Категорирование (классификация) пользователей

Партнерка на США и Канаду по недвижимости, выплаты в крипто

• 30% recurring commission
• Выплаты в USDT
• Вывод каждую неделю
• Комиссия до 5 лет за каждого referral

Приложение 2

к Решению 21/17-7

Проект

КАТЕГОРИРОВАНИЕ (КЛАССИФИКАЦИЯ) ПОЛЬЗОВАТЕЛЕЙ

(Методическое пособие)

Методическое пособие предназначено для ОРГАНИЗАЦИЙ, проводящих мероприятия по категорированию пользователей информационными ресурсами. На основании данного пособия разрабатывается «Положение о категорировании (классификации) пользователей» ОРГАНИЗАЦИИ.

1. Основные термины и определения

Разграничение (контроль) доступа к ресурсам ИС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в строгом соответствии с установленными правилами.

Объект - это пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т. п.), доступ к которому регламентируется правилами разграничения доступа.

Субъект - это активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.

Доступ к информации - ознакомление с информацией (чтение, копирование), ее модификация (корректировка), уничтожение (удаление) и т. п.

Доступ к ресурсу - получение субъектом возможности манипулировать данным ресурсом (использовать, управлять, изменять настройки и т. п.).

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.

Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

Авторизация - предоставление аутентифицированному субъекту соответствующих (предписанных установленным порядком) прав на доступ к объектам системы: какие данные и как он может использовать (какие операции с ними выполнять), какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т. п.

Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).

2. Примерная последовательность и основное содержание работ:

2.1. Определяются категории пользователей ИС ОРГАНИЗАЦИИ, а также режимы использования информационными ресурсами и уровни доступа к информации:

В ОРГАНИЗАЦИИ имеется несколько категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам ИС ОРГАНИЗАЦИИ:

пользователи баз данных (конечные пользователи, сотрудники подразделений ОРГАНИЗАЦИИ);

ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД);

администраторы серверов (файловых серверов, серверов приложений, серверов баз данных) и ЛВС;

системные программисты (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей;

разработчики прикладного программного обеспечения;

специалисты по обслуживанию технических средств вычислительной техники;

администраторы информационной безопасности (специальных средств защиты) и др.

2.2. Осуществляется авторизация пользователей с использованием следующих основных механизмов реализации разграничения доступа:

механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т. п.;

механизмов полномочного управления доступом, основанных на
использовании меток конфиденциальности ресурсов и уровней допуска
пользователей;

механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков
разрешенных для использования программ),

поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.

Технические средства разграничения доступа к ресурсам ИС должны рассматриваться как составная часть единой системы контроля доступа субъектов:

на контролируемую территорию;

в отдельные здания и помещения организации;

к элементам ИС и элементам системы защиты информации (физический
доступ);

к информационным и программным ресурсам ИС.

2.3. Регистрация (создание учетной записи) пользователя

С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику ОРГАНИЗАЦИИ, допущенному к работе с конкретной подсистемой ИС ОРГАНИЗАЦИИ, должно быть сопоставлено персональное уникальное имя (бюджет или учетная запись пользователя), под которым он будет регистрироваться и работать в системе.

Некоторым сотрудникам в случае производственной необходимости могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими сотрудниками при работе в ИС одного и того же имени пользователя (“группового имени”) ЗАПРЕЩЕНО.

Процедура регистрации (создания учетной записи) пользователя для сотрудника ОРГАНИЗАЦИИ и предоставления ему (или изменения его) прав доступа к ресурсам ИС инициируется заявкой начальника подразделения (отдела, сектора), в котором работает данный сотрудник.

В заявке указывается:

содержание запрашиваемых изменений (регистрация нового пользователя ИС, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам ИС ранее зарегистрированного пользователя);

должность (с полным наименованием подразделения), фамилия, имя и отчество сотрудника;

имя пользователя (учетной записи) данного сотрудника;

полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных рабочих станциях ИС). Наименования задач должны указываться в соответствии с формулярами задач, наименования РС - в соответствии с формулярами рабочих станций.

Заявку визирует вышестоящий руководитель ОРГАНИЗАЦИИ, утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного сотрудника к необходимым для решения им указанных задач ресурсам ИС.

Затем начальник отдела ______(автоматизации) и руководитель службы (начальник отдела) обеспечения безопасности информации рассматривают представленную заявку и подписывают задание соответствующим администраторам сети, серверов, баз данных и администратору специальных средств защиты информации от несанкционированного доступа (СЗИ НСД) на внесение необходимых изменений в списки пользователей соответствующих подсистем.

На основании заявки (задания) администратор сети в соответствии с формулярами указанных задач (хранящихся в архиве эталонных дистрибутивов программ - АЭД), и документацией на средства защиты сетевых операционных систем производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и заявленных прав доступа к сетевым ресурсам ИС, включению его в соответствующие задачам группы пользователей и другие необходимые действия. Учетные записи всех пользователей должны быть “привязаны” к конкретным рабочим станциям (к номерам сетевых карт) или к сегменту сети (группе рабочих станций). Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в месяц. Аналогичные операции для систем управления базами данных (СУБД) выполняет администратор баз данных и (при необходимости) системный администратор серверов баз данных.

Администратор СЗИ НСД в соответствии с формулярами указанных задач и Руководством администратора системы защиты от НСД производит необходимые операции по созданию нового пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора) и прав доступа к ресурсам указанных в заявке рабочих станций, включению его в соответствующие задачам системные группы пользователей и другие необходимые операции.

После внесения изменений в списки пользователей администратор СЗИ НСД должен обеспечить соответствующие категориям защиты указанных рабочих станций настройки средств защиты. Проверка правильности настроек средств защиты должна осуществляться согласно “Порядку проверки работоспособности системы защиты после установки (обновления) программных средств ИС и внесения изменений в списки пользователей”.

По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписями исполнителей - администраторов сети, баз данных, администратора серверов приложений и администратора СЗИ НСД.

Сотруднику, зарегистрированному в качестве нового пользователя системы, под роспись сообщается имя соответствующего ему пользователя, выдается персональный идентификатор и личные ключевые дискеты (для работы в режиме усиленной аутентификации) и начальное(-ые) значение(-ия) пароля(-ей), которое(-ые) он обязан сменить при первом же входе в систему (при первом подключении к ИС).

Исполненная заявка передается в подразделение и хранится в архиве у ответственного за информационную безопасность подразделения (при его отсутствии – у руководителя подразделения). Копии исполненных заявок могут находиться также в отделе _____(автоматизации) и службе обеспечения безопасности информации. Они могут впоследствии использоваться:

для восстановления бюджетов и полномочий пользователей после аварий в ИС;

для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам системы при разборе конфликтных ситуаций;

для проверки сотрудниками ООИБ (Отдел обеспечения информационной безопасности) правильности настройки средств разграничения доступа к ресурсам системы.

Механизмы управления доступом субъектов к объектам доступа выполняют основную роль в обеспечении внутренней безопасности компьютерных систем. Их работа строится на концепции единого диспетчера доступа.

3. Основные функции диспетчера доступа

Диспетчер доступа:

проверяет прав доступа каждого субъекта к конкретному объекту на основании информации, содержащейся в базе данных системы защиты (правил разграничения доступа);

разрешает (производит авторизацию) или запрещает (блокирует) доступ субъекта к объекту;

при необходимости регистрирует факт доступа и его параметры в системном журнале (в том числе попытки несанкционированного доступа с превышением полномочий).

Основными требованиями к реализации диспетчера доступа являются:

полнота контролируемых операций (проверке должны подвергаться все

операции всех субъектов над всеми объектами системы, - обход диспетчера предполагается невозможным);

изолированность диспетчера, то есть защищенность самого диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования;

возможность формальной проверки правильности функционирования;

минимизация используемых диспетчером ресурсов (накладных расходов).

В общем виде работа средств разграничения доступа субъектов к объектам основана на проверке сведений, хранимых в базе данных защиты.

Под базой данных защиты (security database) понимают базу данных, хранящую информацию о правах доступа субъектов к объектам.

Для внесения изменений в базу данных защиты система разграничения доступа должна включать средства для привилегированных пользователей (администраторов безопасности, владельцев объектов и т. п.) по ведению этой базы.

Такие средства управления доступом должны обеспечивать возможность выполнения следующих операций:

добавления и удаления объектов и субъектов;

просмотра и изменения соответствующих прав доступа субъектов к объектам.

4. Типы событий

Диспетчер доступа, контролируя множество событий безопасности, происходящих в системе, тесно взаимодействует с подсистемами регистрации событий и оперативного оповещения об их наступлении. Он обеспечивает обнаружение и регистрацию до нескольких сотен типов событий. Примером таких событий могут служить:

вход пользователя в систему;

вход пользователя в сеть;

неудачная попытка входа в систему или сеть (неправильный ввод имени или пароля);

подключение к файловому серверу;

запуск программы;

завершение программы;

оставление программы резидентно в памяти;

попытка открытия файла недоступного для чтения;

попытка открытия на запись файла недоступного для записи;

попытка удаления файла недоступного для модификации;

попытка изменения атрибутов файла недоступного для модификации;

попытка запуска программы, недоступной для запуска;

попытка получения доступа к недоступному каталогу;

попытка чтения/записи информации с диска, недоступного пользователю;

попытка запуска программы с диска, недоступного пользователю;

вывод на устройства печати документов с грифом (при полномочном
управлении доступом);

нарушение целостности программ и данных системы защиты и др.