Руководство по выработке правил разграничения доступа к ЭВМ

       

Что такое правильное использование ресурсов ?


После определения того, кому разрешен доступ к ресурсам системы, необходимо дать рекомендации по приемлемому использованию ресурсов. Вы можете давать различные рекомендации различным типам пользователей (например, студентам, сотрудникам факультета, внешним пользователям). ПРД должны определять, что такое допустимое использование, а также что такое недопустимое использование ресурсов. В них также следует включить определение типов использования ресурсов, применение которых может быть ограниченным.

Определите границы доступа к ресурсам и полномочия при доступе. Вам понадобится учесть уровень доступа, который будут иметь различные пользователи, а также то, какие ресурсы будут доступны или ограниченно доступны различным группам людей.

В отношении допустимого использования ресурсов ваши ПРД должны однозначно установить, что каждый человек отвечает за свои действия. Их обязанности существуют всегда, независимо от того, какие механизмы секретности действуют. Должно быть явно определено, что использование чужих паролей или обход защиты являются недопустимыми действиями.

Следующие моменты следует учесть при разработке правил допустимого использования:

  • допустимо ли получение доступа к информации о пользователях?
  • допустимо ли вскрытие чужих паролей?
  • допустимо ли разрушение служб сети?
  • должны ли пользователи предполагать, что файл, являющийся доступным всем по чтению, дает им право читать его?
  • можно ли разрешить пользователям модифицировать файлы, которые не являются их собственными, даже если они имеют право записи в них?
  • можно ли нескольким пользователям использовать одно и то же регистрационное имя и пароль?

Ответом на большинство этих вопросов будет "НЕТ".

Вы можете захотеть включить в ваши ПРД пункт, связанный с программным обеспечением, защищенным авторскими правами или лицензированным. Лицензионное соглашение с производителями может потребовать некоторых усилий от вас для того чтобы гарантировать отсутствие нарушений лицензии. Кроме того, вы можете захотеть проинформировать пользователей, что копирование программ, защищенных авторскими правами, является нарушением законов об авторских правах и запрещено.


В отношении программного обеспечения, которое является лицензионным или защищено авторскими правами, вы можете захотеть включить в ПРД следующую информацию:


  • какое лицензионное и защищенное авторскими правами программное обеспечение не может копироваться за исключением случая, когда явно сказано, что вы можете делать это;
  • методы доведения информации о статусе разрешения копирования программ;
  • фразу "Когда у вас возникли сомнения, НЕ КОПИРУЙТЕ".


Ваши правила допустимого использования очень важны. ПРД, которые явно не определяют, что запрещено, могут впоследствии не позволить вам доказать, что пользователь нарушает ПРД.

Существуют исключения, такие как пользователи или администраторы, желающие иметь "лицензию на хэккерство" - вы можете столкнуться с ситуацией, когда пользователи захотят исследовать ваши АС ради тестирования защищенности. Вы должны разработать ПРД, которые будут определять, можно ли вам разрешать такой тип исследований ваших сетевых служб и, если это так, каковы рекомендации при проведении таких исследований.

Что вам следует отразить в этой части ПРД:


  • можно ли это делать вообще;
  • какой тип деятельности разрешен: доступ к информации, запуск сетевых вирусов, запуск вирусов, и т.д.;
  • какой контроль должен осуществляться при этом, чтобы гарантировать, что ситуация не вышла из-под контроля (например, выделить сегмент вашей сети для этих тестов);
  • каким образом вы будете защищать остальных пользователей, чтобы они не стали жертвами этих процессов, включая внешних пользователей и сети;
  • процесс получения разрешения на проведение этих тестов.


В тех случаях, когда вы разрешили проведение таких исследований, вы должны изолировать тестируемую часть сети от основной сети. Сетевые вирусы и просто вирусы никогда не должны запускаться в реальной сети.

Вы можете также захотеть подрядить кого-либо для оценки защищенности ваших АС, что может включать их исследование. Вы можете захотеть отразить этот момент в ваших ПРД.


Содержание раздела