Полная версия

Главная arrow Информатика arrow Безопасность и управление доступом в информационных системах

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Оценка прочности безопасности информации в комплексе средств автоматизации обработки информации с различными требованиями

С учетом моделей нарушителя для систем различного назначения и предъявляемых требований должны существовать различные критерии оценки достаточности мер обеспечения безопасности. Рассмотренный выше метод оценки касается наиболее ответственных систем, ориентированных на нарушителя-про- фессионала, расположенного вне объекта защиты, т. е. которому для выполнения несанкционированного доступа к информации необходимо преодолеть контролируемую границу территории объекта, систему контроля доступа в помещение объекта и т. д.

Нарушитель-пользователь уже имеет определенные полномочия по санкционированному доступу к информации в соответствии со своими функциональными обязанностями и задачами. Это означает, что ему известен код пароля для прохода через систему опознания и разграничения доступа к информации, подлежащей защите, в объеме, определенном таблицей полномочий, заданных ему администратором комплекса средств автоматизации обработки информации.

Ожидаемой целью пользователя-нарушителя может стать попытка выйти за пределы своих полномочий и получить доступ к информации других пользователей комплекса средств автоматизации обработки информации, например он может подобрать чужой код пароля, подсмотреть его украдкой или похитить носитель и т. д., а также выйти на секретную информацию методом массированных специально составленных запросов с целью использования возможных программных ошибок или сбоев аппаратуры. Это говорит о необходимости применения аппаратуры и программного обеспечения с высокой надежностью.

Пользователь может воспользоваться и другими возможностями, например снять лишнюю копию информации, подменить носитель и т. д. Тем не менее успех в попытках нарушителя зависит от уровня прочности средств защиты перечисленных ранее возможных каналов несанкционированного доступа, который оценивается указанными выше методами для конкретной информационной системы. В число возможных нарушителей включаются также лица из технического и нетехнического обслуживающего персонала. Уровень эффективности средств защиты в подобного рода ситуациях в первую очередь определяется уровнем организации и выполнения требований по разграничению доступа. Для более строгой оценки можно проанализировать возможности несанкционированного доступа с позиций каждого лица, обслуживающего и работающего с комплексом средств автоматизации обработки информации, по приведенным выше методикам, что может оказать влияние на уточнение его полномочий и совершенствование организационных защитных мероприятий.

Оценка прочности защиты информации от квалифицированного нарушителя-непрофессионала предполагает исключение некоторых возможных каналов несанкционированного доступа из таблицы оценки, например побочное электромагнитное излучение и наводки, а также остатки информации на магнитных носителях после стирания.

При оценке защиты системы от неквалифицированного нарушителя можно из числа возможных каналов несанкционированного доступа исключить ремонтируемую аппаратуру, средства загрузки программного обеспечения, мусорную корзину, а также упростить требования к средствам защиты информации и программного обеспечения на носителях, ограничиваясь учетом и регистрацией информации и носителей, резервированием информации.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>