МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
Кафедра «Захист інформації»
/
ЗВІТ
До виконання практичної роботи №4
«Вибір політики інформаційної безпеки організації»
з курсу:
«Комплексні системи санкціонованого доступу»
Для визначеної страхової компанії «Страх» я обираю рольову політику безпеки. В рольовій політиці безпеки (РПБ) (Role Base Access Control – RBAC) керування доступом здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів. В РПБ класичне поняття суб’єкт заміщується поняттями користувач і роль. Користувач – це людина, яка працює з системою і виконує певні службові обов’язки. Роль – це активно діюча в системі абстрактна суттєвість, з якою пов’язаний обмежений, логічно зв’язаний набір повноважень, які необхідні для здійснення певної діяльності. РПБ розповсюджена досить широко, тому що вона, на відміну від інших більш строгих і формальних політик, є дуже близькою до реального життя. Дійсно, користувачі, що працюють в системі, діють не від свого особистого імені – вони завжди здійснюють певні службові обов’язки, тобто виконують деякі ролі, які аж ніяк не пов’язані з їх особистістю. Тому цілком логічно здійснювати керування доступом і призначати повноваження не реальним користувачам, а абстрактним (не персоніфікованим) ролям, які представляють учасників певного процесу обробки інформації. Такий підхід до ПБ дозволяє урахувати розділ обов’язків і повноважень між учасниками прикладного інформаційного процесу, оскільки з точки зору РПБ має значення не особистість користувача, що здійснює доступ до інформації, а те, які повноваження йому необхідні для виконання його службових обов’язків. Наприклад, в реальній системі обробки інформації можуть працювати системний адміністратор, менеджер баз даних і прості користувачі.
При використанні РПБ керування доступом здійснюється в дві стадії: по-перше, для кожної ролі вказується набір повноважень, що представляють набір прав доступу до об’єктів, і, по-друге, кожному користувачу призначається список доступних йому ролей. Повноваження призначаються ролям відповідно до принципу найменших привілеїв, з якого виникає, що кожний користувач повинен мати тільки мінімально необхідні для виконання своєї роботи повноваження.
Реалізація рольової політики безпеки
Перелік об’єктів інформаційної системи страхової компанії
Об’єкти ІС
Розміщення об’єкта ІС
Види каналів витоку інформації
Методи і засоби захисту
Персональні комп’ютери:
ПК№1, ПК№2
хол приміщення страхової компанії
Побічні електромагнітні випромінювання,
Оптичний канал витоку,
Впровадження шкідливого програмного забезпечення, Несанкціонований доступ
Екранування, встановлення антивіруса Касперського, «Процедура встановлення програмного забезпечення»,встановлення паролів згідно із документом «Правила вибору паролів», «Політика «чистого стола» та «чистого екрану»» , розміщення монітору таким чином, щоб екран не було видно через вікно, «Правила користування змінними носіями»
ПК№3
кабінет аквізитора
ПК№4
кабінет аварійного комісара
ПК№5
кабінет директора страхової компанії
ПК№6
кабінет системного адміністратора
ПК№7
Працівник СБ
Сейф паперових документів
архівна
Стихійні лиха,
Несанкціонований доступ,Фізичне знищення зловмисниками або персоналом
«Процедура резервного копіювання», встановлення замків та датчиків охоронної пожежної сигналізації
Сервер
кабінет системного адміністратора
Несанкціонований доступ,
DDos атаки,
Впровадження шкідливого програмного забезпечення
Екранування, мережеві фільтри, встановлення замків та датчиків охоронної пожежної сигналізації, встановлення блоку безперебійного живлення
Приміщення, де обробляється ІзОД
хол, кабінет директора, аквізитора, аварійного комісара, архівна, кабінет працівника СБ
Акустичний канал витоку,
Оптичний,
Несанкціонований доступ, встановлення закладних пристроїв
...