ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом

3 Термины и определения

 

В настоящем стандарте применены термины по ГОСТ Р 59381, а также следующие термины с соответствующими определениями:

3.1 атрибут (attribute): Характеристика, признак или свойство, используемые для описания и управления доступом к ресурсу.

Примечания

1 Правила предоставления доступа к ресурсу устанавливаются в политике управления доступом, которая определяет необходимые атрибуты для разрешения доступа субъекта к ресурсу для определенной операции.

2 Примерами атрибутов могут быть атрибуты субъекта, атрибуты ресурса, атрибуты окружения и иные атрибуты, используемые для управления доступом, как определено в политике управления доступом.

 

3.2 конечная точка (endpoint): Сервис принятия решения в системе управления доступом, в котором осуществляется функция управления доступом.

Примечания

1 Возможны следующие различные виды конечных точек:

- сервис принятия решения по результату аутентификации субъекта доступа;

- сервис принятия решения по авторизации субъекта доступа;

- сервис обнаружения конечных точек, осуществляющий поиск и определяющий местонахождение конечных точек;

- сервис начального обнаружения конечных точек, используемый в начале взаимодействия субъекта с системой управления доступом.

2 Сервисы обнаружения конечных точек обычно используются в распределенных сетевых системах.

 

3.3 привилегия (privilege): Метка разрешения для субъекта на доступ к ресурсу.

Примечания

1 Привилегия является необходимым, но не достаточным условием для доступа. Доступ осуществляется, когда запрос доступа удовлетворяется в соответствии с принятой политикой управления доступом. Политика управления доступом основывается на привилегиях и может включать в себя другие факторы среды (например, время дня, местоположение и т.д.).

2 Привилегии имеют форму данных, представляемых или получаемых субъектом. Эти данные используются точкой принятия решений по политике для разрешения или отказа в осуществлении операции, которую субъект хочет осуществить с ресурсом.

3 Ресурс может иметь несколько различных ассоциированных с ним привилегий, которые соответствуют определенным уровням доступа. Например, ресурс данных может иметь права на чтение, запись, выполнение и удаление, доступные для назначения субъектам. Запрос субъекта на доступ к ресурсу может быть разрешен для некоторых уровней доступа, но запрещен для других уровней, в зависимости от уровня запрашиваемого доступа и привилегий ресурса, назначенных субъекту.

4 Право доступа определяет возможное действие, которое субъект может выполнять с ресурсом.

 

3.4 принцип необходимого знания (need-to-know): Цель безопасности, состоящая в поддержании доступа субъекта к информационным ресурсам на минимальном уровне, необходимом для выполнения своих функций делающим запрос пользователем.

Примечания

1 Принцип необходимого знания санкционируется по усмотрению владельца ресурса.

2 Принцип необходимого наличия - это цель безопасности запрашивающей стороны для выполнения конкретных задач, которые могут ограничиваться по усмотрению владельца ресурса.

 

3.5 разграничение доступа (access control): Разрешение или отказ в осуществлении операции с ресурсом.

Примечания

1 Основной целью разграничения доступа является предотвращение несанкционированного доступа к информации или использование информационных ресурсов на основе бизнес-требований и требований безопасности, т.е. применение политик доступа к конкретным запросам.

2 При получении запроса от аутентифицированного субъекта владелец ресурса разрешает (или не разрешает) доступ в соответствии с политикой доступа и привилегиями субъекта.

 

3.6 реализация, ориентированная на организацию (enterprise centric implementation): Управление доступом, проводимое под контролем точки принятия решений по политике.

3.7 реализация, ориентированная на субъекта (subject centric implementation): Управление доступом, реализованное как компонентные сервисы, которые вызываются субъектом с целью получения средств, признаваемых точкой соблюдения политики, для получения доступа к ресурсу.

Примечание - Компонентные сервисы могут включать в себя сервис точки принятия решений по политике, сервис точки соблюдения политики и соответствующие сервисы обнаружения, дающие возможность субъекту определять местоположение и контактировать с сервисами управления доступом.

 

3.8 ресурс (resource): Физический, сетевой или любой информационный актив, к которому может быть получен доступ субъектом.

3.9 роль (role): Название, данное определенной совокупности функций системы, которые могут выполняться многими сущностями.

Примечания

1 Название обычно описывает функциональные возможности.

2 Сущности могут быть, но не обязательно являются людьми.

3 Роли реализуются совокупностью атрибутов привилегий для предоставления необходимого доступа к информационным ресурсам или объектам.

4 Назначенные на роль субъекты наследуют связанные с ролью привилегии доступа. При операционном использовании субъектам следует аутентифицироваться в качестве членов ролевой группы, прежде чем им будет разрешено выполнять функции роли.

 

3.10 сервис токенов безопасности (security token service): Сервис, создающий, подписывающий, осуществляющий замену и выпуск токенов доступа на основе решений, принимаемых точкой принятия решений по политике.

Примечание - Этот сервис может быть разбит на отдельные компоненты.

 

3.11 субъект (subject): Сущность, запрашивающая доступ к ресурсу, находящемуся под контролем системы управления доступом.

3.12 токен доступа (access token): Доверенный объект, инкапсулирующий полномочия субъекта для получения доступа к ресурсу.

Примечания

1 Токен доступа выпускается точкой принятия решений по политике и используется точкой соблюдения политики для ресурса.

2 Токен доступа может содержать информацию о разрешении доступа для получения субъектом доступа к ресурсу и идентификационную информацию для источника решения об авторизации.

3 Токен доступа может содержать информацию, позволяющую осуществить проверку его достоверности.

4 Токен доступа может иметь физическую или виртуальную форму.

 

3.13 точка администрирования политики (policy administration point): Сервис, осуществляющий администрирование политики авторизации доступа.

Примечание - Атрибуты могут включать в себя привилегии/разрешения, связанные с ресурсом, субъектом и средой.

 

3.14 точка информирования по политике (policy information point): Сервис, выполняющий функции источника атрибутов, которые используются точкой принятия решений по политике для принятия решений об авторизации.

Примечание - Атрибуты могут включать в себя привилегии/разрешения, связанные с ресурсом, субъектом и средой.

 

3.15 точка принятия решений по политике (policy decision point): Сервис, реализующий политику разграничения доступа для принятия решений по запросам сущностей о доступе к ресурсам и предоставления решений об авторизации, используемых точкой соблюдения политики.

Примечания

1 Решения об авторизации используются точкой соблюдения политики для управления доступом к ресурсу. Решения об авторизации могут сообщаться посредством использования токена доступа.

2 Точка принятия решений по политике также осуществляет аудит решений в контрольном журнале и может инициировать предупреждения.

3 Этот термин соответствует функции принятия решений о доступе, приведенной в [3]. Предполагается, что эта функция располагается в сети субъекта и может находиться в сети в виде соответствующей точки соблюдения политики.

 

3.16 точка выполнения политики (policy enforcement point): Сервис, обеспечивающий выполнение решения о доступе точки принятия решений по политике.

Примечания

1 Точка выполнения политики получает решения об авторизации, принятые точкой принятия решений по политике, и реализует их для осуществления разграничения доступа сущностей к ресурсам. Решение об авторизации может быть получено в форме токена доступа, представляемого субъектом при осуществлении запроса о доступе.

2 Этот термин соответствует функции обеспечения осуществления доступа, приведенной в [3]. Предполагается, что эта функция располагается в сети субъекта и может находиться в сети в виде соответствующей точки принятия решений по политике.

 

3.17 управление доступом (access management): Совокупность процессов разграничения доступа для ряда ресурсов.