Технология разграничения доступа к информации

- Информация может предназначаться для пользователя, коллектива или узла.

- Пользователь имеет доступ к информации (за исключением персональной ключевой информации), предназначенной для любого другого пользователя, зарегистрированного в тех же коллективах, что и данный пользователь; пользователь не имеет доступа к информации пользователей коллективов, в которых данный пользователь не зарегистрирован.

- Пользователь имеет доступ к информации, предназначенной для любого коллектива, где зарегистрирован данный пользователь; пользователь не имеет доступа к информации коллективов, где пользователь не зарегистрирован,

- Пользователь имеет доступ к информации, предназначенной для любого узла, в коллективе которого зарегистрирован данный пользователь; пользователь не имеет доступ к информации узлов, в коллективах которых данный пользователь не зарегистрирован,

- Пользователь, желающий обеспечить защиту от доступа к своей информации со стороны других пользователей, должен быть зарегистрирован в некотором коллективе один.

- Пользователь, коллектив или узел может получить (отправить) информацию только от (для) объектов, с которыми есть связь; связь между объектами одного уровня определяется наличием связи между соответствующими коллективами, заданной в Центре управления сетью.

- Возможность доступа различных объектов к соответствующей информации определяется двумя Центрами, не имеющими возможность модифицировать полномочия в сети друг без друга, - Центром управления сетью (ЦУС) и Ключевым центром (КЦ) с использованием двух независимых средств:

- Индивидуальных для каждого узла Адресных справочников доступа, модификация и формирование которых возможна только в ЦУСе,

- Наличием доступа каждого объекта только к той ключевой информации, сформированной Ключевым центром и недоступной для ЦУСа, состав которой определен соответствующими Адресными справочниками доступа.

- Информационная независимость объектов сети от Центров достигается формированием каждым объектом сети дополнительных ключей шифрования на принципах открытого распределения, не доступных Центрам. Достоверность открытой части ключа шифрования каждого объекта сети подтверждается электронной подписью пользователя, сформировавшего данный ключ.

- Для каждого пользователя сети Ключевым центром или непосредственно самим пользователем в своей программе формируется Ключ электронной подписи, используемый для достоверной привязки информации, за которую отвечает данный пользователь, к этому пользователю.

- Достоверность открытой части Ключа электронной подписи пользователей каждой сети, подтверждается сертификатами (подписями) Главных абонентов (УЛ) соответствующей сети. При наличии межсетевого взаимодействия открытые части ключей электронных подписей Главных абонентов (УЛ) других сетей подтверждаются сертификатами Главных абонентов (УЛ) данной сети.

- Открытые части ключей электронных подписей Главных абонентов (УЛ) данной сети хранятся на ключевой дискете каждого пользователя.