Правила розмежування доступу користувачів та процесів до ресурсів інформаційної сфери організації

Найважливішу частину політики безпеки, яка регламентує до­ступ користувачів і процесів до ресурсів інформаційної сфери орга­нізації, складають правила розмежування доступу (ПРД). ПРД - це певним абстрактним механізмом, який виступає посередником при будь-яких взаємодіях об'єктів організації і є найбільш суттєвим еле­ментом політики безпеки.

Так приклад, загальні ПРД можуть бути наступними (за припу­щення, що у організації визначено такі ієрархічні ролі — адміністра­тор безпеки організації, адміністратор, користувач):

• кожне робоче місце повинно мати свого адміністратора, який несе відповідальність за його працездатність та за дотримання всіх вимог і процедур, пов'язаних з обробкою інформації та її захистом. Таку роль може виконувати уповноважений користувач. Цей користувач повинен бути забезпечений відповідними інструкціями і навчений всім вимогам і процедурам;

• для попередження неавторизованого доступу до даних, програм-

Розділ 9 Основи управління інформаційною безпекою

ного забезпечення, інших ресурсів організації, керування механі­змами захисту здійснюється адміністратором безпеки організації (об'єкта організації);

• для попередження поширення комп'ютерних вірусів відповідальність за дотримання правил використання програмного забезпечення несуть: адміністратор безпеки організації, на об'єкті організації — адміністратор безпеки об'єкта організації. Повинно використовуватися тільки програмне забезпечення, яке дозволено політикою безпеки (ліцензійне, яке має відповідні сертифікати, експертні висновки тощо);

• за всі зміни програмного забезпечення, створення резервних і архівних копій несе відповідальність адміністратор безпеки організації (об'єкта організації). Такі роботи виконуються за його дозволом;

• кожний користувач має свій унікальний ідентифікатор і пароль. Право видачі цих атрибутів надається адміністратору. Атрибути для адміністраторів надає адміністратор безпеки організації. Видача атрибутів дозволяється тільки після документальної реєстрації особи як користувача. Користувачам забороняється спільне використання персональних атрибутів;

• користувачі проходять процедуру автентифікації для отримання доступу до ресурсів організації;

• атрибути користувачів періодично змінюються, а невикористову- вані і скомпрометовані — видаляються;

• процедури використання активного мережного обладнання, а також; окремих видів програмного забезпечення, яке може суттєво впливати на безпеку (аналізатори трафіку, аналізатори безпеки мереж;, засоби адміністрування і т.ін.), авторизовані і здійснюються під контролем адміністратора безпеки інформаційної системи;

• усі користувачі повинні знати "Інструкцію користувача" (пройти відповідний курс навчання, скласти іспит);

• адміністратор безпеки організації і адміністратори мереж; повсякденно здійснюють перевірку працездатності засобів захисту інформації, ведуть облік критичних з точки зору безпеки подій і готують звіти щодо цього.

Загальні ПРД мають бути конкретизовані на рівні вибору необ­хідних функціональних послуг захисту (профілю захищеності) та впровадження організаційних заходів захисту інформації.

Частина, II Основи безпеки інформаційних технологій