ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом

7.3 Цели управления

7.3.1 Общие положения

В данном подразделе излагаются цели управления, которые нужно верифицировать при планировании или пересмотре реализации системы управления доступом:

- рассматриваются задачи, которые должны быть решены до создания системы управления доступом;

- определяются цели внедрения системы управления доступом;

- определяются цели функционирования системы управления доступом.

Кроме того, общие цели и меры обеспечения информационной безопасности, изложенные в ГОСТ Р ИСО/МЭК 27002, также имеют отношение к системе управления доступом.

7.3.2 Валидация структуры управления доступом

7.3.2.1 Документальное оформление основ управления доступом

а) Цель

Целью является создание структуры управления для инициирования и внедрения управления доступом субъектов.

Должны быть документально оформлены группы субъектов, распознаваемых в структуре, процесс их аутентификации, политики разграничения доступа и утвержденные модели, идентифицированные точки соблюдения политики, средства, с помощью которых каждый распознаваемый субъект может быть проверен на протяжении всего своего жизненного цикла в системе и ему может быть предоставлена авторизация для доступа к ресурсам в структуре, а также возможные расширения структуры в рамках объединения.

б) Сфера применения и ограничения

Назначение

Набор атрибутов, используемых для аутентификации и представления доступа к ресурсам, должен быть четко определен и задокументирован в рамках управления доступом.

Рекомендации по реализации

Границы структуры управления доступом должны обозначать пределы, в рамках которых могут быть проверены субъекты.

Цель или правовая причина и связанные с этим обстоятельства среды, где могут существовать субъекты, определяют границы, в которых система управления доступом может осуществлять свой контроль над субъектами.

Дополнительная информация

Среда, в которой определяются субъекты, формируется по отношению к определенной совокупности атрибутов, к которым система управления доступом может применять меры и средства управления.

Сфера действия и границы структуры управления доступом должны рассматриваться с учетом [4].

в) Документальное оформление политик

Назначение

Следует разработать и периодически пересматривать политики для поддержки ИТ-стратегии управления доступом, как указано в [8]. Эти политики должны включать в себя назначение, методы управления, роли и обязанности, процесс исключений, подход к обеспечению соответствия и ссылки на процедуры, стандарты и рекомендации. Их актуальность должна регулярно подтверждаться и утверждаться.

Рекомендации по реализации

Политики структуры управления доступом могут варьироваться в зависимости от выбранной реализации, но при реализации структуры управления следует установить ряд общих политик и заявлений о соответствии, учитывая следующие политики:

- политику разграничения доступа, определяющую цели и ограничения, которые должны быть реализованы при применении разграничения доступом в границах структуры, и реализующую общие соображения, изложенные в 6.2.2;

- политику соответствия требованиям защиты персональных данных при осуществлении операций управления доступом (см. 7.3.2.2);

- мониторинг и прослеживание (фиксирование) действий политики доступа, обеспечивающие достаточный уровень детализации истории для проведения аудита транзакций доступа с целью демонстрации соблюдения системных и других требований соответствия.

Дополнительная информация

Система управления доступом может быть ориентированной на субъекта, сосредоточенной на одной точке принятия решений по политике или в организации и распределенной по нескольким точкам принятия решений по политике. Каждый аспект реализации приводит к различному документированию требований политик.

Политика может быть документально оформлена на неформальном (естественном) языке. Впоследствии эта политика должна быть переведена в формальную политику. Необходимо подтвердить, что формальная политика эквивалентна политике на естественном языке. Должны быть сформированы приемлемые доказательства соответствия этим требованиям.

г) Идентификация субъектов, получающих доступ к ресурсам в структуре

Назначение

Обеспечение уверенности в том, что сущности, осуществляющие управление доступом субъектов к ресурсам (например, точка принятия решений по политике и точка соблюдения политики), распознаются в рамках управления доступом.

Рекомендации по реализации

Сущности, которые могут делать доказуемые заявления о действительности и/или правильности субъектов для получения доступа к ресурсам в структуре (например, точка принятия решений по политике, точка соблюдения политики), должны быть признаны в рамках управления доступом.

Следует также идентифицировать сущности, одобряющие управленческие и регулятивные обязанности по сохранению информации о привилегиях (точка информирования по политике).

Дополнительная информация

Сущность может сочетать в себе функции точки принятия решений по политике, точки соблюдения политики и точки информирования по политике.

д) Идентификация органов структуры управления

Назначение

Информация об органах, составляющих структуру управления доступом, т.е. система управления доступом, система управления идентификационными данными, орган, связанный с атрибутами, сервис токенов безопасности, точка информирования по политике, точка принятия решений по политике, точка соблюдения политики, сервис обнаружения конечных точек ресурса, должна быть документально оформлена и опубликована. Эти сущности охватывают точку принятия решений по политике, точку соблюдения политики и точку информирования по политике.

Рекомендации по реализации

Документация точки принятия решений по политике, точки соблюдения политики и точки информирования по политике должна, по крайней мере, охватывать требования проверки прав доступа к информации, требования от пользователей прав доступа к информации и условия авторизации и использования прав доступа к информации.

7.3.2.2 Защита персональных данных субъектов в случаях, когда это требуется

Назначение

Защита персональных данных должна обеспечивать в любое время как часть целей, зафиксированных в структуре управления доступом, на уровне доверия, который необходим субъектам.

Рекомендации по реализации

Структура управления доступом должна устанавливать необходимые меры и средства управления, обеспечивающие при необходимости сохранение защиты персональных данных физических лиц, с которыми она взаимодействует.

В структуре управления идентификацией должна быть документально оформлена любая информация, относящаяся к специальным категориям персональных данных, которую она обрабатывает, обеспечивая соответствие требованиям, указанным в [2].

Дополнительная информация

Требования обращения с идентификационной информацией, относящейся к специальным категориям персональных данных, приведены в [2], ГОСТ Р 59407 и ГОСТ Р ИСО/МЭК 27002.

7.3.2.3 Поддержка определений структуры управления доступом

Назначение

Должен быть описан процесс, обеспечивающий уверенность в поддержании документации структуры.

Рекомендации по реализации

Компоненты структуры управления доступом могут со временем использовать различные структуры информации о привилегиях и полномочиях для поддержки своих взаимодействий с сущностями. Могут создаваться и прекращать свое действие домены, а также могут меняться условия их применимости (например, изменение модели).

Проверки структуры управления доступом должны включать в себя управление, политики, процессы, структуры данных, технологию и стандарты, обеспечивающие контроль жизненного цикла важнейших компонентов, начиная с первоначальной установки и заканчивая выводом из эксплуатации и заменой в структуре, отражая любые изменения в документации системы управления доступом.

7.3.3 Валидация системы управления доступом

7.3.3.1 Обзор

Система управления доступом реализует меры и средства контроля субъекта при доступе к ресурсам в рамках структуры управления доступом. Система управления доступом работает на основе политик, моделей, сферы действия и ограничений, определенных на уровне структуры управления доступом. Управление безопасностью информации в соответствии с ГОСТ Р ИСО/МЭК 27002 в рамках организации предполагает, что во всех системах должен быть контролируемый доступ под надзором системы управления идентификационными данными (определенной и задокументированной, как указано в [4]) и системы управления доступом. Соответственно, обеспечение выполнения этой цели в соответствии с ГОСТ Р ИСО/МЭК 27002 обязывает систему управления доступом соответствовать ряду целей управления. Эти цели управления включают в себя:

- составление списка компонентов и структуры для функционирования мер и средств управления доступом;

- определение и документальное оформление моделей разграничения доступа;

- определение привилегий и атрибутов в рамках конкретных моделей разграничения доступа;

- определение и документальное оформление процессов авторизации;

- аудит и снижение рисков, связанных с системой управления доступом.

7.3.3.2 Компоненты системы управления доступом

а) Цель

Целью является внедрение и документирование системы управления доступом к ресурсам.

б) Компоненты системы управления доступом

Назначение

Система управления доступом должна, как минимум, включать в себя следующие элементы:

- центральную систему управления, способную осуществлять сбор информации об управлении доступом из различных проверенных источников (домены происхождения атрибутов) и удалять эту информацию, когда условия хранения информации о привилегиях перестают существовать;

- репозиторий информации о привилегиях, относящихся к типам сущностей, распознаваемым в доменах соответствующей структуры, с различными наборами атрибутов, семантикой и синтаксисом, идентифицирующими привилегии и условия их использования;

- компонент хранения, архивирующий информацию о привилегиях, которые перестали существовать;

- репозиторий присвоения привилегий, возможно, в рамках репозитория информации о привилегиях, собирающий любые ссылки на присвоении привилегий любому субъекту, упоминаемому в структуре управления доступом;

- интерфейсы управления для предоставления доступа к необходимой информации о привилегиях;

- компонент определения точек принятия решений, соблюдения, информирования и администрирования;

- генератор уникальных ссылочных идентификаторов привилегий, которым присваиваются уникальные идентификаторы пользователей и сообщаются в репозитории информации о привилегиях.

Все эти компоненты должны быть документально оформлены надлежащим образом.

Рекомендации по реализации

Системы управления привилегиями могут различаться по компонентам в зависимости от модели, разработанной для их реализации. Однако система управления привилегиями должна оставаться независимой, поскольку она должна отвечать функциональным требованиям, являющимся особыми и в значительной степени отличающимися от типовой ИТ-системы.

в) Документальное оформление моделей доступа

Назначение

Описание прав доступа (привилегий) при доступе к ресурсам в структуре, правил, определяющих способ присвоения привилегий распознанным субъектам, процессов санкционирования присвоения привилегий субъектам, процессов обновления или аннулирования привилегий, а также метода проверки доступа к ресурсам должны быть документально оформлены.

Рекомендации по реализации

В структуре управления доступом у субъекта может быть несколько присвоенных привилегий на основе различных моделей. В сфере применения структуры у субъекта могут быть ресурсы, авторизованные на основе конкретной модели, а в другой сфере применения он может стать отличающимся субъектом, распознаваемым с другими привилегиями в этой сфере действия. Репозиторий структуры управления доступом должен быть способен собирать разные авторизации различных субъектов, которых он распознает в рамках разных моделей доступа. Атрибуты, описывающие субъект в сфере действия, представляют собой значения, с которыми репозиторий структуры может связывать различные санкционированные привилегии.

Каждая привилегия и связанные с ней описания должны быть документально оформлены в репозитории структуры с подробностями, требуемыми моделью для присвоения и контроля привилегии, санкционированной для субъекта.

г) Коммуникации между компонентами системы управления доступом

Назначение

Коммуникации между компонентами, составляющими структуру управления доступом, должны быть определены и задействованы.

Рекомендации по реализации

Коммуникации между органами и системами, составляющими структуру управления доступом, должны определяться в терминах условий, ситуаций и ожидаемых результатов. Эти коммуникации должны быть защищены от любой утечки информации к любой стороне за пределами упомянутых компонентов.

Процедура должна четко определять условия коммуникаций между компонентами.

Регулярные аудиты должны подтверждать, что безопасность коммуникаций обеспечивается.

7.3.3.3 Установление привилегий

а) Цель

Целью является определение, документальное оформление и доведение до сведения информации о привилегиях.

б) Представление привилегий

Назначение

Доступ к ресурсам должен определяться на основе определенных привилегий, устанавливаемых по усмотрению владельца информации и включаемых в методы, используемые для контроля их присвоения и предоставления при доступе к информации.

Рекомендации по реализации

Привилегии должны быть определены в каждой системе и приложении в границах структуры управления доступа. Привилегии - это представление необходимых разрешений, которые должны быть назначены и предоставлены пользователям до получения доступа к запрашиваемой информации. Они являются инструментами управления, связанными с назначением доступа субъекта к ресурсам по отношению к определенным атрибутам.

Представление привилегий должно учитывать чувствительность информации, к которой осуществляется доступ, и различные методы, используемые для контроля за их предоставлением субъекту при доступе к этой информации. В зависимости от чувствительности информации может требоваться разный уровень доверия к подтверждению субъекта. Требования по условиям доступа к информации должны учитываться при проверке привилегий субъектов.

Дополнительная информация

Дополнительная информация об управлении доступом к информации содержится в ГОСТ Р ИСО/МЭК 27002.

в) Указание информации о привилегиях

Назначение

При разграничении доступа к информации и ее обработке необходимо соблюдать руководящие указания, определяющие требования к фиксированному набору атрибутов, составляющих привилегии для доступа к ресурсам. Значения атрибутов должны учитывать чувствительность информации, определяемую владельцем информации, должны быть проверены точкой соблюдения политики и опубликованы.

Рекомендации по реализации

Руководящие указания должны разъяснять значения ряда параметров или условий, которые должны быть проверены, прежде чем привилегия может быть присвоена отдельному лицу.

Доступ к информации, ее распространение и предоставление должны санкционироваться только на основе принципов "необходимого наличия" и "необходимого знания" и основываться на классификации информации. Владельцы информационных активов должны определять соответствующую классификацию информации, которая будет разъяснять ограничения для конкретных привилегий и связанных с ними ролей пользователей, а также меры защиты, учитывающие соответственные риски безопасности информации.

г) Обеспечение доверия при накоплении информации для контроля привилегий

Назначение

Все обязанности по обеспечению безопасности информации, связанные со сбором и управлением информацией о привилегиях, должны быть определены и распределены. Накопленная информация о привилегиях должна соответствовать уровням доверия к идентичности пользователя.

Рекомендации по реализации

Уверенность в правильности разграничения доступа пользователей при использовании конкретной привилегии должна быть уточнена при формировании информации, необходимой для контроля привилегий. Как правило, определяются по меньшей мере два уровня требований к аутентификации: один уровень основан на идентификации пользователя, с которым связан пароль и который должен быть проверен с некоторой строгостью; второй уровень основан на двух факторах, сочетающих первый метод с другим элементом, например одноразовым паролем, заданным электронным токеном.

7.3.3.4 Управление системой управления доступом

а) Цель

Целью является обеспечение уверенности в том, что система управления доступом достигает намеченных целей.

б) Администрирование системы управления доступом

Назначение

Администрирование системы управления доступом должно ограничиваться лицами, занимающимися ее сопровождением, соответствующими органами и полагающимися сторонами.

Рекомендации по реализации

Система управления доступом должна иметь интерфейсы и процедуры, необходимые для надлежащего сопровождения информации о доступе в соответствии с правами, определенными и санкционированными соответствующими уполномоченными органами.

в) Аудит системы управления доступом

Назначение

Система управления доступом и другие компоненты, необходимые для формирования структуры управления доступом, должны подвергаться ежегодным регулярным оценкам или аудитам, позволяющим снижать риски, связанные с системой управления доступом.

Рекомендации по реализации

Аудит или оценка должны подтверждать, что система управления доступом функционирует в соответствии с ее документированными политиками и процедурами и соответствует правовым и иным требованиям (например, требованиям защиты персональных данных).

Оценки или аудиты должны:

- включать в себя отчеты, описывающие операции, выполняемые системой управления доступом, в частности в отношении выполнения операционных политик;

- включать в себя проверку безопасности коммуникаций между компонентами структуры;

- подтверждать, что система управления привилегиями сообщает об определенных операциях (например, о наличии уязвимостей), оценивать, соответствуют ли операции применяемым политикам (например, по результатам контроля конфиденциальности), и предупреждать о любых расхождениях;

- включать в себя подотчетность субъекта.

Цели и средства контроля для снижения рисков, приведенные в 7.2, должны разрабатываться с учетом компонентов, составляющих систему управления доступом.

7.3.4 Утверждение технической поддержки внедренной системы управления доступом

Вопрос поддержки структуры управления доступом приведен в 7.3.2.3. Система управления доступом включает в себя множество компонентов, требующих технической поддержки.

7.3.4.1 Поддержка авторизаций

а) Цель

Целью является:

- обеспечение уверенности в том, что структура управления доступом может сохранять достигнутую эффективность самоконтроля посредством поддержки компонентов и процедур;

- обеспечение уверенности в поддержке и защите информации о привилегиях в структуре управления доступом.

б) Поддержка процессов авторизации субъекта при доступе к ресурсу

Назначение

Формализованный процесс проверки соответствия требований, описываемых компонентами привилегий, назначенным привилегиям субъекта по доступу к ресурсу, должен быть документально оформлен.

Рекомендации по реализации

Процесс санкционирования назначения субъекту привилегий должен осуществляться с участием владельца информации, к которой предоставляется доступ, и уполномоченных представителей. Он должен обеспечивать уверенность в том, что элементы управления, предусмотренные в назначенных привилегиях, проверены до назначения и предоставления привилегий субъекту.

Процесс должен разделять вопросы необходимого владения от необходимого знания. Принцип необходимого владения должен подтверждать обоснованность запроса доступа. Принцип необходимого знания должен, кроме того, проверять правильность условий доступа к информации (например, гарантии разделения обязанностей, гарантии конфиденциальности). Условия формулируются владельцем информации и проверяющими сторонами.

Процесс должен быть формализованным и минимизировать число проверок до количества, определяемого чувствительностью информации, к которой получают доступ. Он должен учитывать проверки по уже выполненному доступу к информации и которые могут быть условными требованиями для предоставления прав доступа (например, субъекты уже прошли аутентификацию в сети организации).

Назначение прав доступа в распределенной сетевой среде должно осуществляться с учетом всех доступных типов соединений, с рассмотрением различных ролей и профилей, с обеспечением уверенности в формальной проверке пересмотра прав и разделением проверок запроса, авторизации и администрирования.

Деловые потребности и фактический статус занятости должны периодически проверяться с целью повторного подтверждения назначения привилегий и при необходимости их удаления (см. также 7.3.4.2).

Применение и управление идентификационными данными пользователей и аутентификационной информацией должны подвергаться мониторингу, фиксироваться и архивироваться.

Дополнительная информация

Дополнительная информация об управлении доступом к информации содержится в ГОСТ Р ИСО/МЭК 27002.

в) Проверка назначений привилегий

Назначение

Информация о назначенных привилегиях должны регулярно проверяться на предмет ее точности и необходимости.

Рекомендации по реализации

Содержание управления доступом должно включать в себя политики, процессы, данные, технологию и стандарты для обеспечения уверенности в том, что ключевые компонентов структуры в течение их жизненного цикла контролируются.

Все ключевые компоненты должны иметь свои предназначения. Ответственные специалисты, контролирующие процесс авторизации, могут меняться с течением времени, а также могут изменяться технологии. Информацию, определяющую привилегии, необходимо контролировать и соответственно регулярно пересматривать.

Системы могут меняться с течением времени, создаваться или прекращать свое функционирование, а также могут изменяться условия их применимости (например, изменение модели управления доступом).

Процесс, гарантирующий сохранность информации о привилегиях, заданных в структуре управления, должен быть документально оформлен.

Изменения в присвоении привилегий должны регистрироваться для проверки.

7.3.4.2 Управление доступом пользователей

а) Цель

Целью является обеспечение уверенности в том, что присвоенные права доступа отражают необходимые потребности бизнеса и не создают рисков.

б) Проверка назначений прав доступа пользователей.

Назначение

Владельцы информации должны периодически пересматривать привилегии пользователей и их обоснование, используя формализованный процесс.

Рекомендации по реализации

Привилегии должны периодически пересматриваться, а бизнес-потребности в правах доступа должны быть повторно подтверждены. Периодичность пересмотра должна быть разъяснена владельцем информации и включена в процедуру пересмотра. Периодичность пересмотра должна быть связана с чувствительностью информации, к которой получают доступ (см. также руководства по классификации информации). Пересмотры должны фиксироваться для проверки.

В случае перехода пользователя с одного места работы на другое в рамках организации, привилегии должны пересматриваться, удаляться или заново распределяться.

Изменения в присвоении привилегий должны регистрироваться для проверки.

7.3.4.3 Управление мониторингом и учетом

Назначение

Назначения прав доступа, авторизации, предоставленные доступы и учет действий субъекта должны фиксироваться для аудита. При управлении аудитом необходимо определять условия отслеживания и архивирования информации о запросах доступа с целью подтверждения того, что функционирование системы управления доступом соответствует политике разграничения доступа.

Рекомендации по реализации.

Аудиторские журналы назначения привилегий, разрешений и положений должны храниться для проверки и отслеживания истории. Условия ведения учета должны быть определены владельцем информации. Он должен учитывать чувствительность информации, к которой получают доступ.