Пояснительная записка Пак В.А.24Б (1206721), страница 2
Текст из файла (страница 2)
В данном документе говорится о том, что при проектировании системы защиты информации необходимо определить методы управления доступом, типы доступа и правила разграничения доступа субъектов к объектам доступа.
Для детализации организационных и технических мер защиты информации, был разработан методический документ «Меры защиты информации в государственных информационных системах», утвержденного ФСТЭК России 11 февраля 2014 года. Данный методический документ разработан в соответствии с вышеупомянутыми Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, а значит, может так же применяться и для негосударственных ИС.
Согласно пункту УПД.2, данного методического документа, в информационной системе для управления доступом субъектов к объектам доступа должны быть реализованы установленные оператором методы управления доступом, назначены типы доступа и реализованы правила разграничения доступа.
Методы управления доступом подбираются в зависимости от особенностей работы информационной системы, с учетом угроз безопасности информации и должны содержать один или комбинацию следующих методов:
-
мандатный метод управления доступом;
-
ролевой метод управления доступом;
-
дискреционный метод управления доступом.
Для более ясного обоснования выбора необходимо рассмотреть все три метода разграничения доступа подробнее.
1.1.1 Мандатный метод управления доступом
Мандатный метод основан на назначении меток конфиденциальности для информации, содержащейся в объектах, и выдаче субъектам разрешений (допусков) на работу с информацией такого уровня конфиденциальности.
Метки доступа, присваиваемые объектам, определяют уровень доступа необходимый для работы с хранящейся в них информацией, а метки присваиваемые субъектам определяют уровень доступа информации, к которой они имеют доступ. Таким образом, можно сделать вывод о том, что основу реализации мандатного метода управления доступом составляют два шага:
-
сравнение метки субъекта, который запросил доступ, и метки объекта, к которому совершен запрос;
-
принятие решения о выдаче доступа на основе определенных правил.
Мандатный механизм подчиняется определенным требованиям:
-
каждому объекту и субъекту доступа необходимо сопоставлять классификационные метки, выражающие их место в иерархии. Через эти метки субъектам и объектам необходимо назначать классификационные уровни. Эти метки должны служить основополагающей мандатного принципа разграничения доступа;
-
система защиты при создании новых данных в информационной системе должна запрашивать классификационные метки этих данных у санкционированного пользователя. При санкционированном внесении в список пользователей нового субъекта необходимо назначить ему классификационные метки. Данные метки должны быть идентичны как у внутренних пользователей, так и у внешних;
-
система защиты должна осуществлять мандатный принцип контроля доступа относительно всех объектов при явном и скрытом доступах со стороны любого из субъектов;
-
реализация мандатных принципов разграничения доступа должна предусматривать наличие возможности сопровождения, изменения классификационных уровней субъектов и объектов через специально выделенных субъектов.
Мандатная модель разграничения доступа имеет ряд преимуществ, к которым, например, можно отнести возможность существенного упрощения задачи администрирования. Это касается как исходной настройки политики разграничения доступа, так как не требуется слишком высокой детализации отношений между субъектами и объектами, так и включения в схему администрирования новых объектов и субъектов в процессе работы системы.
Ещё одним несомненным и, пожалуй, самым важным достоинством является то, что субъект не может управлять доступом к ресурсам, которые он создает, полностью. Установленная администратором на системе политика безопасности полностью назначает доступ, и зачастую пользователь не имеет разрешения на установку более свободного доступа к его ресурсам, чем доступ, установленный для него администратором.
Также достоинством является тот факт, что такая система запрещает пользователю или процессу, имеющему определенный уровень доверия, получить доступ к информации, процессам или устройствам с более высшим уровнем защищенности. Таким образом, обеспечивается изоляция, как пользователей, так и процессов. При этом не важно, известен процесс системе или нет, однако стоит учитывать, что неизвестные программы должны быть максимально лишены доверия и их доступ к устройствам и файлам должен быть органичен сильнее.
Из принципа работы мандатного метода разграничения доступа можно выявить недостаток, который заключается в том, что отдельно взятые категории одного уровня имеют одинаковые метки доступности, что указывает на наличие, в большинстве случаев, избыточности прав доступа для определенных субъектов в границах соответствующих уровней.
1.1.2 Ролевой метод управления доступом
Управление доступом на основе ролей основано на том, что права доступа субъектов системы на объекты, находящиеся в данной системе, объединяются в группы с учётом особенностей их применения, тем самым образуя роли.
Формирование ролей направлено на определение чётких и понятных для пользователей системы правил разграничения доступа, таким образом, пользователи получают доступ к объектам исключительно через роли, присвоенные им. Ролевое разграничение доступа позволяет создавать гибкие, динамически изменяющиеся в процессе работы компьютерной системы, правила разграничения доступа.
Несмотря на то, что роль это совокупность прав доступа на объекты системы, ролевое разграничение не является частным случаем дискреционного метода разграничения доступа. Это подтверждается тем, что его правила определяют порядок предоставления доступа для субъектов системы в зависимости от присвоенных ему ролей в каждый момент времени, что является характерным для мандатного управления доступом. Однако данный вид разграничения нельзя рассматривать и как частный случай мандатного в связи с тем, что правила ролевого разграничения являются более гибкими.
Ролевой метод разграничения доступа позволяет упростить некоторые операции по работе с системой. Это обосновывается тем, что права не назначаются непосредственно пользователям, а приобретаются ими через свою роль (роли). Таким образом, упрощаются такие операции, как переназначение прав пользователя, к примеру в связи со сменой подразделения или должности, или добавление нового пользователя.
По сравнению с мандатным и дискреционным методами разграничения доступа, ролевой обладает рядом преимуществ, таких как:
-
возможность создания иерархий ролей с наследованием прав доступа. Данное свойство ролевой модели управления доступа позволяет упростить ролевую модель, так как отпадает необходимость повторно указывать права в нескольких подобных ролях. Несколько ролей, имеющих общий набор прав, достаточно обозначить как дочерние для другой, большей, роли и указать для каждой дочерней роли их уникальные права;
-
возможность простого и эффективного предоставления одинаковых прав доступа большому количеству пользователей путем назначения им одной роли;
-
простота изменения набора прав большому количеству пользователей. К примеру при пересмотре политик безопасности, организации достаточно поменять наборы значений в интересующих ее ролях, вместо того чтобы менять права доступа каждому пользователю, чьи права не удовлетворяют новым требованиям;
-
возможность использования принципа разделения полномочий, благодаря которому снижается риск предоставления избыточных полномочий пользователям.
Как и у любой другой модели, ролевая модель обладает и некоторыми, достаточно серьезными, недостатками:
-
часто в организациях встречаются пользователи с уникальными правами, не встречающимися ни в одной другой роли. Это значительно усложняет построение ролевой модели и может привести к тому, что каждому такому пользователю необходима будет своя уникальная роль. В данной ситуации довольно сложно определить небольшой базовый набор ролей, отвечающий правам доступа основной массы пользователей;
-
в некоторых ситуациях необходимо разбиение существующего набора ролей на несколько. Это может происходить, к примеру, при присоединении к системе некоторой другой системы для расширения функционала. Такое стечение обстоятельств приводит к образованию в системе слишком большого количества ролей. Не исключена ситуация, при которой ролей будет больше чем пользователей;
-
разработка и поддержка в актуальном состоянии данной модели зачастую ведет за собой очень большие материальные затраты. Как итог, стоимость реализации данного метода может превысить стоимость ручного администрирования.
1.1.3 Дискреционный метод управления доступом
Дискреционный метод управления доступом представляет собой управление доступом субъектов к объектам на основании списков управления доступом или матрицы доступа. Этот метод так же называют «Избирательное управление доступом», «Разграничительное управление доступом» или «Контролируемое разграничение доступа».
Суть данного метода заключается в разграничении с помощью определенных правил доступа, составляемых для пар субъект-объект. Каждое правило, должно содержать явный и недвусмысленный набор допустимых типов доступа, разрешенных для субъекта относительно объекта доступа, к которым относится это правило, к примеру, чтение, запись, выполнение и т.п.
Дискреционный метод управления доступом возможно рассмотреть относительно нескольких подходов к его построению:
-
у каждого объекта, находящегося в системе, имеется связанный с ним субъект, именуемый владельцем данного объекта. Владелец самостоятельно устанавливает права доступа к связанному объекту;
-
в системе назначается выделенный субъект, именуемый суперпользователем, которому предоставлено право устанавливать права владения для остальных субъектов, содержащихся в системе;
-
субъект, имеющий определенные права доступа, может на свое усмотрение передавать это право любому другому субъекту системы.
Так же возможны и комбинированные варианты построения дискреционных систем управления доступом. При таком исполнении в системе присутствуют как суперпользователь со своей возможностью изменения прав и владельца для любого объекта системы, так и владельцы, которые устанавливают права доступа к принадлежащим им объектам.
Отличительной положительной особенностью дискреционной модели является ее гибкость. Она обусловлена тем, что субъекты не связаны определенными рамками, как, к примеру, в ролевом методе, где субъекту выделен определенный перечень разрешений, который может быть больше чем ему необходимо и тем самым может вызывать угрозы утечки. В данном случае субъектам назначаются именно те права, которые им необходимы и дозволены, практически исключая возможность завладеть информацией, к которой у них нет доступа.
Однако из этой особенность всплывает и существенный недостаток данной модели, а именно большие затраты времени, необходимого для разработки, настройки и контролирования правил разграничения доступа. Это связанно с тем, что для разработки данной модели необходимо учитывать все связи субъект-объект, а так же явно и недвусмысленно составлять перечни правил разграничения для них, что может стать проблемой при наличии в системе большого количества сотрудников.
По результатам сравнения трех методов разграничения доступа было принято решение о настройке на системе дискреционного метода разграничения доступа. Ключевыми особенностями для принятия данного решения стали:
-
гибкость дискреционного метода разграничения доступа, которая позволяет избавиться от существующей угрозы утечки информации на одном уровне секретности;
-
возможность реализации данного метода стандартными средствами операционной системы.
Однако дискреционный метод требует составления и поддержания в актуальном состоянии огромного количества документации, описывающей текущее разграничение доступа в организации. Это весьма трудоемкий процесс, который требует больших временных затрат.
В связи с этим, а так же с возможностью самостоятельной реализации, было принято решение о разработке собственного программного продукта, помогающего существенно сократить временные затраты на формирование модели разграничения доступа субъектов к объектам доступа.
1.2 Цели и задачи
Одним из основных действий при разработке аналитического обоснования создания системы защиты является составление матрицы разграничения доступа. Как правило, данная матрица доступа ИСПДн имеет вид, представленный в таблице 1.1.
Таблица 1.1 – Пример матрицы доступа ИСПДн отдела
| Привилегии и права, ресурс | Администратор | Пользователь ИСПДн-1 | Пользователь ИСПДн-2 |
| Привилегии и права | |||
| Запрет изменения системных файлов на серверах БД | - | + | + |
| Удаленный доступ к АРМ пользователей | + | - | - |
| Вывод защищаемой информации на принтер | + | + | - |
| Загрузка ПЭВМ с внешних носителей (доступ к BIOS) | + | - | - |
| Запрет изменения системных файлов АРМ пользователей | + | + | + |
| Изменение личного пароля пользователя | + | - | - |
| Работа с системным журналом ОС | + | - | - |
| Возможность создания личных ресурсов на локальных АРМ | + | + | - |
| Окончание таблицы 1.1 | |||
| Привилегии и права, ресурс | Администратор | Пользователь ИСПДн-1 | Пользователь ИСПДн-2 |
| Возможность создания ресурсов на серверах БД | + | - | - |
| Восстановление информационных ресурсов серверов БД | + | - | - |
| Работа с системным журналом СЗИ | + | - | - |
| Установка, настройка, сопровождение СЗИ | + | - | - |
| Ресурс | |||
| Доступ к общим сетевым ресурсам на АРМ пользователей | RWA | RWA | RA |
| Доступ к локальным папкам пользователей | RWAXD | RWAXD | RAXD |
| Центральные БД ИСПДн | RWAXD | RWXD | RXD |
| Доступ к средствам управления БД | RWAXD | - | - |
| Доступ к средствам управления СЗИ | RWAXDS | ||
Представленная таблица описывает ролевое разграничение, так как оно чаще всего используется на организациях. Как можно заметить данная матрица является очень обширной, даже несмотря на то, что описывает только три роли. Так как объем такой матрицы доступа при реализации дискреционного доступа гораздо выше было предложено создать программный модуль помощник, для упрощения работы с матрицей дискреционного доступа.
Целью создания собственного программного продукта является уменьшение временных затрат при составлении документации, необходимой для построения дискреционного метода разграничения доступа, а так же при внесении изменений в уже существующую документацию. Это связанно с тем, что на составление или изменение документов указанных выше затрачивается большое количество временных и умственных усилий, так как необходимо учитывать большой объем данных.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
