ГОСТ Р 59383-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Основы управления доступом

Information technology. Security techniques. A framework for access management

ОКС 35.030

Дата введения 2021-11-30

Предисловие

1 РАЗРАБОТАН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) и Акционерным обществом "Аладдин Р.Д." (АО "Аладдин Р.Д.")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 414-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 29146:2016* "Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом" (ISO/IEC 29146:2016 "Information technology - Security techniques - A framework for access management", NEQ)     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

6 Федеральное агентство по техническому регулированию и метрологии не несет ответственности за патентную чистоту настоящего стандарта. Патентообладатель может заявить о своих правах и направить в национальный орган по стандартизации аргументированное предложение о внесении в настоящий стандарт поправки для указания информации о наличии в стандарте объектов патентного права и патентообладателе

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Управление безопасностью информации представляет собой сложную задачу, опирающуюся в основном на развитую отечественную нормативно-правовую базу [1], [2] и риск-ориентированный подход к защите информации, поддерживаемый рядом методов и средств обеспечения безопасности. Одной из задач обеспечения безопасности информации является разработка систем, которые реализуют политику управления доступом к информационным ресурсам организации [1]. В рамках управления безопасностью информации управление доступом играет ключевую роль в вопросе управления взаимодействием между получающими доступ сторонами: пользователями и ресурсами автоматизированных (информационных) систем. С развитием информационных сетей общего пользования информационные ресурсы могут размещаться в распределенных вычислительных сетях, которые предполагают наличие области единых правил управления доступом, включающей в себя политики, процессы, технологии, стандарты и типовые модели разграничения доступа.

Основы управления доступом представляют собой часть общих основ управления идентичностью и доступом. Управление доступом осуществляется после успешно выполненных идентификации и аутентификации субъектов доступа, претендующих получить доступ к информационным ресурсам.

Настоящий стандарт содержит описания концепций, участников, компонентов, эталонной архитектуры, функциональных требований и практических приемов управления доступом, а также описание архитектуры типовой системы управления доступом, реализуемой с применением нескольких моделей разграничения доступа, которые могут применяться разработчиками систем управления доступом в качестве методических материалов. Основное внимание в стандарте сосредоточено на задаче управления доступом для одной организации, при этом приведены некоторые предложения по управлению доступом объединения организаций, например территориально-распределенных предприятий и/или отраслевых структур.

Настоящий стандарт необходимо применять с учетом требований нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

     1 Область применения

Настоящий стандарт определяет основы управления доступом и безопасного управления процессом доступа к информации и ресурсам средств информационно-коммуникационных технологий.

В настоящем стандарте приведены концепции, термины и определения, применимые для методов управления распределенным доступом в сетевой среде, представлены разъяснения, касающиеся взаимосвязанной архитектуры, компонентов и функций управления.

Положения настоящего стандарта могут быть использованы при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.

Описание характеристик и качества средств управления физическим доступом, задействованных в системах управления доступом, выходят за рамки применения настоящего стандарта.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 58833 Защита информации. Идентификация и аутентификация. Основные положения

ГОСТ Р 59381 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции

ГОСТ Р 59382 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы

ГОСТ Р 59407 Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных

ГОСТ Р ИСО/МЭК 27002 Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 59381, а также следующие термины с соответствующими определениями:

3.1 атрибут (attribute): Характеристика, признак или свойство, используемые для описания и управления доступом к ресурсу.

Примечания

1 Правила предоставления доступа к ресурсу устанавливаются в политике управления доступом, которая определяет необходимые атрибуты для разрешения доступа субъекта к ресурсу для определенной операции.

2 Примерами атрибутов могут быть атрибуты субъекта, атрибуты ресурса, атрибуты окружения и иные атрибуты, используемые для управления доступом, как определено в политике управления доступом.

3.2 конечная точка (endpoint): Сервис принятия решения в системе управления доступом, в котором осуществляется функция управления доступом.

Примечания

1 Возможны следующие различные виды конечных точек:

- сервис принятия решения по результату аутентификации субъекта доступа;

- сервис принятия решения по авторизации субъекта доступа;

- сервис обнаружения конечных точек, осуществляющий поиск и определяющий местонахождение конечных точек;

- сервис начального обнаружения конечных точек, используемый в начале взаимодействия субъекта с системой управления доступом.

2 Сервисы обнаружения конечных точек обычно используются в распределенных сетевых системах.

3.3 привилегия (privilege): Метка разрешения для субъекта на доступ к ресурсу.

Примечания

1 Привилегия является необходимым, но не достаточным условием для доступа. Доступ осуществляется, когда запрос доступа удовлетворяется в соответствии с принятой политикой управления доступом. Политика управления доступом основывается на привилегиях и может включать в себя другие факторы среды (например, время дня, местоположение и т.д.).

2 Привилегии имеют форму данных, представляемых или получаемых субъектом. Эти данные используются точкой принятия решений по политике для разрешения или отказа в осуществлении операции, которую субъект хочет осуществить с ресурсом.

3 Ресурс может иметь несколько различных ассоциированных с ним привилегий, которые соответствуют определенным уровням доступа. Например, ресурс данных может иметь права на чтение, запись, выполнение и удаление, доступные для назначения субъектам. Запрос субъекта на доступ к ресурсу может быть разрешен для некоторых уровней доступа, но запрещен для других уровней, в зависимости от уровня запрашиваемого доступа и привилегий ресурса, назначенных субъекту.

4 Право доступа определяет возможное действие, которое субъект может выполнять с ресурсом.

3.4 принцип необходимого знания (need-to-know): Цель безопасности, состоящая в поддержании доступа субъекта к информационным ресурсам на минимальном уровне, необходимом для выполнения своих функций делающим запрос пользователем.

Примечания

1 Принцип необходимого знания санкционируется по усмотрению владельца ресурса.

2 Принцип необходимого наличия - это цель безопасности запрашивающей стороны для выполнения конкретных задач, которые могут ограничиваться по усмотрению владельца ресурса.

3.5 разграничение доступа (access control): Разрешение или отказ в осуществлении операции с ресурсом.

Примечания

1 Основной целью разграничения доступа является предотвращение несанкционированного доступа к информации или использование информационных ресурсов на основе бизнес-требований и требований безопасности, т.е. применение политик доступа к конкретным запросам.

2 При получении запроса от аутентифицированного субъекта владелец ресурса разрешает (или не разрешает) доступ в соответствии с политикой доступа и привилегиями субъекта.

3.6 реализация, ориентированная на организацию (enterprise centric implementation): Управление доступом, проводимое под контролем точки принятия решений по политике.

3.7 реализация, ориентированная на субъекта (subject centric implementation): Управление доступом, реализованное как компонентные сервисы, которые вызываются субъектом с целью получения средств, признаваемых точкой соблюдения политики, для получения доступа к ресурсу.

Примечание - Компонентные сервисы могут включать в себя сервис точки принятия решений по политике, сервис точки соблюдения политики и соответствующие сервисы обнаружения, дающие возможность субъекту определять местоположение и контактировать с сервисами управления доступом.

3.8 ресурс (resource): Физический, сетевой или любой информационный актив, к которому может быть получен доступ субъектом.

3.9 роль (role): Название, данное определенной совокупности функций системы, которые могут выполняться многими сущностями.

Примечания

1 Название обычно описывает функциональные возможности.

2 Сущности могут быть, но не обязательно являются людьми.

3 Роли реализуются совокупностью атрибутов привилегий для предоставления необходимого доступа к информационным ресурсам или объектам.

4 Назначенные на роль субъекты наследуют связанные с ролью привилегии доступа. При операционном использовании субъектам следует аутентифицироваться в качестве членов ролевой группы, прежде чем им будет разрешено выполнять функции роли.

3.10 сервис токенов безопасности (security token service): Сервис, создающий, подписывающий, осуществляющий замену и выпуск токенов доступа на основе решений, принимаемых точкой принятия решений по политике.

Примечание - Этот сервис может быть разбит на отдельные компоненты.

3.11 субъект (subject): Сущность, запрашивающая доступ к ресурсу, находящемуся под контролем системы управления доступом.

3.12 токен доступа (access token): Доверенный объект, инкапсулирующий полномочия субъекта для получения доступа к ресурсу.

Примечания

1 Токен доступа выпускается точкой принятия решений по политике и используется точкой соблюдения политики для ресурса.

2 Токен доступа может содержать информацию о разрешении доступа для получения субъектом доступа к ресурсу и идентификационную информацию для источника решения об авторизации.