Права доступу (до інформації) – це

Права доступу (до інформації)- сукупність правил, що регламентують порядок та умови доступу суб'єкта до інформації та її носіїв, встановлених правовими документами або власником, власником інформації.

Права доступу визначають набір дій (наприклад, читання, запис, виконання), дозволених виконання суб'єктам (наприклад, користувачам системи) над об'єктами даних. Зрозуміло, що потрібна система для надання суб'єктам різних прав доступу до об'єктів. Це система розмежування доступу суб'єктів до об'єктів, яка розглядається як головний засіб захисту від несанкціонованого доступу до інформації за керівним документом «Концепція захисту засобів обчислювальної техніки та автоматизованих систем від несанкціонованого доступу до інформації».

Зміст

Функції системи розмежування доступу

  • реалізація правил розмежування доступу суб'єктів та їх до даних;
  • реалізація ПРД суб'єктів та їх процесів до пристроїв створення твердих копій;
  • ізоляція програм процесу, що виконується на користь суб'єкта, від інших суб'єктів;
  • керування потоками даних з метою запобігання запису даних на носії невідповідного грифа;
  • реалізація правил обміну даними між суб'єктами для АС та СВТ, побудованих за мережевими принципами.

Крім того, вищевказаний керівний документ передбачає наявність забезпечувальних засобів для СРД, які виконують такі функції:

  • ідентифікацію та упізнання (аутентифікацію) суб'єктів та підтримку прив'язки суб'єкта до процесу, що виконується для суб'єкта;
  • реєстрацію дій суб'єкта та його процесу;
  • надання можливостей виключення тавключення нових суб'єктів та об'єктів доступу, а також зміна повноважень суб'єктів;
  • реакцію на спроби НСД, наприклад сигналізацію, блокування, відновлення після НСД;
  • тестування;
  • очищення оперативної пам'яті та робочих областей на магнітних носіях після завершення роботи користувача з даними, що захищаються;
  • облік вихідних друкованих та графічних форм та твердих копій в АС;
  • контроль цілісності програмної та інформаційної частини як СРД, і забезпечують її коштів.

Основні принципи контролю доступу до СВТ

Дискреційний принцип контролю доступу

Комплекс засобів захисту має контролювати доступ найменованих суб'єктів (користувачів) до найменованих об'єктів (файлів, програм, томів тощо).

Для кожної пари (суб'єкт - об'єкт) у СВТ має бути задано явне та недвозначне перерахування допустимих типів доступу (читати, писати тощо), тобто тих типів доступу, які є санкціонованими для даного суб'єкта (індивіда або групи індивідів) до даному ресурсу СВТ (об'єкту).

Контроль доступу повинен бути застосовним до кожного об'єкта та кожного суб'єкта (індивіда або групи рівноправних індивідів).

Механізм, що реалізує дискреційний принцип контролю доступу, повинен передбачати можливості санкціонованої зміни ПРД, у тому числі можливість санкціонованої зміни списку користувачів СВТ та списку об'єктів, що захищаються.

Мандатний принцип контролю доступу

КСЗ при введенні нових даних у систему повинен вимагати та отримувати від санкціонованого користувача класифікаційні мітки цих даних. При санкціонованому занесенні до списку користувачів нового суб'єкта має здійснюватись зіставлення йому класифікаційнихміток. Зовнішні класифікаційні мітки (суб'єктів, об'єктів) повинні точно відповідати внутрішнім міткам (всередині КСЗ).

КСЗ повинен реалізовувати мандатний принцип контролю доступу стосовно всіх об'єктів при явному та прихованому доступі з боку будь-якого із суб'єктів:

Реалізація мандатних ПРД має передбачати можливості супроводу: зміни класифікаційних рівнів суб'єктів та об'єктів спеціально виділеними суб'єктами.

У СВТ має бути реалізований диспетчер доступу, тобто засіб, який здійснює перехоплення всіх звернень суб'єктів до об'єктів, а також розмежування доступу відповідно до заданого принципу розмежування доступу. При цьому рішення про санкціонованість запиту на доступ має прийматися лише за одночасного дозволу його і дискреційними, і мандатними ПРД. Таким чином, має контролюватись не лише одиничний акт доступу, а й потоки інформації.