Организационные методы ЗИП в КС: ограничение доступа, контроль доступа к аппаратуре
А) Ограничение доступа
Ограничение доступа предполагает, что удовлетворить свои информационные потребности в той или иной информационной системе (ИС) может лишь пользователь, имеющий на это право (зарегистрированный пользователь). Доступ в систему для незарегистрированного пользователя запрещен. Здесь, конечно, речь не идет об ИС, работающих с общедоступной информацией, свободно распространяемых на электронных носителях или функционирующих в сети Интернет (телефонные справочники, расписание движения поездов, ИС «Недвижимость» и др.).
Получив доступ в систему (пройдя процедуру идентификации и аутентификации), каждый пользователь реализует свои информационные потребности в соответствии со спектром возможностей, определенных для данной группы пользователей.
Б) С позиций защиты информации от несанкционированного доступа контроль вскрытия аппаратуры защищает от следующих действий:
• Изменения и разрушения принципиальной схемы вычислительной системы и аппаратуры;
• Подключения постороннего устройства;
• Изменения алгоритма работы вычислительной системы путем использования технологических пультов и органов управления;
• Загрузки посторонних программ и внесения программных «вирусов» в систему;
• Использования терминалов посторонними лицами и т.п.
Основная задача систем контроля вскрытия аппаратуры – перекрытие на период эксплуатации всех штатных и технологических подходов к аппаратуре. Если последние потребуются в процессе эксплуатации системы, выводимая на ремонт или профилактику аппаратура перед началом работ отключается от рабочего контура обмена информацией и вводится в рабочий контур под наблюдением и контролем лиц, ответственных за безопасность информации.
ОМ ЗИП в КС: разграничение и контроль доступа, разделение привилегий на доступ.
а) разграничение и контроль
Разграничение доступа пользователей может осуществляться по следующим параметрам: по виду, характеру, назначению, степени важности и секретности информации; по способам ее обработки (считать, записать, внести изменения, выполнить команду); по условному номеру терминала; по времени обработки и т. д.
В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и АИС. В помощь пользователю в системах с повышенными требованиями большие значения кодов паролей записываются на специальные носители – электронные ключи и карточки.
Б) привилегии
Разделение привилегий — это принцип реализации механизма защиты данных, когда для доступа к ним необходимо указать не один, а несколько паролей (несколькими пользователями). Таким образом, разделение привилегий на доступ к информации заключается в том, что из числа допущенных к ней должностных лиц (пользователей) выделяется группа, которой предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.
Задача указанного метода — существенно затруднить преднамеренный перехват информации нарушителем. Этот метод несколько усложняет процедуру входа в систему (доступа к данным), но обладает высокой эффективностью защиты.
ОМ ЗИП в КС: идентификация и установление подлинности
При санкционированном доступе в информационную систему пользователь должен идентифицировать себя, а система — проверить подлинность идентификации (произвести аутентификацию).
Идентификация — это присвоение какому-либо объекту или субъекту, реализующему доступ к ИС, уникального имени (логина), образа или числового значения.
Установление подлинности (аутентификация) заключается в проверке, является ли данный объект (субъект) в самом деле тем, за кого себя выдает. Конечная цель идентификации и установления подлинности объекта в вычислительной системе — его допуск к информации ограниченного пользования в случае положительного результата проверки или отказ в допуске при отрицательном результате.
Объектами идентификации и установления подлинности в информационной системе могут быть:
• человек (оператор, пользователь, должностное лицо);
• техническое средство (терминал, дисплей, ЭВМ);
• документы;
• носители информации (диски, магнитные ленты и т.д.);
• информация на дисплее, табло и т. д.
Установление подлинности может производиться человеком, аппаратным устройством, программой, вычислительной системой и т.д.