Точный
Статус документа
Статус документа

ГОСТ Р 59383-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Основы управления доступом

     4.1 Модель управления доступом к ресурсам

4.1.1 Общий обзор

Концептуально последовательность предоставления доступа к ресурсу выглядит следующим образом:

- перед предоставлением доступа к ресурсу необходима аутентификация субъекта. Однако аутентификация является отдельной функцией, обычно реализуемой на сеансовой основе, а не для каждого запроса доступа;

- решение об авторизации, разрешающее доступ или отказывающее в доступе к ресурсу, принимается на основе политики; для передачи результата решения выпускается токен доступа;

- на основе результата решения осуществляется авторизация для ресурса и предоставляется доступ к ресурсу.

Последовательность действий в модели управления доступом приведена на рисунке 1. Субъект и ресурс изображены в виде окружностей, а концептуальные функции изображены в виде прямоугольников.

Рисунок 1 - Последовательность действий в модели управления доступом


Для цели предоставления доступа ресурс характеризуется следующими аспектами:

- идентификатором для конкретного ресурса либо для класса ресурсов;

- одним или несколькими режимами доступа;

- совокупностью атрибутов, связанных с режимами доступа и другими критериями доступа, как определено в политике управления доступом.

Система управления доступом отвечает за администрирование и функционирование разрешений на доступ. Полномочия поддерживаются административной деятельностью, которая назначает и поддерживает атрибуты ресурсов и привилегии субъекта в соответствии с политикой управления доступом.

Ресурсы в системах обычно являются динамичными. Они проходят жизненный цикл от создания до уничтожения, и этот процесс является непрерывным.

Ресурсы постоянно создаются, обновляются и уничтожаются.

Ресурсам должны быть присвоены атрибуты доступа (как правило во время создания), которые будут использоваться системой управления доступом для управления доступом субъектов к ресурсам. [Это осуществляется путем предварительного определения общепризнанных типов ресурсов с соответствующими образцами атрибутов доступа. При создании ресурса известного типа он наследует атрибуты доступа соответствующего образца].

Ресурсами владеет сторона, которая может быть физическим лицом или организацией. Владелец часто, но не всегда, является создателем ресурса, и владение ресурсом может меняться в течение срока службы ресурса.

4.1.2 Взаимосвязь между системой управления идентификационными данными и системой управления доступом

В приведенной в настоящем стандарте модели управления доступом субъект аутентифицируется с помощью системы управления идентификационными данными, как указано в [4]. Затем аутентифицированный субъект запрашивает доступ, используя систему управления доступом. Система управления доступом определяет, следует ли авторизовать субъекта для доступа к ресурсу. Авторизация субъекта включает в себя два различных вида деятельности:

- предварительное присвоение субъектам привилегий доступа к ресурсам;

- предоставление субъектам доступа к ресурсам при операционном использовании.

Взаимосвязь между системой управления идентификационными данными и системой управления доступом приведена на рисунке 2.