Автор: Алексей | 81892 | 09.11.2017 11:58 |
Есть ИС, в которой зарегистрировано более 1000 пользователей и регулярно регистрируются новые.
Незарегистрированные пользователи тоже могут с ней работать, но только с ограниченным функционалом. Требуется написать матрицу доступа. Как для такой ИС в матрице доступа учитывать зарегистрированных и незарегистрированных пользователей, перечень которых, по факту, неограничен. Можно ли в матрице доступа ввести обезличенные неограниченные группы субъектов доступа "Зарегистрированные пользователи" и "Незарегистрированные пользователи", и под эти группы субъектов уже указывать права доступа? |
Автор: oko | 81896 | 09.11.2017 14:28 |
Нужно. Ролевая модель доступа же...
|
Автор: Алексей | 81899 | 09.11.2017 15:30 |
Значит, допускается наличие в матрице доступа групп субъектов (ролей), состав которых не определен?
|
Автор: oko | 81908 | 10.11.2017 00:32 |
Допускается все, что угодно. Формат современных АС (ИС) давно отличается от приведенной формы Матрицы (по инструкции МВК), тем более, что ее форма четко определена только для гостайны. Назначение матрицы - к защищаемой информации и иным ресурсам должны быть четко указаны все реально используемые права доступа. Внешние пользователи же в том же 17 Приказе есть, почему не может быть "незарегистрированных"? Гостевой доступ же...
|
Автор: Alex | 82068 | 10.11.2017 11:20 |
>Можно ли в матрице доступа ввести обезличенные неограниченные группы
нужно, ибо с каждым новым пользователем ИС придётся переписывать приказ по допуску. и матрицу лучше всего вести в эл.виде. |
Автор: malotavr | 82071 | 10.11.2017 12:57 |
> Как для такой ИС в матрице доступа учитывать зарегистрированных и незарегистрированных пользователей, перечень которых, по факту, неограничен.
См., например, методический документ "Меры защиты информации в ГИС", мера защиты УПД.11 "Оператором должен быть установлен перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, и запрет действий пользователей, не включенных в перечень разрешенных действий, до прохождения ими процедур идентификации и аутентификации." Смысл в следующем. Вы говорите, что в вашей ИС есть вот такие общедоступные интерфейсы, вы о них в курсе, вы знаете, что через них пользователь может выполнить вот такие операции, и знаете, что выполнение этих операций не дают возможности выполнить НСД. Поэтому доступ на выполнение таких операций, вы осознанно не ограничиваете. Эти объекты доступа вы и перечисляете в отдельном разделе матрицы как общедоступные.. |
Просмотров темы: 5474