- •Содержание
- •Введение
- •Правовые основы защиты информации информационных процессов в компьютерных системах
- •Правовые и нормативные акты, квалифицирующие информационные компьютерные преступления
- •Понятие информационной безопасности
- •Понятия, свойства информации
- •Законодательство об информационных правоотношениях
- •Классификация компьютерных систем
- •Объекты защиты в персональных компьютерах и компьютерных системах
- •Анализ потенциальных угроз безопасности информационных процессов в компьютерных системах
- •Постановка задачи анализа потенциальных угроз
- •Случайные угрозы
- •Преднамеренные угрозы
- •Анализ электромагнитных излучений и наводок в компьютерных системах
- •Характеристики излучения протоколов обмена
- •Анализ спектра излучения протокола обмена
- •Анализ спектра излучения наводок оборудованием компьютерной системы
- •Методы защиты информационных процессов в компьютерных системах
- •Организационные методы защиты информационных процессов в компьютерных системах
- •Ограничение доступа
- •Контроль доступа к аппаратуре
- •Разграничение и контроль доступа
- •Разделение привилегий на доступ
- •Идентификация и установление подлинности
- •Инженерно-технические методы защиты информационных процессов
- •Пассивные методы инженерно-технической защиты
- •Активные методы инженерно-технической защиты
- •Программно-аппаратные методы защиты информационных процессов
- •Основы теории защиты информационных процессов от несанкционированного доступа
- •Модель поведения потенциального нарушителя
- •Модель защиты информационного процесса
- •Концептуальные основы построения защиты информационных процессов от несанкционированного доступа в компьютерных системах
- •Оценка эффективности автоматических средств управления защитой информационных процессов в компьютерных системах
- •Распределение средств защиты информации и информационных процессов компьютерных систем
- •Распределение средств защиты информации и информационных процессов в компьютерных сетях
- •Распределение средств защиты в модели взаимосвязи открытых систем
- •Инженерно-технические средства защиты
- •Программно-аппаратные средства защиты информации и информационных процессов
- •Основы построения программно-аппаратных средств защиты
- •Технические средства программно-аппаратной защиты информационных процессов
- •Литература
Разграничение и контроль доступа
Разграничение доступа в компьютерной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями.
Задача разграничения доступа - сокращение количества должностных лиц, не имеющих к компьютерной системе отношение при выполнении служебных обязанностей.
Для обеспечения разграничения и контроля доступа к информационным процессам организация их обслуживания строится следующим образом:
техническое обслуживание КС в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информационным процессам;
перезагрузка программного обеспечения и всякие его изменения должны производиться специально выделенными для этого специалистами;
функции обеспечения безопасности должны выполнятся специальным подразделением в организации - владельце КС, вычислительной сети или АСУ;
организация доступа пользователей к памяти КС обеспечивала возможность разграничения доступа к информации, хранящей в ней, с достаточной степенью детализации и в соответствии и в соответствии с заданным уровнем полномочий пользователей;
регистрация и документирование технологической и оперативной информации должны быть разделены.
Разграничение доступа пользователей - потребителей КС может быть:
по виду, назначению, степени важности и секретности информации;
по способам обработки: считать, записать, внести изменения, выполнить команду;
по условному номеру терминала;
по времени обработки.
На этапе проектирования базового комплекса КС производят:
разработку операционной системы с возможностью реализации разграничения доступа к информации и информационному процессу;
изоляция общего доступа;
разделение базы данных на группы;
процедуры контроля перечисленных функций
При проектировании автоматизированных вычислительных комплексов и баз обработки банных производится:
разработка и реализация функциональных задач по разграничению и контролю доступа к аппаратуре и информации как в рамках данной КС, так и в целом всей системы и контроля;
разработка аппаратных средств идентификации и аутентификации пользователя;
разработка программных средств контроля и управления разграничением доступа
разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.
В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и КС. В помощь пользователя в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители - электронные ключи или карточки.
Разделение привилегий на доступ
Разделение привилегий на доступ к информационным процессам заключается в том, что из числа допущенных к ней должностных лиц выделяется группа, которой предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.
Задача данного метода - существенно затруднить преднамеренный перехват информации нарушителем. Примером может служить сейф с замком, который открывается несколькими ключами одновременно. Такой же принцип механизм разделения привилегий доступа используется при использовании в КС.
Данный метод значительно усложняет процедуру работы, но является высокоэффективным средством защиты. На его принципах можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него.
Сочетание двойного криптографического преобразования информации и метода разделения привилегий позволяет обеспечить защиту информации и информационных процессов от преднамеренного несанкционированного доступа.
При наличии дефицита в средствах, а также в целях постоянного контроля доступа к ценной информации со стороны администрации и пользователя КС в некоторых случаях, возможен вариант использования права на доступ к информации нижестоящего руководителя только при наличии его идентификатора и идентификатора его заместителя или представителя службы безопасности информации. При этом информация выдается только на дисплей руководителя, а на дисплей подчиненного - только информация о факте ее вызова.