Иванов636336871903591282 (1206699), страница 4

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Принятиетаких мер защиты информации обеспечивается в соответствии сзаконодательством Российской Федерации.Методический документ 2 применяется для выбора и реализации всоответствии с пунктом 21 Требований о защите информации, не составляющейгосударственную тайну, содержащейся в государственных информационныхсистемах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. 2 No 17,мер защиты информации в информационных системах, направленных наобеспечение:‒ конфиденциальности информации (исключение неправомерного доступа,копирования, предоставления или распространения информации);‒ целостности информации (исключение неправомерного уничтожения илимодифицирования информации);‒ доступности информации (исключение неправомерного блокированияинформации).

2Реализация мер, представленных в данном методическом документе требуетсоставления модели угроз информационной системы, создание, аттестацию ивнедрение системы защиты и использование сертифицированных средств для14обеспечения защиты информации в информационной системе предприятия. Длявыполнения этих мер требуется длительный срок, поэтому было решенопровести базовую реализацию некоторых мер уже имеющимися средствами, тоесть внутренними средствами операционной системы Windows. Данныесредства позволяют реализовать меры управления доступом субъектов доступак объектам доступа 1 и 2.

2Согласно пункту 3.2 Управление доступом субъектов доступа к объектамдоступа (УПД), 2 мера защиты УПД 1 Управление (Заведение, активация,блокирование и уничтожение) учетными записями пользователей, в том числевнешних пользователей, 2 необходимо предоставить пользователям права 16 доступак объектам доступа информационной системы, основываясь на задачах,решаемых пользователями в информационной системе. 2 Предоставление правдоступа 16 связано с реализацией методов управления доступом. Требования креализации методов разграничения доступа указаны в мере защиты УПД 2Реализация необходимых методов управления доступом (дискреционный,мандатный, ролевой или иной метод), типов (чтение, запись, выполнение илииной тип) и правил разграничения доступа.

В 2 соответствии с этой меройзащиты, в информационной системе для управления доступом субъектовдоступа к объектам доступа должны быть реализованы установленныеоператором методы управления доступом, назначены типы доступа субъектов кобъектам доступа и реализованы правила разграничения доступа субъектовдоступа к объектам доступа. Методы управления доступом реализуются взависимости от особенностей функционирования информационной системы, сучетом угроз безопасности информации и должны включать один иликомбинацию следующих методов:‒ дискреционный метод управления доступом, предусматривающийуправление доступом субъектов доступа к объектам доступа на основеидентификационной информации субъекта и для каждого объекта доступа –списка, содержащего набор субъектов доступа (групп субъектов) иассоциированных с ними типов доступа; 215‒ ролевой метод управления доступом, предусматривающий управлениедоступом субъектов доступа к объектам доступа на основе ролей субъектовдоступа (совокупность действий и обязанностей, связанных с определеннымвидом деятельности);‒ мандатный метод управления доступом, предусматривающий управлениедоступом субъектов доступа к объектам доступа на основе сопоставленияклассификационных меток каждого субъекта доступа и каждого объектадоступа, отражающих классификационные уровни субъектов доступа иобъектов доступа, являющиеся комбинациями иерархических инеиерархических категорий.Типы доступа должны включать операции по чтению, записи, удалению,выполнению и иные операции, разрешенные к выполнению пользователем(группе пользователей) или запускаемому от его имени процессу при доступе кобъектам доступа.Правила разграничения доступа реализуются на основе установленныхоператором списков доступа или матриц доступа и должны обеспечиватьуправление доступом пользователей (групп пользователей) и запускаемых от ихимени процессов при входе в систему, доступе к техническим средствам,устройствам, объектам файловой системы, запускаемым и исполняемыммодулям, объектам систем управления базами данных, объектам, создаваемымприкладным и специальным программным обеспечением, параметрамнастройки средств защиты информации, информации о конфигурации системызащиты информации и иной информации о функционировании системы защитыинформации, а также иным объектам доступа.

Правила разграничения доступарегламентируются в организационно - распорядительных документах операторапо защите информации. 2Дискреционный метод управления доступом в 2 любом случае используетсяпри развертывании системы защиты. Он обладает большим функционалом иявляется встроенным механизмом операционной системы, используемой напредприятии. Однако, одним из его недостатков является сложность корректной16настройки и поддержания существующих настроек в процессе эксплуатацииинформационной системы. Кроме того, он позволяет организовать движениеинформации в информационных потоках предприятия.

Разделениеинформационных потоков предприятия может осуществляется сиспользованием различных методов и технологий, при этом обменинформацией между пользователями при отсутствии функциональной системыэлектронного документооборота, как правило, осуществляется сиспользованием обменных папок, доступ к которым открыт у какой-то группыпользователей или у всех пользователей. Мандатный доступ и дискреционныйдоступ действуют независимо друг от друга. То есть, если, например, присвоитьпапке метку конфиденциальности "строго конфиденциально" и одновременноразрешить пользователю работу с этой папкой средствами дискреционногодоступа, то пользователь сможет работать с ней, только если он имеет уровеньконфиденциальности не меньше чем "строго конфиденциально". И наоборот,если папке с меткой конфиденциальности "конфиденциально" запретить доступпользователю средствами дискреционного доступа, этот пользователь не сможетработать с ней, даже если и имеет уровень конфиденциальности не меньше"конфиденциально".

В связи с этим возможно появление двух видов ошибокпри настройке методов разграничения доступа:‒ отсутствие доступа к информации;‒ наличие неправомерного доступа к информации.Исходя из этого появляется необходимость проверки корректности настроекметодов разграничения доступа в информационной системе.Настройка дискреционного метода включает в себя определение типовдоступа, используемых при разграничении доступа. Типы доступа включают всебя стандартные и специальные разрешения NTFS для файлов и папок.К стандартным разрешениям для папок относятся:‒ чтение (Read);‒ запись (Write);‒ список содержимого папки (List folder contents); 5817‒ чтение и выполнение (Read&Execute);‒ изменение (Modify);‒ полный доступ (Full control);‒ особые разрешения ( 58 Special Permission).К 58 стандартным разрешениям для файлов относятся:‒ чтение (Read);‒ запись (Write);‒ 58 чтение и выполнение (Read&Execute);‒ изменение (Modify);‒ полный доступ (Full control);‒ особые разрешения ( 58 Special Permission).К 58 специальным разрешениям для файлов и папок 71 относятся:‒ обзор папок / Выполнение файлов;‒ содержание папки / Чтение данных;‒ чтение атрибутов;‒ чтение дополнительных атрибутов;‒ создание файлов / Запись данных;‒ создание папок / Дозапись данных;‒ запись атрибутов;‒ запись дополнительных атрибутов;‒ удаление;‒ 71 удаление подпапок и файлов;‒ чтение разрешений;‒ смена разрешений;‒ 58 смена владельца.

71Чем более широкий набор типов доступа используется на предприятии, тембольшая сложность настройки дискреционного метода, а следовательноусложняется процедура проверки правильности настройки разграничениядоступа. Возникает необходимость использования программного средства,направленного на упрощение контроля правильности настройки18дискреционного доступа.1.3 Решение проблемы использования дискреционного методаразграничения доступаДля решения проблемы использования дискреционного методаразграничения доступа в информационной системе предприятия было приняторешение о использовании программного средства.

Так как программа должнаобеспечивать лишь контроль корректности базовых настроек операционнойсистемы с использованием внутренних средств Windows для поддержаниясистемы в период пока происходит разработка и (или) внедрениесертифицированных средств защиты, а не их замещение, было принято решениеотказаться от покупки программного средства и разработать собственноеприложение для использования внутри предприятия.

Характеристики

Список файлов ВКР