Комплексні системи захисту інформації. Проектування, впровадження, супровід

«Модульнiсть» КЗЗ

КЗЗ повинен мати модульну структуру. На рiвнi розгляду архiтектури ІТС «модульнiсть» означае, що КЗЗ мае бути реалiзований як набiр вiдносно незалежних частин. Кожна з цих частин повинна взаемодiяти з iншими тiльки через добре визначенi iнтерфейси.

На рiвнi розгляду архiтектури КЗЗ «модульнiсть» означае, що КЗЗ мае функцiонувати як сукупнiсть логiчних груп програмного та апаратного забезпечення так, щоб кожна група вирiшувала певнi завдання. Для ПЗ, наприклад, в простiшому випадку пiд цим слiд розумiти, що подiбнi функцii мають бути зосередженi в певних вихiдних файлах.

Пiд бiльш жорсткими вимогами слiд розумiти використання приховання даних та iнших механiзмiв, що дозволяють мати впевненiсть, що кожний модуль вирiшуе едине завдання. Будь-яка взаемодiя мiж компонентами повинна здiйснюватись тiльки через вiдомi i описанi канали (iнтерфейси).

3. Атрибути доступу

Для реалiзацii полiтики безпеки КЗЗ повинен забезпечити iзоляцiю об'ектiв всерединi сфери управлiння та гарантувати розмежування запитiв доступу i керування потоками iнформацii мiж об'ектами.

Для цього всi об'екти ІТС повиннi мати атрибути доступу. Атрибути доступу об'екта – це iнформацiя, яка дозволяе КЗЗ iдентифiкувати об'ект i перевiряти легальнiсть запитiв доступу до нього.

Кожний об'ект ІТС повинен мати певний набiр атрибутiв доступу, який включае унiкальний iдентифiкатор та iншу iнформацiю, що визначае його права доступу i/або права доступу до нього. Атрибут доступу – термiн, що використовуеться для опису будь-якоi iнформацii, яка використовуеться при керуваннi доступом i зв'язана з користувачами, процесами або пасивними об'ектами.

Вiдповiднiсть атрибутiв доступу i об'екта може бути як явною, так i неявною. Атрибути доступу об'екта е частиною його подання в ІТС.

Коли користувачi або процеси намагаються одержати доступ до пасивних об'ектiв, механiзми, що реалiзують керування доступом, на пiдставi полiтики безпеки i перевiрки атрибутiв доступу можуть «прийняти рiшення» про легальнiсть запиту.

Використовуючи набiр атрибутiв доступу вiдповiдно до прийнятоi полiтики безпеки, можна реалiзувати довiрче або адмiнiстративне керування доступом, контроль за цiлiснiстю та iншi види керування доступом.

Для вiдображення функцiональностi ІТС у простiр, в якому не розглядаються права власностi, використовуеться концепцiя матрицi доступу. Проста матриця доступу – це таблиця, яка мiстить iдентифiкатори користувачiв, об'ектiв та видiв доступу до них.