Разграничение и контроль доступа к информации

Разграничение доступа в вычислительной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями.

Задача разграничения доступа - сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т. е. защита информации от нарушителя среди допущенного к ней персонала.

При этом деление информации может производиться по степени важности, секретности, по функциональному назначению, по документам и т. д.

Принимая во внимание, что доступ осуществляется с различных технических средств, начинать разграничение можно путем разграничения доступа к техническим средствам, разместив их в отдельных помещениях. Все подготовительные функции технического обслуживания аппаратуры, ее ремонта, профилактики, перезагрузки программного обеспечения и т. д. должны быть технически и организационно отделены от основных задач системы.

АСОИ и организация ее обслуживания должны включать:

• техническое обслуживание АСОИ в процессе эксплуатации должно выполняться отдельным персоналом без доступа к информации, подлежащей защите;

• изменения в программном обеспечении должны производиться специально выделенным для этой цели проверенным специалистом;

· функции обеспечения безопасности информации должны выполняться специальным подразделением;

· организация доступа пользователей к базам данных, хранящейся, в АСОИ должна обеспечивать возможность разграничения доступа к информации, достаточной степенью детализации и в соответствии с заданными уровнями полномочий пользователей;

· регистрация и документирование технологической и оперативной информации должны быть разделены.

Разграничение доступа пользователей - АСОИ может осуществляться по следующим параметрам:

• по виду, характеру, назначению, степени важности и секретности информации;

• по способам ее обработки (считать, записать, внести изменения, выполнить команду);

• по условному номеру терминала;

• по времени обработки и др.

Принципиальная возможность разграничения по параметрам должна быть обеспечена проектом АСОИ. А конкретное разграничение при эксплуатации АСОИ устанавливается потребителем и вводится в систему его подразделением, отвечающим за безопасность информации.

При проектировании базового вычислительного комплекса для построения АСОИ производятся:

• разработка операционной системы с возможностью реализации разграничения доступа к информации, хранящейся в памяти;

• изоляция областей доступа;

• разделение базы данных на группы;

• процедуры контроля перечисленных функций.

В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители - электронные ключи или карточки. Также могут применяться биометрические технологии, рассмотренные ранее.