Точный
Статус документа
Статус документа

ГОСТ Р 59453.1-2021 Защита информации. Формальная модель управления доступом. Часть 1. Общие положения

     6 Описание правил перехода из состояний в состояния в рамках формальной модели управления доступом

6.1 В рамках формальной модели управления доступом описание абстрактного автомата должно включать правила его перехода из состояний в состояния (команды, операции, функции перехода), содержащие параметры каждого правила, условия (предусловия) и результаты (постусловия) его применения. Должны быть формально описаны правила:

- для создания, удаления учетных записей пользователей, объектов или субъектов доступа;

- для изменения прав доступа учетных записей пользователей и (или) субъектов доступа к объектам или субъектам доступа;

- для получения, удаления доступов субъектов доступа к объектам или субъектам доступа;

- для изменения иерархии объектов доступа;

- для создания информационных потоков.

Примечание - Совокупность инициирующих переходы абстрактного автомата из состояний в состояния правил, команд, операций, функций со всеми возможными наборами их параметров рассматриваются как входной алфавит абстрактного автомата. При описании правил перехода абстрактного автомата из состояний в состояния стремятся обеспечить их согласованность с режимами функционирования средства защиты информации таким образом, чтобы каждому наблюдаемому состоянию или последовательности состояний средства защиты информации, связанного с реализацией политик управления доступом, можно было поставить в соответствие правило или последовательность правил перехода абстрактного автомата из состояний в состояния.

6.2 Если заданные в соответствии с 4.2 политики управления доступом включают только политику дискреционного управления доступом, то перечисленных в 6.1 правил перехода абстрактного автомата из состояний в состояния достаточно для ее описания.

6.3 Если заданные в соответствии с 4.2 политики управления доступом включают политику ролевого управления доступом, то в дополнение к 6.1 должны быть формально описаны правила перехода абстрактного автомата из состояний в состояния:

- для создания, удаления ролей;

- для изменения иерархии ролей;

- для задания и (или) изменения прав доступа (привилегий) ролей;

- для изменения множеств ролей, разрешенных для учетных записей пользователей;

- для изменения множеств текущих ролей, которыми обладают субъекты доступа.

6.4 Если заданные в соответствии с 4.2 политики управления доступом включают политику мандатного контроля целостности, то в дополнение к 6.1 должны быть формально описаны правила перехода абстрактного автомата из состояний в состояния:

- для задания и (или) изменения уровней целостности учетных записей пользователей или субъектов доступа;

- для задания и (или) изменения уровней целостности объектов доступа;

- для получения субъектами доступа управления другими субъектами доступа за счет использования информационных потоков по памяти к объектам доступа, функционально ассоциированным с субъектами доступа.

6.5 Если заданные в соответствии с 4.2 политики управления доступом включают политику мандатного управления доступом, то в дополнение к 6.1 должны быть формально описаны правила перехода абстрактного автомата из состояний в состояния:

- для задания и (или) изменения уровней доступа учетных записей пользователей или субъектов доступа;

- для задания и (или) изменения уровней конфиденциальности объектов доступа.

Примеры

1 Правило создания субъектом доступа объекта в контейнере.

Параметры правила:

x - субъект доступа;

y - создаваемый объект;

z - контейнер, в котором создается объект;

yi - уровень целостности создаваемого объекта;