БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом

5.3 Дополнительные сервисные компоненты

5.3.1 Общие положения

При реализации логического представления могут дополнительно вводиться некоторые сервисы.

5.3.2 Реализация, ориентированная на субъекта

5.3.2.1 Обзор

На рисунке 6 приведен случай реализации, где решающую роль играет субъект.

 

ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом

 

ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом

- операционный процесс;

ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом

- ресурсы и люди;

ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом

- процесс системы;

ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом

- сервис токенов безопасности;

 

ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом

- функции

 

Рисунок 6 - Взаимодействие компонентных сервисов

в реализации, ориентированной на субъекта

 

5.3.2.2 Сервис начального обнаружения конечных точек

В некоторых вариантах использования портальный сервис может реализовываться таким образом, что он осуществляет начальное обнаружение в начале взаимодействия субъекта, чтобы направлять субъекта. Как правило, сервисом начального обнаружения является конечная точка аутентификации.

Примечание - В настоящем стандарте сервис аутентификации субъекта не описывается. Описание сервиса содержится в ГОСТ Р 59381, а также приведено в [4] и [5].

 

5.3.2.3 Сервис токенов безопасности

На основании решения, принятого точкой принятия решений по политике, сервис токенов безопасности может создавать, подписывать, осуществлять замену и выпуск токенов доступа.

Примечание - Описание токенов доступа содержится в ГОСТ Р 58833.

 

Сервис токенов безопасности может составлять часть функций других компонентов системы управления доступом.

5.3.2.4 Сервис обнаружения ресурсов

Сервис обнаружения ресурсов предоставляет информацию о местоположении ресурсов, которыми управляет система управления доступом. Сервис обнаружения ресурсов сам по себе должен быть защищенным ресурсом, требующим авторизации, прежде чем к нему можно получить доступ. Для доступа к сервису обнаружения ресурсов требуется решение об авторизации.

Существует некоторая информация о местоположении данных, которая нуждается в защите, так как может раскрыть чувствительную, с точки зрения защиты персональных данных, информацию (например, местоположение медицинской карты может раскрыть характер заболевания).

Примечание - В некоторых ситуациях ответ сервиса обнаружения ресурсов может быть единообразным для всех субъектов и неизменным в течение длительных периодов времени. Соответственно, ответ может осуществляться с помощью статических метаданных, а не динамически. Кроме того, в некоторых реализациях системы управления доступом сервис обнаружения ресурсов может также функционировать как сервис токенов безопасности, предоставляя субъекту токен доступа к ресурсам взамен токена, представленного субъектом для получения доступа к сервису обнаружения ресурсов.

 

5.3.2.5 Этапы получения доступа к ресурсам

Контролируемый доступ к ресурсам может быть осуществлен с использованием следующих этапов:

а) аутентифицированный субъект может начать доступ с сервиса начального обнаружения, где он выясняет местоположение точки принятия решений по политике и сервиса токенов безопасности;

б) субъект запрашивает у точки принятия решений по политике авторизацию для доступа к определенным ресурсам. На основе политики или набора политик, предоставленных точкой информирования по политике, точка принятия решений по политике определяет, следует ли предоставлять авторизацию;

в) если авторизация доступа предоставляется, то компонент сервиса токенов безопасности точки принятия решений по политике генерирует токен доступа и передает субъекту;

г) если от сервиса начального обнаружения не было получено местоположение ресурса, субъект получает эту информацию от сервиса обнаружения ресурсов. В это время сервис обнаружения ресурсов может принимать токен доступа субъекта и предоставлять взамен токен доступа, который субъект может использовать для доступа к ресурсам;

д) субъект представляет токен доступа точки соблюдения политики для получения доступа к ресурсу.

Примечание - Доступ к ресурсу может осуществляться двумя способами:

- прямым образом к точке соблюдения политики с получением субъектом доступа к отдельным ресурсам, используя токен доступа;

- непрямым образом через сервис взаимодействия вместо осуществления запроса точки соблюдения политики для каждого необходимого ему ресурса.

 

Примером последней ситуации является случай, когда субъект не хочет раскрывать свои идентификационные данные ресурсам.

5.3.3 Реализация, ориентированная на организацию

5.3.3.1 Обзор

На рисунке 7 приведена ситуация ориентированного на организацию управления доступом, где решающую роль играет точка соблюдения политики.

 

ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом

 

ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом - процесс системы; ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом - ресурсы и люди; ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом - функции

 

Рисунок 7 - Взаимодействие компонентных сервисов

в реализации, ориентированной на организацию

 

5.3.3.2 Взаимодействие между точкой соблюдения политики и точкой принятия решений по политике

Реализация точки соблюдения политики и точки принятия решений по политике как независимых сервисов может обеспечить гибкость и эффективность при разработке систем управления доступом, особенно в ситуациях широкого распределения ресурсов.

Если политика разграничения доступа меняется, то, скорее всего, потребуется изменить только точку принятия решений по политике, а точка соблюдения политики будет продолжать функционировать без изменений.

Между точкой принятия решений по политике и точкой соблюдения политики должны существовать доверительные отношения.

Если точка соблюдения политики и точка принятия решений по политике не расположены вместе в защищенной сети, коммуникации между ними должны быть защищены. Точка соблюдения политики и точка принятия решений по политике должны быть способны аутентифицировать друг друга.

5.3.3.3 Этапы получения доступа к ресурсам

Контролируемый доступ к ресурсам может быть осуществлен с использованием следующих этапов:

а) аутентифицированные субъекты делают запрос о доступе к ресурсу точке соблюдения политики, передавая с запросом подтверждение идентификационных данных;

б) точка соблюдения политики направляет запрос доступа точке принятия решений по политике для получения авторизации, чтобы субъект получил доступ к ресурсу;

в) в точке принятия решений по политике принимается решение о доступе на основе привилегий доступа субъекта и политики доступа для ресурса. Она передает решение о доступе обратно точке соблюдения политики;

г) точка соблюдения политики обеспечивает выполнение решения о доступе.

TelegramПодписаться на обновления
Реклама. ООО ЛИТРЕС
Реклама. ООО ЛИТРЕС, ИНН 7719571260, erid: 2VfnxyNkZrY
TOC