ГОСТ Р 59383-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом
4.3 Функции и процессы системы управления доступом
4.3.1 Общий обзор
Система управления доступом обеспечивает соблюдение политики разграничения доступа и выполняет две основные операционные функции:
- присвоение субъектам привилегий доступа к ресурсам до начала операционного использования; альтернативным образом присвоение привилегий доступа атрибутам (как в модели разграничения доступа на основе идентификационных данных, см. 4.3.2), а затем присвоение атрибутов субъектам, которые наследуют соответствующие привилегии доступа;
- использование этих привилегий (вместе с другой информацией, где это уместно) для разграничения доступа субъектов к ресурсам системы при операционном использовании.
Кроме того, система управления доступом обеспечивает административные функции для поддержки основных функций, включая:
- управление политиками;
- управление связанными с политиками атрибутами доступа;
- управление мониторингом и учетом (аудитом).
Политика доступа к ресурсам должна реализовывать следующие принципы:
- установление атрибутов доступа на основе принципа "необходимого знания";
- минимизацию доступа к данным с целью ограничения доступа только строго необходимыми данными и сведения к минимуму риска утечки и раскрытия данных;
- отделение и обеспечение защиты чувствительных данных;
- обеспечение защиты персональных данных;
- применение многофакторной аутентификации в случае критичности и чувствительности ресурса, к которому предоставляется доступ.
4.3.2 Политика управления доступом
Система управления доступом обеспечивает соблюдение политики разграничения доступа. Существует ряд моделей разграничения доступа (см. приложение А). В настоящем стандарте содержится описание моделей разграничения доступа, которые являются достаточно гибкими, чтобы быть пригодными для использования и в централизованной, и в распределенной сетевой среде:
- разграничение доступа на основе идентификационных данных (identity-based access control);
- разграничение доступа на основе ролей (role-based access control);
- разграничение доступа на основе атрибутов (attribute-based access control).
Политика разграничения доступа должна быть описана на естественном языке или посредством другого пригодного представления, например формального языка, чтобы выражать цели разграничения доступа к ресурсам, методы и процессы осуществления контроля и любые требования мониторинга, аудита и других неосновных функций.
В организации может существовать ряд политик разграничения доступа. Как правило, доступ к группе ресурсов одной технологии может быть осуществлен под контролем точки принятия решений, отвечающей одной политике, в то время как доступ к другой группе ресурсов, разработанных с использованием другой технологии, будет осуществлен под контролем другой точки принятия решений, отвечающей второй политике разграничения доступа. Рекомендуется, чтобы обе точки принятия решений могли соответствовать одной и той же политике разграничения доступа.
В случаях, когда в организации действует несколько систем управления доступом и они должны быть интегрированы в единую систему, необходимо устранить разногласия политик, выработать и документально оформить общую политику разграничения доступа. Альтернативным подходом может быть интеграция систем в виде внутриорганизационного объединения; в этом случае следует учитывать соображения и требования, приведенные в 4.3.8.
Разграничение доступа обеспечивается посредством механизмов разрешения или отказа в выполнении операций с ресурсами на основе политики разграничения доступа.
Решения об авторизации принимаются на основе оценивания привилегий и атрибутов субъекта относительно правил доступа, установленных для соответствующего ресурса. Правила могут включать в себя атрибуты среды, такие как время суток и местоположение, из которых делается запрос. Например, все операции с ресурсом могут быть запрещены в период времени между 21:00 и 7:00.
Если применяется мандатное разграничение доступа, правило обязательно будет общим для совокупности ресурсов. Например, субъекты должны иметь допуск к работе для осуществления любой операции, которую они хотели бы выполнить в отношении данного набора ресурсов.
Примечание - Так как последовательно может применяться несколько правил, порядок их применения может влиять на эффективность процесса принятия решения. Однако оптимальное упорядочение будет зависеть от относительной вероятности принятия решений о предоставлении/отказе в доступе при операционном использовании.
Отдельные правила могут быть реализованы с помощью матрицы разграничения доступа, связанной с каждым ресурсом, которая содержит одну или несколько записей.
Каждая запись будет определять условие(я), которое(ые) необходимо выполнить субъекту для осуществления одной или нескольких операций с ресурсом. Главное условие для выполнения состоит в том, что субъект должен обладать некоторой(ыми) привилегией(ями).
Разграничение доступа на основе атрибутов представляет собой наиболее общий случай, когда управление доступом основано на определяемых системой управления доступом атрибутах, которыми обладают субъекты. Разграничение доступа на основе идентификационных данных, на основе псевдонимов и на основе ролей представляют собой частные случаи разграничения доступа на основе атрибутов, где атрибутами соответственно являются идентификационные данные, псевдонимы и роли. Эти четыре модели разграничения доступа могут быть реализованы с использованием списков разграничения доступа.
Когда субъект представляет свидетельство возможностей (при разграничении доступа на основе возможностей) для авторизации, необходимо проверить, что свидетельство возможностей в качестве токена доступа является эффективным для данной операции.
В системах управления доступом, включающих в себя более чем одну модель разграничения доступа, следует позаботиться об обеспечении уверенности в том, что политики, определяющие доступ субъектов к ресурсам, не приводят к конфликтным решениям о доступе для одного и того же субъекта по разным вариантам доступа: точка администрирования политики должна быть способна управлять доступом, реализованным на основе различных моделей разграничения доступа.
Политика управления доступом должна иметь следующие характеристики:
- основываться на требованиях политики, являющихся общими для существующих требуемых моделей разграничения доступа, при обеспечении защиты информации в соответствии с бизнес-требованиями и по соображениям соблюдения правовых, нормативных требований и прав интеллектуальной собственности;
- содержать иерархию политик, основанную на общей политике, из которой могут определяться правила разграничения доступа, применяемые к субъектам доступа с одинаковыми характеристиками;
- описывать атрибуты, поддерживающие определенную классификацию. Такая классификация позволит обеспечить совместимость политик и соответствие среди различных организаций;
- описывать процедуры предоставления и управления привилегиями, процесс разграничения доступа и обработку особых ситуаций.
4.3.3 Управление привилегиями (правами доступа)
Требования управления привилегиями определяются политикой разграничения доступа, как приведено в 4.3.2.
В соответствии с политикой разграничения доступа на основе идентификационных данных управление привилегиями осуществляется на основе идентификационных данных субъекта. Политика разграничения доступа на основе идентификационных данных использует такие механизмы, как списки управления доступом для определения идентификационных данных тех, кому разрешен доступ к ресурсу, и типов операций с ресурсом, которые им разрешено выполнять. В модели разграничения доступа на основе идентификационных данных предоставление субъекту привилегий доступа к ресурсу производится до любого запроса субъекта о доступе, а идентификационные данные субъекта и привилегии доступа добавляются к соответствующему списку разграничения доступа для ресурса.
Если идентификационные данные аутентифицированного субъекта совпадают с идентификационными данными, зафиксированными в соответствующем списке управления доступом, субъекту предоставляют доступ к ресурсу в соответствии с его привилегиями доступа. Каждый ресурс имеет соответствующий список разграничения доступа, где фиксируются привилегии доступа для субъектов, которым разрешен доступ к ресурсу. В модели разграничения доступа на основе идентификационных данных решение об авторизации принимается до любого конкретного запроса доступа и приводит к добавлению субъекта и привилегий доступа субъекта в соответствующий(е) список (списки) разграничения доступа для ресурса.
При разграничении доступа на основе ролей каждому субъекту присваивается роль (или роли) и это фиксируется в учетной записи для данного субъекта. Решение об авторизации принимается на основе привилегий доступа, присвоенных соответствующей роли в системе разграничения доступа. В модели разграничения доступа на основе ролей привилегии присваиваются ролям, а не субъектам. Роли между субъектами распределяются с помощью отдельной процедуры. Это также влияет на процесс авторизации при запросе доступа к ресурсам, который является двухэтапным процессом в модели разграничения доступа на основе ролей:
- авторизация запроса доступа для роли;
- аутентификация субъекта как члена ролевой группы.
При разграничении доступа на основе атрибутов субъектам присваиваются связанные с политикой атрибуты доступа. Решения об авторизации основываются на атрибутах, которыми обладают субъекты. Субъект может получать доступ к ресурсам как член группы, обладатель атрибутов или как индивидуум. При этом в системе управления доступом могут одновременно существовать способы управления доступом на основе ролей, атрибутов и идентификационных данных.
Управление привилегиями включает в себя следующие виды деятельности:
- создание набора привилегий, используемых для обозначения и ограничения типов операций, которые могут выполняться с ресурсами;
- установление правил, определяющих присвоение привилегий в соответствии с политикой разграничения доступа и используемой способом управления доступом, например присвоение привилегий идентификационным данным, ролям, возможностям или иным определенным атрибутам;
- обновление и аннулирование привилегий и идентификационных атрибутов.
Реализация политики разграничения доступа происходит в результате присвоения привилегий доступа к ресурсам, субъектам, ролям, группам и т.д. Привилегии следует присваивать по принципу минимального "необходимого знания", предоставляющего самый низкий уровень привилегий в соответствии с необходимостью субъекта доступа осуществлять соответствующую деятельность.
Примечание - Привилегии могут присваиваться субъектам доступа, ассоциированным с физическими лицами, и субъектам доступа, не ассоциированным с физическими лицами. Например, когда в сеть добавляется устройство или сервис, им могут присваиваться привилегии доступа к ресурсам.
4.3.4 Управление информацией об атрибутах, связанной с политикой доступа
Управление информацией при установке привилегий атрибутам относится к функциям администратора, как приведено в 5.1.
Такого рода информация характеризуется следующим:
- ее получают из различных источников, включая связанные с атрибутами органы управления, ресурсы и среду;
- управление ею осуществляется через точку администрирования политики;
- она хранится в точке информирования по политике.
Результирующая информация предоставляется точке принятия решений по политике разграничения доступа к ресурсам.
Управление информацией об атрибутах в системе управления доступом осуществляется в соответствии с описанной ранее политикой разграничения доступа.
В случае использования модели разграничения доступа на основе атрибутов политика формулируется в терминах атрибутов, которые используются для управления доступом к ресурсам, и исходя из того, как атрибуты соответствуют привилегиям доступа к ресурсам. Для модели разграничения доступа на основе ролей политика определяет, как привилегии доступа к ресурсам присваиваются различным ролям.
В соответствии с политикой разграничения доступа управление атрибутами осуществляют владельцы ресурсов, тогда как в рамках политики мандатного управления доступом управление дополнительными атрибутами осуществляют специалисты по реализации политики.
В случае использования модели разграничения доступа на основе псевдонимов используются такие механизмы, как списки управления доступом, содержащие псевдонимы субъектов, которым разрешен доступ к ресурсу, вместе с разрешениями на доступ субъекта к ресурсу. Если субъект представляется псевдонимом, совпадающим с тем, который содержится в списке управления доступом, субъекту может быть предоставлено право осуществления операции с ресурсом с учетом его разрешений и любых других проверок, которые могут быть применены.
В модели разграничения доступа на основе идентификационных данных применяется сходный механизм, в котором вместо псевдонимов используются идентификационные данные.
В модели разграничения доступа на основе ролей применяется аналогичный механизм, в котором вместо псевдонимов используются роли.
В модели разграничения доступа на основе атрибутов применяется сходный механизм, в котором вместо псевдонимов используются атрибуты (например, членство в группах).
Все вышеуказанные модели разграничения доступа могут одновременно существовать в системе управления доступом.
Модель разграничения доступа на основе возможностей использует механизмы, в которых представленная субъектом возможность должна: во-первых, сопоставляться с идентификатором ресурса и операцией, осуществляемой с ресурсом; во-вторых, содержание возможности должно также сопоставляться с идентификатором признанного органа и соответствующими операциями, разрешенными для этого органа. Если эти условия выполнимы, то субъекту может быть предоставлено право осуществления операции с ресурсом до следующих проверок, которые могут применяться.
Более подробная информация о моделях разграничения доступа содержится в приложении А.
4.3.5 Авторизация
Базовая авторизация происходит во время операционного этапа и осуществляется в точке принятия решений по политике в соответствии с политикой разграничения доступа. Это действие поддерживается управлением со стороны администратора.
При определенных условиях авторизация может предоставляться делегату субъекта (выполняться авторизация делегированного доступа). Делегатом может быть физическое лицо, веб-сервер, клиентское приложение, работающее под контролем субъекта. Делегат обычно наследует привилегии доступа субъекта и должен быть аутентифицирован так же, как субъект или эквивалентным образом. Сценарий делегирования представлен на рисунке 3.
Примечание - Это вариант использования, поддерживаемый протоколом OAuth. В данном случае решение об авторизации принимает владелец ресурса в режиме реального времени или с учетом заранее зарегистрированной политики, установленной владельцем ресурса. Если субъект является делегатом, то система управления доступом может определить решение об авторизации на основе учетных данных, которыми уже обладает делегат. Если субъект не является делегатом, необходимо связаться с владельцем ресурса, чтобы узнать, разрешено ли этому неавторизованному лицу получить доступ к ресурсу.
| - ресурсы и люди; |
| - функция; |
| - процессы и системы; |
| - сервис; |
|
| - сервис токенов безопасности | |
Рисунок 3 - Авторизация делегированного доступа
4.3.6 Управление мониторингом
Действия, связанные с управлением доступом, должны контролироваться в целях обеспечения соответствия, регулирования и проведения расследований.
Система управления доступом должна обеспечивать проверяемые возможности мониторинга и ведения учета для целей соблюдения нормативных требований, ответственности и расследования инцидентов.
Система управления доступом должна предоставлять возможности мониторинга операций с ресурсами, которые пытаются осуществить субъекты, и учетом того, были ли эти операции разрешены или в них было отказано.
В контрольном журнале должны быть зафиксированы следующие параметры:
- идентификатор ресурса;
- операция с ресурсом, осуществление которой запрашивает субъект;
- решение (т.е. разрешение или отказ) вместе с обоснованием;
- время предоставления доступа или отказа в нем;
- привилегии или атрибуты субъекта, как уместно;
- любая информация, которая может прямо или косвенно идентифицировать субъекта.
Кроме того, система управлением доступом должна предоставлять инструменты для простого построения аудиторских отчетов с использованием фильтров, основанных на предыдущих шести параметрах, которые можно найти в журнале аудита.
Владелец ресурса должен определять условия доступа, которые будут использоваться точкой принятия решений по политике для принятия решения о предоставлении субъекту доступа к ресурсу.
4.3.7 Управление предупреждениями
Как правило, целью предупреждений является оповещение аудиторов управления доступом о ненормальных условиях эксплуатации. Такие ситуации должны быть определены в политике управления доступом вместе с процедурами обработки и в процедурах урегулирования, реализованных в управлении мониторингом. Ненормальные ситуации могут включать в себя попытки доступа к ресурсам неавторизованных субъектов. Аварийные условия определяются таким образом, чтобы их можно было распознать при оперативном использовании и принять соответствующие меры. При возникновении аварийных ситуаций они должны быть записаны в журнал аудита для последующего анализа.
Предупреждения могут быть инициированы одним или несколькими условиями, которые могут относиться к следующему:
- идентификатору ресурса;
- операции с ресурсом, осуществление которой запрашивает субъект;
- решению (т.е. разрешению или отказу) вместе с обоснованием;
- времени предоставления доступа или отказа в нем;
- привилегии или атрибутам субъекта, если уместно;
- любой информации, которая может прямо или косвенно идентифицировать субъекта.
После инициирования предупреждения может быть проведено дальнейшее расследование с использованием журнала аудита, созданного для мониторинга событий.
4.3.8 Управление объединенным доступом
Управление объединенными идентификационными данными и управление доступом требуется в случаях, когда аутентифицированный субъект из одной организации пытается получить доступ к ресурсу другой организации. Существует несколько способов управления объединенными идентификационными данными, описание которых содержится в ГОСТ Р 59382 и [4]. Пример управления объединенным доступом приведен на рисунке 4. Предполагая, что субъект может аутентифицироваться в объединенной модели, требования управления объединенным доступом реализуются членами объединения в соответствии с совместными доверительными отношениями и общими политиками, согласованными участвующими в сообществе организациями.
| - область применения; |
| - ресурсы и люди; |
| - последовательность решений; |
| - функция |
Рисунок 4 - Управление объединенным доступом
а) Субъект должен аутентифицироваться у полномочного органа своей организации;
б) организация субъекта предоставляет утверждение, относящееся к управлению доступом, организации-владельцу ресурса, которое подтверждает действительность аутентификации субъекта и предоставляет контекст аутентификации и согласованные атрибуты доступа, включая привилегии разграничения доступа на основе атрибутов или на основе ролей;
в) организация-владелец ресурса принимает утверждение и рассматривает атрибуты по отношению к политикам управления доступом владельца информационных ресурсов;
г) владелец ресурса данных разрешает субъекту доступ к ресурсу или запрещает доступ, и уведомляет субъекта;
д) все уполномоченные участники фиксируют события, связанные с разграничением доступа.
Совместные доверительные отношения для разграничения доступа в объединении должны:
- основываться на согласованных требованиях о защите информации объединения с соблюдением требований нормативно-правовых актов и требований к защите интеллектуальной собственности;
- содержать общие элементы политики, из которых могут быть определены правила разграничения доступа и классификация их реализации;
- определять токены доступа (атрибуты, разрешения и т.д.), которые могут приниматься во всем объединении, чтобы способствовать установлению доверительных отношений между членами объединения.
Подписаться на обновления