ерта група: без доступу на контрольовану територію; з контрольованої території без доступу до будівель; всередині приміщення, але без доступу до технічних засобів; з робочих місць користувачів; з доступом в зону даних; з доступом в зону управління засобами забезпечення безпеки.
. 4 Модель порушника
Порушники класифікуються за рівнем можливостей, що представляються їх штатними засобами. Виділяють чотири рівня цих можливостей:
1. запуск завдань з фіксованого набору, заздалегідь передбачених функцій по обробки інформації;
2. запуск власних програм з новими функціями, обробними інформації;
. по можливості управління функціонуванням автоматизованої системи (АС);
. визначається всім обсягом можливостей осіб, які здійснюють проектування або реалізують ремонт АС.
Під політикою безпеки розуміється набір правових та організаційно-технічних заходів прийнятих в конкретній організації. Політика визначає безліч умов, при яких користувачі системи можуть отримати доступ до ресурсів операційній системі (О.С.) без втрати безпеки цієї системи.
Інформаційна політика оформляється у вигляді спеціальних документів.
З 1 рівня вищої починається процес розробки політики безпеки: керівництво - інженер безпеки (рівень вимог політики) - інженер безпеки (описує обмеження на операції робочим);
другий рівень: інженер безпеки (формальні специфікації);
третій рівень: низькорівневі формальні специфікації - розробники - програмні і апаратні реалізації.
2. Опис політики безпеки
Опис політики безпеки може бути реалізоване на трьох рівнях:
1. неформальне опис - опис політики зводиться до опису розмежувань доступу суб'єктів до об'єктів. На високому рівні специфікація розмежувань зводиться до характеристик суб'єктів і об'єктів.
Для суб'єктів:
· ступінь довіри до суб'єкта;
Використовується при доступі суб'єктів до інформації з урахуванням класифікації інформаційних ресурсів.
· Необхідність доступу суб'єкта
Атрибут вказує, що суб'єкт повинен мати доступ до
інформаційному ресурсу.
· Роль використовується суб'єктом
Використовується при описі функцій користувача системи і відповідних повноважень цього користувача.
· Групи, до яких відноситься суб'єкт
Використовується для групи користувачів з однаковими привілеями.
Характеристики об'єкту:
1. Мітка чутливості об'єкта
Використовується при класифікації інформаційних ресурсів. Класифікація необхідна для визначення цінності в розробці механізмів контролю, що зберігають цінність для організації. Вся інформація поділяється на категорії:
· Конфіденційна,
· Для службового користування,
· Вільного доступу.
Конфіденційна інформація - це інформація, розкриття якої може зруйнувати окремі секрети, завдати шкоди організації, зменшити переваги організації в конкурентній боротьбі.
Службового користування - це інформація необхідна персоналу для функціонування організації.
Вільного доступу - ця інформація, яка розповсюджується для громадського використання.
Операції, які виконує суб'єкт над об'єктом
1. створення об'єктів і завдання атрибутів доступу до них,
2. періодична коригування класифікації об'єктів, тобто перегляд рівня конфіденційності,
. знищення об'єктів,
. читання інформації з об'єктів,
. читання, запис,
. копіювання,
До політики безпеки відноситься також і вимога допоміжних політик безпеки, які включають:
1. власність,
2. авторизація,
. мінімальні привілеї,
. поділ користувачів,
. повноваження користувачів,
. відсутність захисту за замовчуванням,
. повагу і право на таємницю,
. відсутність гарантії таємниці повідомлень,
. регулярний моніторинг повідомлень,
. статистика,
. розкриття при подію,
. поширен...
