Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5107 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Черкасский государственный технологический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
12-13_BPD_konspekt.doc
Скачиваний:
34
Добавлен:
22.11.2019
Размер:
1.02 Mб
Скачать
►Содержание►

Законодавча і нормативна база України

  • Закон України “Про інформацію”

  • Закон України “Про захист інформації в автоматизованих системах”

  • Закон України “Про державну таємницю”

  • Концепція технічного захисту інформації в Україні, затверджена постановою Кабінету Міністрів України від 08.10.97 р. № 1126

  • Положення про технічний захист інформації в Україні, затверджене Указом Президента України від 27.09.99 р. №1229

  • Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах, затверджене постановою Кабінету Міністрів України від 16.02.98 р. № 180

Сфера дії нормативних документів

Відповідно до закону України "Про інформацію", вся інформація поділяється на відкриту й інформацію з обмеженим доступом. Такий розподіл по режимах доступу здійснюється винятково на підставі ступеня конфіденційності інформації. Поряд з конфіденційністю важливими характеристиками інформації є її цілісність і приступність, проте на сьогоднішній день іншої класифікації інформації, крім приведеної, не впроваджено.

Положення документів поширюються на державні органи, Збройні Сили, інші військові формування, МВС, Рада Міністрів Автономної Республіки Крим і органи місцевого самоврядування, а також підприємства, установи й організації усіх форм власності, що володіють, користаються і розпоряджаються інформацією, що є власністю держави, чи інформацією, захист якої гарантується державою.

Власники (користувачі) інформації, що не є власністю чи держави захист якої не гарантується державою, положення документів застосовують за своїм розсудом.

Термінологія в області захисту інформації в комп’ютерних системах від несанкціонованого доступу (нд тзі 1.1-003-99)

Термінологія в області захисту інформації в комп’ютерних системах від НСД, що запропонована в даному стандарті, розроблена на основі “Канадських критеріїв”, і має певні особливості, які не були підтримані сучасним міжнародним стандартом ISO 15408.

Суб’єкти й об’єкти

Термін “суб’єкт” в цьому стандарті не використовується. Використовуються терміни об’єкт-користувач і об’єкт-процес (ці терміни вже було розкрито нами Главі 1). Здійснення доступу розглядається за схемою:

Така схема має переваги перед традиційним розглядом взаємодії суб’єкт-об’єкт, оскільки вона конкретизує особливості доступу.

Однак, в деяких випадках така конкретизація неадекватна. Згідно цього документу, об’єкт-користувач – це представлення в КС фізичної особи (користувача). Якщо узагальнити це на псевдокористувачів (SYSTEM, daemon, ftp, …) ще до певної міри можливо, то деякі КС, які взагалі (принципово) не розрізняють користувачів, дуже складно описувати в термінах НД ТЗІ. Прикладом таких систем є мережні комутатори 2-го чи 3-го рівня. Вони отримують пакети даних, які ідентифікуються МАС-адресою джерела (2-й рівень) чи ІР-адресою джерела і номером порту відправлення (3-й рівень). Саме такий приклад наводили в [Зегжда, Івашко] як недолік “Канадських критеріїв”, і цей недолік в повній мірі властивий українським НД ТЗІ.

Керування доступом

Замість традиційних (починаючи з “Жовтогарячої книги”) дискреційної й мандатної політик керування доступом, в цьому документі введено інші терміни: довірче керування доступом й адміністративне керування доступом.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности