Přístupová práva

Přístupová práva  - soubor pravidel upravujících postup a podmínky přístupu subjektu k objektům informačního systému (, jeho médiím, procesům a jiným zdrojům) stanoveným právními dokumenty nebo vlastníkem, vlastníkem informací.

Přístupová práva definují sadu akcí (například čtení, zápis, spouštění), které mohou subjekty (například uživatelé systému) provádět s datovými objekty. To vyžaduje nějaký systém pro udělování různých přístupových práv subjektům k objektům. Jedná se o systém omezení přístupu subjektů k objektům, který je považován za hlavní prostředek ochrany před neoprávněným přístupem k informacím nebo poškozením samotného systému. [jeden]

Funkce systému kontroly přístupu

• implementace pravidel řízení přístupu (APD) subjektů a jejich procesů k datům;
• implementace PRD subjektů a jejich procesů do zařízení pro vytváření papírových kopií;
• izolace programů procesu prováděného v zájmu subjektu od ostatních subjektů;
• řízení toku dat, aby se zabránilo zápisu dat na média s nevhodnými štítky;
• implementace pravidel výměny dat mezi subjekty pro AS a SVT , postavená na síťových principech.

Kromě toho výše uvedené pokyny stanoví dostupnost zařízení pro SynRM, které plní následující funkce:

• identifikace a identifikace (autentizace) subjektů a zachování vazby subjektu na proces prováděný pro subjekt;
• registrace akcí subjektu a jeho procesu;
• poskytování příležitostí k vyloučení a začlenění nových subjektů a objektů přístupu, jakož i ke změně pravomocí subjektů;
• reakce na pokusy o NSD , např. signalizace, zablokování, zotavení po NSD;
• testování;
• čištění RAM a pracovních ploch na magnetických médiích po ukončení práce uživatele s chráněnými daty;
• účtování výstupních tištěných a grafických forem a výtisků v AS;
• kontrola integrity softwarové a informační části jak SynRM, tak prostředků, které ji poskytují.

Základní principy řízení přístupu k počítači (CVT)

Selektivní řízení přístupu

Sada bezpečnostních nástrojů (CSZ) by měla řídit přístup pojmenovaných subjektů (uživatelů) k pojmenovaným objektům (souborům, programům, svazkům atd.).

Pro každou dvojici (předmět-objekt) musí být v CBT uveden výslovný a jednoznačný výčet povolených typů přístupu (čtení, zápis atd.), tedy těch typů přístupů, které jsou pro daný subjekt autorizovány (individuální resp. skupina jednotlivců) danému zdroji CBT (objektu).

Řízení přístupu musí být použitelné pro každý objekt a každý subjekt (jednotlivce nebo skupinu rovnocenných jedinců).

Mechanismus, který implementuje diskreční princip kontroly přístupu, by měl umožnit autorizovanou změnu DRP, včetně možnosti autorizované změny seznamu uživatelů CVT a seznamu chráněných objektů.

Práva na změnu DRP by měla být udělena vybraným subjektům (správa, bezpečnostní služba apod.).

Závazný princip řízení přístupu

Pro implementaci tohoto principu musí být každý subjekt a každý objekt spojeny s klasifikačními štítky, které odrážejí místo tohoto subjektu (objektu) v odpovídající hierarchii. Prostřednictvím těchto označení by měly být subjektům a objektům přiřazeny stupně utajení (úrovně zranitelnosti, bezpečnostní kategorie atd.), které jsou kombinací hierarchických a nehierarchických kategorií. Tyto štítky by měly sloužit jako základ pro nařízený princip řízení přístupu.

Při zadávání nových údajů do systému by si CSC měla vyžádat a obdržet od oprávněného uživatele klasifikační štítky těchto údajů. Když je povoleno přidání nového subjektu do seznamu uživatelů, musí mu být přiřazeny klasifikační štítky. Externí klasifikační štítky (předměty, objekty) musí přesně odpovídat interním štítkům (v rámci CSC).

KSZ by měla zavést povinný princip kontroly přístupu ve vztahu ke všem objektům s explicitním i skrytým přístupem od kteréhokoli ze subjektů:

• subjekt může číst objekt pouze v případě, že hierarchické zařazení v klasifikačním stupni subjektu není nižší než hierarchické zařazení v klasifikačním stupni objektu a nehierarchické kategorie v klasifikačním stupni subjektu zahrnují všechny hierarchické kategorie v klasifikačním stupni objektu;
• subjekt zapisuje do objektu pouze v případě, že klasifikační stupeň subjektu v hierarchické klasifikaci není vyšší než klasifikační stupeň objektu v hierarchické klasifikaci a všechny hierarchické kategorie v klasifikačním stupni subjektu jsou zahrnuty do nehierarchických kategorií v klasifikačním stupni objektu .

Implementace nařízených DRP by měla poskytnout možnost podpory: změny klasifikačních stupňů předmětů a objektů speciálně vybranými subjekty.

V CVT musí být implementován přístupový manažer, tedy nástroj, který zachycuje všechny požadavky od subjektů k objektům, a také řízení přístupu v souladu s daným principem řízení přístupu. O autorizaci žádosti o přístup by přitom mělo být rozhodnuto pouze v případě, že ji současně řeší jak diskreční, tak pověření DRP. Měl by tedy být řízen nejen jediný akt přístupu, ale také informační toky.

Poznámky

1. ↑ Koncepce ochrany počítačového vybavení a automatizovaných systémů před neoprávněným přístupem k informacím . Získáno 3. října 2014. Archivováno z originálu 6. října 2014. (neurčitý)

Literatura

• GOST R 50922-96. Ochrana dat. Základní pojmy a definice.
• Počítačové vybavení. Ochrana před neoprávněným přístupem k informacím. Indikátory ochrany od UA k informacím Archivováno 6. října 2014 na Wayback Machine

Odkazy

• Federální služba pro technickou a exportní kontrolu Archivováno 11. listopadu 2006 na Wayback Machine