Матрица доступа в ИС - Форум по вопросам информационной безопасности

Есть ИС, в которой зарегистрировано более 1000 пользователей и регулярно регистрируются новые.
Незарегистрированные пользователи тоже могут с ней работать, но только с ограниченным функционалом.
Требуется написать матрицу доступа.
Как для такой ИС в матрице доступа учитывать зарегистрированных и незарегистрированных пользователей, перечень которых, по факту, неограничен.
Можно ли в матрице доступа ввести обезличенные неограниченные группы субъектов доступа "Зарегистрированные пользователи" и "Незарегистрированные пользователи", и под эти группы субъектов уже указывать права доступа?

Нужно. Ролевая модель доступа же...

Значит, допускается наличие в матрице доступа групп субъектов (ролей), состав которых не определен?

Допускается все, что угодно. Формат современных АС (ИС) давно отличается от приведенной формы Матрицы (по инструкции МВК), тем более, что ее форма четко определена только для гостайны. Назначение матрицы - к защищаемой информации и иным ресурсам должны быть четко указаны все реально используемые права доступа. Внешние пользователи же в том же 17 Приказе есть, почему не может быть "незарегистрированных"? Гостевой доступ же...

>Можно ли в матрице доступа ввести обезличенные неограниченные группы

нужно, ибо с каждым новым пользователем ИС придётся переписывать приказ по допуску. и матрицу лучше всего вести в эл.виде.

> Как для такой ИС в матрице доступа учитывать зарегистрированных и незарегистрированных пользователей, перечень которых, по факту, неограничен.

См., например, методический документ "Меры защиты информации в ГИС", мера защиты УПД.11

"Оператором должен быть установлен перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, и запрет действий
пользователей, не включенных в перечень разрешенных действий, до прохождения ими процедур идентификации и аутентификации."

Смысл в следующем. Вы говорите, что в вашей ИС есть вот такие общедоступные интерфейсы, вы о них в курсе, вы знаете, что через них пользователь может выполнить вот такие операции, и знаете, что выполнение этих операций не дают возможности выполнить НСД. Поэтому доступ на выполнение таких операций, вы осознанно не ограничиваете. Эти объекты доступа вы и перечисляете в отдельном разделе матрицы как общедоступные..