ГОСТ Р 59453.1-2021
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
ФОРМАЛЬНАЯ МОДЕЛЬ УПРАВЛЕНИЯ ДОСТУПОМ
Часть 1
Общие положения
Information protection. Formal access control model. Part 1. General principles
ОКС 35.030
Дата введения 2021-06-01
1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Обществом с ограниченной ответственностью "РусБИТех-Астра" (ООО "РусБИТех-Астра")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 апреля 2021 г. N 270-ст
4 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Формальные модели управления доступом используются для обеспечения доверия к средствам защиты информации, реализующим политики управления доступом, уменьшения числа недостатков при проектировании этих средств.
Формальное моделирование управления доступом, как правило, основывается на описании абстрактного автомата как математической модели дискретных устройств. Применение абстрактного автомата при моделировании управления доступом базируется на том, что абстрактный автомат может рассматриваться в качестве непосредственного прототипа средства защиты информации. Кроме моделирования на основе абстрактного автомата, могут использоваться темпоральные логики, сети Петри или другие способы.
Целью настоящего стандарта является определение критериев, которым должны соответствовать описания формальных моделей управления доступом. Требования к порядку разработки формальных моделей управления доступом и порядку разработки на их основе средств защиты информации, реализующих политики управления доступом, выходят за рамки настоящего стандарта и будут определены другими документами по стандартизации.
Настоящий стандарт устанавливает критерии, которым должны соответствовать описания формальных моделей управления доступом, на основе которых разрабатываются средства защиты информации, реализующие политики управления доступом (дискреционная, ролевая, мандатная или другие виды политик управления доступом).
Настоящий стандарт предназначен для разработчиков средств защиты информации, реализующих политики управления доступом, а также для органов по сертификации и испытательных лабораторий при проведении сертификации средств защиты информации, реализующих политики управления доступом.
В настоящем стандарте использована нормативная ссылка на следующий стандарт:
ГОСТ Р 53113.1 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 абстрактный автомат: Изложенная формально модель дискретного устройства, описываемого входным и выходным алфавитами, множеством состояний, функцией переходов из состояний в состояния и функцией выходов.
Примечание - При описании формальных моделей управления доступом, как правило, применяются абстрактные автоматы без выхода. В математике в качестве таких автоматов определяются абстрактные автоматы, описание которых не включает выходной алфавит и функцию выходов.
3.2 информационный поток: Преобразование информации в объекте или субъекте доступа, зависящее от информации в объекте или субъекте доступа, реализуемое субъектом(ами) доступа.
Примечание - Объект или субъект доступа, в котором при создании информационного потока преобразуется информация, как правило, называют приемником информационного потока, объект или субъект доступа, от информации в котором зависит это преобразование, - источником информационного потока, субъект(ы) доступа, реализующий информационный поток - инициатором(ами) информационного потока.
3.3 информационный поток по памяти: Информационный поток, основанный на использовании памяти, в которую реализующий его субъект(ы) доступа записывает или откуда считывает информацию.
Примечание - Память, используемая для создания информационного потока по памяти, может являться объектом доступа (например, когда такой памятью является файл) или не являться объектом доступа (например, когда такой памятью является сегмент стека процесса операционной системы). При этом источником или приемником такого информационного потока могут являться объекты или субъекты доступа.
3.4 объект доступа: Компонент среды функционирования средства защиты информации, доступ к которому регламентируется политиками управления доступом.
Примечание - В формальных моделях управления доступом используются следующие виды объектов доступа:
- объект: пассивный атомарный компонент [например, единица информационного ресурса, файл, сокет, запись и (или) иной] среды функционирования средства защиты информации, доступ к которому регламентируется политиками управления доступом, к частям которого по отдельности управление доступом не осуществляется;
- контейнер: пассивный составной компонент [например, единица информационного ресурса, каталог, том, устройство, кластер и (или) иной] среды функционирования средства защиты информации, доступ к которому регламентируется политиками управления доступом, состоящий из объектов или контейнеров, к которым по отдельности возможно осуществление управления доступом.
При этом сущностью называется пассивный компонент среды функционирования средства защиты информации, являющийся объектом или контейнером.
3.5 объект доступа, ассоциированный функционально с субъектом доступа: Объект доступа, содержание информации в котором влияет на функциональность субъекта доступа, и информационный поток по памяти к этому объекту от другого субъекта доступа позволяет второму субъекту доступа получить управление первым субъектом доступа.
Примечание - Под управлением субъектом доступа другим субъектом доступа, как правило, рассматривается возможность второго субъекта доступа инициировать с заданными им параметрами действия первого субъекта доступа [например, получение доступа к заданному объекту доступа, изменение прав доступа к заданному объекту доступа, создание информационного потока между заданными объектами доступа и (или) иные]. В среде функционирования средства защиты информации объектом доступа, ассоциированным функционально с субъектом доступа, может быть, например, исполняемый файл, из которого активизирован процесс операционной системы, являющийся этим субъектом доступа.
3.6 политика управления доступом: Совокупность правил, подлежащих реализации средством защиты информации и регламентирующих предоставление доступа между компонентами среды функционирования этого средства защиты информации.
Примечание - В качестве компонента среды функционирования средства защиты информации, как правило, рассматривается объект или субъект доступа. При этом доступом между компонентами среды функционирования средства защиты информации является доступ субъекта доступа к субъекту или объекту доступа.
3.7 политика дискреционного управления доступом: Политика управления доступом, при реализации которой задается матрица доступов, строки которой соответствуют субъектам доступа (учетным записям пользователей), столбцы - объектам или субъектам доступа, ячейки - множеству прав доступа соответствующего строке субъекта доступа к соответствующему столбцу объекту или другому субъекту доступа; субъект доступа может получить доступ к объекту или другому субъекту доступа только в случае, когда выполняется следующее правило: в ячейке матрицы доступов, соответствующей субъекту доступа и объекту или другому субъекту доступа, содержится соответствующее право доступа.
Примечание - Матрица доступов может быть задана эквивалентными способами: списки контроля доступа, списки привилегий, граф прав доступа или другие способы.
3.8 политика мандатного контроля целостности: Политика управления доступом, при реализации которой задаются классификационные метки (уровни целостности): каждому объекту и субъекту доступа присваивается уровень целостности; субъект доступа может получить доступ к объекту доступа или другому субъекту доступа только в случае, когда выполняются следующие правила:
- при получении доступа на запись к объекту доступа уровень целостности субъекта доступа должен быть не ниже уровня целостности объекта доступа;
- доступ субъекта доступа к объекту или другому субъекту доступа не приводит к получению субъектом доступа управления некоторым субъектом доступа, уровень целостности которого не сравним или выше уровня целостности первого субъекта доступа.
Примечание - Уровень целостности объекта доступа, как правило, отражает степень уверенности в целостности содержащейся в нем информации. Уровень целостности субъекта доступа, как правило, соответствует его полномочиям по доступу к объектам доступа в зависимости от их уровней целостности, а также отражает степень уверенности в корректности его функциональности. Классификационные метки могут быть не сравнимы друг с другом, например, при использовании для их задания неиерархических категорий.
3.9 политика мандатного управления доступом: Политика управления доступом, при реализации которой задаются классификационные метки (уровни конфиденциальности, уровни доступа): каждому объекту доступа присваивается уровень конфиденциальности, каждому субъекту доступа присваивается уровень доступа (являющийся элементом множества уровней конфиденциальности); субъект доступа может получить доступ к объекту или другому субъекту доступа только в случае, когда выполняются следующие правила:
- при получении доступа на чтение к объекту доступа уровень доступа субъекта доступа должен быть не ниже уровня конфиденциальности объекта доступа;
- при получении доступа на запись к объекту доступа уровень доступа субъекта доступа должен быть не выше уровня конфиденциальности объекта доступа;
- доступ субъекта доступа к объекту доступа или другому субъекту доступа не приводит к возникновению скрытого канала от объекта доступа к другому объекту доступа, первый из которых обладает не сравнимым или более высоким уровнем конфиденциальности, чем у второго объекта доступа.
Примечание - Уровень конфиденциальности объекта доступа, как правило, отражает степень конфиденциальности содержащейся в нем информации. Уровень доступа субъекта доступа, как правило, соответствует степени его полномочий по доступу к объектам доступа в зависимости от их уровней конфиденциальности. Классификационные метки могут быть не сравнимы друг с другом, например, при использовании для их задания неиерархических категорий.
3.10 политика ролевого управления доступом: Политика управления доступом, при реализации которой задаются роли, каждая из которых представляет собой поименованное множество прав доступа к объектам доступа или субъектам доступа; каждому субъекту доступа ставится в соответствие множество разрешенных для него ролей; субъект доступа может получить доступ к объекту или другому субъекту доступа только в случае, когда выполняется следующее правило: во множестве соответствующих субъекту доступа ролей имеется роль, во множестве прав доступа к объектам или субъектам доступа которой содержится соответствующее право доступа к объекту или субъекту доступа.
3.11 право доступа: Совокупность установленных политиками управления доступом правил, регламентирующих предоставление доступа субъекту доступа к объекту или другому субъекту доступа.
3.12 скрытый канал: Информационный поток, который может быть применен для нарушения политик управления доступом.
3.13 среда функционирования средства защиты информации: Среда, в которой функционирует средство защиты информации.
Примечание - Поскольку реализуемые средством защиты информации политики управления доступом, как правило, регламентируют предоставление доступа между компонентами самого этого средства и компонентами среды его функционирования, то в настоящем стандарте предполагается, что среда функционирования средства защиты информации включает само это средство.
3.14 субъект доступа: Активный компонент среды функционирования средства защиты информации, доступы которого регламентируются политиками управления доступом.
3.15 субъект доступа непривилегированный: Субъект доступа, функционирующий от имени учетной записи непривилегированного пользователя.
Примечание - Как правило, каждому субъекту доступа (например, процессу) средством защиты информации ставится в соответствие учетная запись пользователя, от имени которой он функционирует (например, учетная запись пользователя, указанная им при начале его работы со средством защиты информации). Если средством защиты информации явно не используются учетные записи пользователей, то можно считать, что для всех субъектов доступа задана единая учетная запись пользователя (например, "Системный пользователь").
3.16 субъект доступа привилегированный: Субъект доступа, функционирующий от имени учетной записи привилегированного пользователя.
3.17 условие безопасности: Ограничение, учитываемое в формальной модели управления доступом, необходимое для реализуемой средством защиты информации политики управления доступом.
Примечание - Условие безопасности в зависимости от реализуемой средством защиты информации политики управления доступом может накладывать ограничение, например, на права доступа субъекта доступа к объектам доступа с учетом учетной записи пользователя, от имени которой этот субъект доступа функционирует, или на информационные потоки между объектами или субъектами доступа с учетом их классификационных меток.
3.18 учетная запись пользователя: Хранящаяся в среде функционирования средства защиты информации информация о пользователе этой среды, включающая информацию о его полномочиях [привилегиях, ролях, правах доступа и (или) иных] в соответствии с политиками управления доступом.
3.19 учетная запись непривилегированного пользователя: Учетная запись пользователя, не имеющего полномочия по управлению средством защиты информации.
3.20 учетная запись привилегированного пользователя: Учетная запись пользователя, имеющего полномочия по управлению средством защиты информации.
3.21 формальная модель управления доступом: Математическое или формализованное (машиночитаемое, пригодное для автоматизированной обработки) описание средства защиты информации и компонентов среды его функционирования, предоставление доступов между которыми регламентируется политиками управления доступом, реализуемыми этим средством защиты информации.
4.1 Описание формальной модели управления доступом, на основе которой разрабатывается средство защиты информации, реализующее политики управления доступом, должно соответствовать установленным в настоящем стандарте критериям.