Механізми захисту інформації від НСД У розділі розглянуто лише питання керування доступом до інформації і поняття ідентифікації та автентифікації. Звичайно, тут подано тільки деякі відомості про означені питання, оскільки це невичерпні проблеми ЗІ.5.1. Керування доступом Доступ до інформації (access to information) - вид взаємодії двох об'єктів КС, унаслідок якого створюється потік інформації від одного об'єкта до іншого і/або відбувається зміна стану системи. Доступ характеризується типом та атрибутами [1-3]. Тип доступу (access type) - сутність доступу до об'єкта, що характеризує зміст здійснюваної взаємодії, а саме: проведені дії, напрям потоків інформації, зміни в стані системи (наприклад, читання, запис, запуск на виконання, видалення, дозапис). Атрибут доступу (tag, access mediation information) - будь-яка пов'язана з об'єктом КС інформація, яка використовується для керування доступом. Кожному доступу передує запит на доступ. Запит на доступ (access request) - звернення одного об'єкта КС до іншого з метою отримання певного типу доступу. Керування доступом (access control) - це сукупність заходів із визначення повноважень і прав доступу, контролю за додержанням ПРД. Воно включає питання обмеження доступу, розмежування доступу, розподіл доступу (привілеїв), контроль та облік доступу. Існує чотири основні способи керування доступом: фізичний, коли суб'єкти звертаються до фізично різних об'єктів; часовий, коли суб'єкти з різними правами доступу звертаютьсядо одного об'єкта в різні проміжки часу; логічний, коли суб'єкти отримують доступ до спільного об'єкта в рамках однієї ОС; криптографічний, коли права доступу визначаються наявністю ключа розшифрування. Обмеження доступу полягає у створенні фізичної замкнутої перешкоди навколо об'єкта захисту з організацією контрольованого доступу осіб, які мають відношення до об'єкта захисту за своїми функціональними обов'язками. Основні цілі, завдання та методи обмеження доступу розглянуто в попередньому розділі. Розмежування доступу в АС полягає в поділі інформації, яка в ній обробляється, на частини та організації доступу до них відповідно до функціональних обов'язків та повноважень. Завдання розмежування доступу: скорочення кількості посадових осіб, які не мають відношення до відповідної інформації при виконанні своїх функціональних обов'язків, тобто захист інформації від порушника серед допущеного до неї персоналу. При цьому розподіл інформації може здійснюватися за рівнями важливості, секретності, функціонального призначення, за документами і т. д. Оскільки доступ здійснюється з різних технічних засобів, розмежування доступу до них починається саме з них шляхом розміщення їх у різних приміщеннях. Всі підготовчі функції технічного обслуговування апаратури, її ремонту, профілактики, перезавантаження програмного забезпечення і т. п. повинні бути технічно і організаційно відокремлені від основних завдань АС. АС і організацію її обслуговування слід будувати так: технічне обслуговування АС у процесі експлуатації має виконуватися окремим персоналом без доступу до інформації, щопідлягає захисту; перезавантаження програмного забезпечення і його зміни повинні здійснюватися спеціально виділеним для цієї мети перевіреним фахівцем; функції забезпечення безпеки інформації повинні виконуватися спеціальним підрозділом в організації (власнику АС, обчислювальної мережі і т. п.) - службою безпеки; організація доступу до даних АС забезпечує можливість розмежування доступу до інформації, що обробляється в ній, з достатнім ступенем деталізації і відповідно до заданих рівнів повноважень користувачів; реєстрація і документування технологічної та оперативної інформації повинні бути розділені. Розмежування доступу користувачів повинно відбуватися за такими параметрами: за видом, характером, призначенням, ступенем важливості та секретності інформації; за способами її обробки: зчитувати, записувати, модифікувати, виконати команду; за ідентифікатором термінала; за часом обробки т...