Принципи керування доступом користувачів до інформації

В АІС повинне бути реалізоване адміністративне та довірче керування доступом.

Довірче керування доступом має застосовуватися до слабо-зв’язаних об’єктів, власником яких є звичайний користувач.

Адміністративне керування доступом застосовується до об’єктів БД.

Керування доступом забезпечує можливість керування потоками інформації від захищених пасивних об’єктів до активних об’єктів з метою захисту пасивних об’єктів від несанкціонованого ознайомлення з їхнім містом та від несанкціонованої модифікації.

Розмежування інформаційних потоків слід здійснювати на підставі атрибутів доступу об’єктів та користувача.

Атрибути доступу.

Атрибути доступу користувачів та процесів, на підставі яких здійснюється розмежування доступу до пасивних об’єктів, містять наступні дані.

1. Атрибути доступу користувачів дооб’єктів, на підставі яких здійснюється розмежування доступу засобами ОС:

· ідентифікатор користувача/ ідентифікатор групи користувачів, членом яких є користувач;

· список повноважень, що визначають права доступу до пасивних об’єктів, користувача/ групи користувачів (членом якої є користувач).

2. Атрибути доступу процесів до об’єктів, на підставі яких здійснюється розмежування доступу засобами ОС:

· ідентифікатор процесу;

· список повноважень користувача, який запустив процес.

3. Атрибути доступу користувачів дооб’єктів, на підставі яких здійснюється розмежування доступу засобами СКБД:

· ім’я користувача;

· ідентифікатор користувача;

· ідентифікатор ролі користувача, сервера, бази даних або застосування, які визначають список його повноважень щодо до доступу до пасивних об’єктів.

4. Атрибути доступу процесів до об’єктів, на підставі яких здійснюється розмежування доступу засобами СКБД:

· ідентифікатор процесу;

· ролі сервера, бази даних або застосування, які визначають права доступу до різних пасивних об’єктів у рамках конкретного застосування.

5. Атрибути доступу користувачів, на підставі яких здійснюється розмежування доступу при роботі з програмними комплексами, що входять до складу СПЗ, містять такі дані:

· ідентифікатор конкретного програмного комплексу, що входить до складу СПЗ;

· ідентифікатор користувача;

· роль застосування, яка визначає права доступу до різних пасивних об’єктів визначеного користувача у рамках конкретного програмного комплексу, що входить до складу СПЗ.

До пасивних об'єктів, що захищаються засобами ОС, належать:

· Файли;

· Каталоги;

· Ключі реєстру

Атрибутом доступу файлів, каталогів, та ключів реєстру є їх список управління доступом (перелік користувачів, що мають право доступу до об’єкту та дозволених їм прав доступу).

Доступ до сегментів оперативної пам’яті базується на доступу власника тільки до своїх сегментів і забороні доступу до сегментів інших користувачів.

До пасивних об'єктів, що захищаються засобами СКБД, належать:

· таблиці БД;

· збережені процедури;

· представлення;

· функції.

Атрибутами доступу до пасивних об'єктів на рівні СКБД являються їх список прав доступу. Правами доступу є:

- читання даних (таблиці, представлення, функції);

- доповнення даних (таблиці, представлення);

- модифікація (таблиці, представлення);

- вилучення даних (таблиці, представлення);

- виконання (збережені процедури).

До пасивних об'єктів, які захищаються під час роботи користувача з програмними комплексами, що входять до складу СПЗ, належать:

· таблиці БД;

· збережені процедури;

· представлення;

· функції;

· функції ПК.

Атрибутами доступу до пасивних об'єктів на рівні СПЗ являються:

- читання даних (таблиці, представлення, функції);

- доповнення даних (таблиці, представлення);

- модифікація (таблиці, представлення);

- вилучення даних (таблиці, представлення);

- виконання (збережені процедури).

Атрибутом доступу до функції ПК є її назва та дозвіл на виконання.