Разграничение прав доступа как основополагающее требование организационных мероприятий и их практическая реализация на объекте защиты.

Права доступа (к информации) совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и её носителям, установленных правовыми документами или собственником, владельцем информации

Разграничение доступа - наделение каждого пользователя (субъекта доступа) индивидуальными правами по доступу к информационному ресурсу и проведению операций по ознакомлению с информацией, ее документированию, модификации и уничтожению. Разграничение доступа может осуществляться по различным моделям, построенным по тематическому признаку или по грифу секретности разрешенной к пользованию информации. А также это совокупность методов, средств и мероприятий, обеспечивающих защиту данных от несанкционированного доступа пользователей.

Система разграничения доступа может быть построена по двум моделям:

- Дискреционной: для каждой пары (субъект — объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), то есть тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту).

- Мандатное управление доступом — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности.

- Ролевое разграничение- Ролевое разграничение доступа представляет собой развитие политики дискреционного разграничения доступа, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли

Функции системы разграничения доступа

• реализация правил разграничения доступа субъектов и их процессов к данным;
• реализация ПРД субъектов и их процессов к устройствам создания твёрдых копий;
• изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
• управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;
• реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.

Доступ к рабочим местам в ИС следует предоставлять только зарегистрированным пользователям.

Системы управления доступом должны обеспечивать:

• идентификацию и аутентификацию пользователей, а также при необходимости терминала и местонахождение каждого зарегистрированного пользователя;

• ведение журнала учета попыток доступа (успешных и неудачных) к ИС;

• по необходимости ограничивать подключение пользователей в неурочное время.

Организационные мероприятия по разграничению прав доступа:

1. Регистрация пользователей: Должны существовать документы с описанием доступных пользователю сервисов, допустимых правил работы в ИС и правил обеспечения режима ЗИ. Сервисы ИС должны не предоставлять доступ, пока не будут закончены процедуры определения полномочий. Для управления доступом к многопользовательским сервисам должна быть разработана процедура регистрации пользователей.

2. Управление привилегиями: Использование специальных привилегий следует ограничить и контролировать, поскольку это один из основных факторов, способствующих нарушению режима ЗИ. В многопользовательских ИС должна существовать система контроля предоставления привилегий.

3. Необходимо контролировать назначение паролей.

4. Для обеспечения эффективного контроля за соблюдением режима ЗИ, необходимо организовать процесс пересмотра прав доступа пользователей через регулярные промежутки времени.

5. Использование паролей: Пользователи должны следовать установленным процедурам поддержания режима ЗИ при выборе и использовании паролей.

6. Пользовательское оборудование, оставленное без присмотра: Пользователи должны обеспечить надлежащую защиту оборудования, оставленного без присмотра. Оборудование, установленное на рабочих местах пользователей (рабочие станции или файловые серверы) может потребовать организации защиты от несанкционированного доступа.

7. Необходимо отслеживать временя простоя терминалов и ограничивать период их подключения к ИС.