsvarende hierarki. Gennem disse etiketter bør klassifikationsniveauer (sårbarhedsniveauer, sikkerhedskategorier osv.) tildeles emner og objekter, som er kombinationer af hierarkiske og ikke-hierarkiske kategorier. Disse mærker bør tjene som grundlag for det obligatoriske princip om adgangskontrol.

Når nye data indtastes i systemet, bør CSC anmode om og modtage fra en autoriseret bruger klassifikationsetiketterne for disse data. Når et nyt emne er godkendt til at blive tilføjet til listen over brugere, skal det tildeles klassifikationsmærker. Eksterne klassifikationsetiketter (emner, objekter) skal nøjagtigt matche de interne etiketter (inden for CSC).

KSZ bør implementere det obligatoriske princip om adgangskontrol i forhold til alle objekter med eksplicit og skjult adgang fra ethvert af emnerne:

• subjektet kan kun læse objektet, hvis den hierarkiske klassifikation i subjektets klassifikationsniveau ikke er mindre end den hierarkiske klassifikation i objektets klassifikationsniveau, og de ikke-hierarkiske kategorier i subjektets klassifikationsniveau omfatter alle hierarkiske kategorier i objektets klassifikationsniveau;
• subjektet skriver kun til objektet, hvis subjektets klassifikationsniveau i den hierarkiske klassifikation ikke er større end objektets klassifikationsniveau i den hierarkiske klassifikation, og alle hierarkiske kategorier i subjektets klassifikationsniveau er inkluderet i ikke-hierarkiske kategorier i objektets klassifikationsniveau .

Implementeringen af ​​påbudte DRP'er bør give mulighed for støtte: ændringer i klassifikationsniveauerne for emner og objekter af særligt udvalgte emner.

Der skal implementeres en adgangsstyring i CVT'en, det vil sige et værktøj, der opsnapper alle anmodninger fra subjekter til objekter, samt adgangskontrol i henhold til et givet adgangskontrolprincip. Samtidig bør beslutningen om godkendelse af en adgangsanmodning kun træffes, hvis den samtidig løses af både skønsmæssige og bemyndigede DRP'er. Således bør ikke kun en enkelt adgangshandling kontrolleres, men også informationsstrømme.

Noter

1. ↑ Konceptet med at beskytte computerudstyr og automatiserede systemer mod uautoriseret adgang til information . Hentet 3. oktober 2014. Arkiveret fra originalen 6. oktober 2014. (ubestemt)

Litteratur

• GOST R 50922-96. Data beskyttelse. Grundlæggende udtryk og definitioner.
• Computer faciliteter. Beskyttelse mod uautoriseret adgang til information. Indikatorer for beskyttelse fra UA til information Arkiveret 6. oktober 2014 på Wayback Machine

Links

• Federal Service for Technical and Export Control Arkiveret 11. november 2006 på Wayback Machine