- •Задачи и цель курса
- •Принципы охраны объектов
- •Защита стационарных объектов
- •Системы тревожной сигнализации
- •Системы телевизионного наблюдения
- •Средства отражения (нейтрализации) угроз
- •Защита мобильных объектов
- •Общие положения
- •Анализ состояния охраны грузов
- •Организация процесса охраны грузов
- •5.4. Исполнительные устройства
- •Порядок создания системы защиты
- •Общие понятия
- •Правила разграничения доступа
- •Оценка риска
- •Публикация iiрд
- •Средства физической защиты стационарных объектов.
- •Система управления автоматизированной системой.
РАЗГРАНИЧЕНИЕ ДОСТУПА К ИНФОРМАЦИИ
Общие понятия
Цель разработки официальных правил разграничения доступа к АС в организации - определить, каким, с точки зрения организации, должно быть правильное использование ЗОТ и сетей, и определить способы и средства разграничения, которые предотвращают конфликтные события, связанные с защитой. Для того, чтобы сделать все это, нужно учесть все особенности конкретной организации.
Во-первых, нужно учесть цель и задачи организации. Например, в военной организации интересы в отрасли секретности существенно отличаются от тех, которые существуют в университете.
Во-вторых, разрабатываемые ПРД организации должны быть согласованы с существующими правилами и законами, действие которых распространяется на организацию. Поэтому необходимо определить их и учитывать при разработке ПРД.
В-третьих, в данное время широкое распространение получают автоматизированные системы (АС) на основе корпоративных сетей, как автономных так и подключенных к глобальным информационным сетям, таким как МетеП В этом случае необходимо рассматривать проблему защиты в более глобальном контексте. ПРД должны учитывать ситуации, когда проблемы с конфиденциальностью возникают в результате нарушений защиты в отдаленной организации, а также ситуации, когда проблемы с конфиденциальностью в отдаленной организации являются результатом нарушений на локальных СОИ или допущены местным пользователем.
Правила разграничения доступа
Создание ПРД должно осуществляться общими силами технического персонала, который понимает все тонкости предлагаемых правил и их реализации, службой безопасности организации, которая обеспечивает защиту организации в целом и руководителями (лицами, которые принимают решение - ЛПР), которые имеют власть для воплощения правил в жизнь. ПРД, которые либо не могут быть реализованы, либо не подкреплены организационными мероприятиями, являются бесполезными.
Если в организации действует служба безопасности, то разработка и воплощение в жизнь ПРД - одна из ее обязанностей. В случае, если в организации отсутствует служба безопасности, разработкой и воплощением в жизнь ПРД может заниматься группа сотрудников, которая обеспечивает процессы обработки данных.
Хотя конкретная группа сотрудников (такая, как технический отдел организации) может иметь в этом случае право претворять в жизнь ПРД, однако будет нужна поддержка и одобрение ПРД группой сотрудников более высокого ранга в организации.
Разрабатываемые ПРД организации потенциально касаются каждого пользователя АС организации. Пользователи АС могут отвечать за управление своими паролями. Системные администраторы обязаны фиксировать слабые места в защите и осуществлять наблюдение за АС.
Очень важно определить группы людей, которых касаются данные ПРД, в самом начале процесса разработки правил. Могут уже существовать группы сотрудников, связанные с безопасностью, которые считают ПРД своим полем деятельности.
Группами, которых могут касаться эти ПРД, являются группы контроля и ревизии, подразделы организации, которые имеют дело с конфиденциальной информацией, администрация вычислительного центра и т.д. Привлечение этих групп к процессу разработки с самого начала может помочь обеспечить приемлемость ПРД для большинства будущих пользователей защищенной АС.
Ключевым моментом в ПРД является гарантия того, что каждый знает свои обязанности по поддержке защиты. ПРД не могут предусматривать все возможные варианты, однако, они могут гарантировать, что для решения каждого типа проблем предназначен кто-то ответственный за их решение.
Могут существовать уровни ответственности, связанные с ПРД. На одном уровне каждый пользователь АС отвечает за защиту своего регистрационного имени и пароля.
Системные администраторы образуют другой уровень ответственности: они должны помогать обеспечивать гарантию защищенности АС. Сетевые администраторы могут располагаться на еще одном уровне ответственности, связанном с защитой данных в каналах связи. Администраторы баз данных в свою очередь поддерживают защиту на уровне систем управления базами данных. Администратор безопасности непосредственно отвечает за воплощение в жизнь ПРД и использование СРД.
Руководитель службы безопасности контролирует все вопросы, связанные с разработкой и реализацией ПРД.