2018-01-21
178
Під поняттям політики безпеки інформації розуміється організована сукупність документованих керівних рішень, спрямованих на захист інформації та асоційованих з нею ресурсів системи. ПБ викладає систему поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу реалізованого в системі комплексу заходів з захисту інформації.
Формуючи окрему ПБ, виділяють такі її компоненти:
• формулювання проблеми;
• визначення позиції організації;
• визначення сфери поширення, ролей і відповідальності;
• призначення осіб для контактів у даному питанні.
Серед ПБ найбільш відомі дискреційна, мандатна та рольова. У РПБ класичне поняття суб’єкт заміщується поняттям користувач і роль.
Користувач — це людина, яка працює з системою і виконує певні службові обов’язки.
Роль — це активна діюча в системі абстрактна сутність, з якою пов’язаний обмежений, логічно зв’язаний набір повноважень, необхідних для здійснення певної діяльності.
|
|
|
При використанні РПБ керування доступом здійснюється в дві стадії:
1. Для кожної ролі вказується набір повноважень, що являють собою набір прав до об’єктів.
2. Кожному користувачеві призначається список доступних йому ролей.
Зокрема, ієрархічна організація ролей являє собою найпоширеніший тип рольової моделі, оскільки вона дуже точно відображає реальне відношення підпорядкованості між учасниками процесів обробки інформації і розподіл між ними сфер відповідальності. Ролі в ієрархії упорядковуються за рівнем наданих повноважень. Чим вища роль в ієрархії, тим більше з нею пов'язано повноважень, оскільки вважається, що коли користувачу надана деяка роль, то йому автоматично призначаються і всі підпорядковані їй за ієрархією ролі.
РПБ може використовуватися одночасно з іншими ПБ, коли повноваження ролей, що призначаються користувачам, контролюються ДПБ або МПБ, що дає змогу будувати схеми контролю доступу.
У хімічній лабораторії є наявним такий персонал: керівник лабораторії, заступник керівника, співробітники служби безпеки, системний адміністратор, старші наукові співробітники та їх асистенти (користувачі АС), технічні працівники. На основі цього розділимо права доступу та повноваження і призначимо певні ролі до технічних засобів, виготовленої продукції і документації, яка стосується досліджень.
З переліченого персоналу видно, що його можна зобразити у вигляді певної ієрархії. Це дає змогу зробити певні висновки і дозволяє з переліченого списку вибрати РПБ, оскільки вона дуже точно відображає реальне відношення підпорядкованості між учасниками процесів обробки інформації і розподіл між ними сфер відповідальності. Тому для даного персоналу використаємо модель двох ролей, а саме вищу і нищу.
|
|
|
Керівнику лабораторії, його заступнику, працівникам служби безпеки, системному адміністратору і науковому персоналу призначимо вищу роль, яку в свою чергу умовно поділимо ще на дві — головну і побічну. Технічним працівникам призначимо нищу роль.
Керівнику лабораторії, заступнику і системному адміністратору присуджується головна роль з усіма правами доступу до технічних засобів і повної інформації, що циркулює в системі лабораторії, проте все ж для системного адміністратора зберігаються деякі обмеження, тобто він працює тільки з цифровою інформацією, що циркулює в системі, або з інформацією яка була йому надана для роботи. Працівникам служби безпеки присуджується побічна роль, що дозволяє їм вхід у приміщення де циркулює ІзОД, проте вони не мають права на її перегляд, користування, накопичення і т.д.
Наукові співробітники (користувачі) отримують частковий доступ до ЛОМ, тому що реалізація їх обов’язків без цього є неможливою, а також мають право доступу до комплексу дослідження та даних по синтезу хімічних сполук, проте мають обмеження стосовно комунікаційних пристроїв та доступу до кімнат, які не мають безпосереднього відношення до їх роботи.
Технічний персонал має доступ до кімнат, які передбаченні їх посадовими інструкціями, і тільки у відведений для цього час. При надзвичайних ситуаціях їм надається додатковий тимчасовий доступ до приміщень співробітниками служби безпеки.
Для безпечного функціонування даної організації розроблено систему захисту ТЗІ та ІзОД. Причому, за допомогою ТЗІ здійснюється своєчасне виявлення та знешкодження загроз щодо ІзОД. Визначаються задачі по ЗІ, розробляються заходи для закупівлі, встановлення та реалізації ТЗІ.
Система захисту ІзОД передбачає одночасне застосування систем інженерно-технічних споруд паралельно з засобами забезпечення ТЗІ.
Розділ 4
