Приложение А (справочное). Модели разграничения доступа, существующие в настоящее время. Национальный стандарт РФ ГОСТ Р 59383-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 414-ст)

Приложение А
(справочное)

Модели разграничения доступа, существующие в настоящее время

А.1 Общая информация

В приложении А представлены модели разграничения доступа, которые могут быть приняты в качестве основы политики разграничения доступа.

А.2 Модели разграничения доступа

А.2.1 Общие положения

Изначально решения по разграничению логического доступа основывались на идентификационных данных субъекта, делающего запрос о выполнении операции с ресурсом. Это относится к способу управление доступом на основе идентификационных данных, в котором доступ к ресурсу индивидуально предоставлялся локально идентифицированному субъекту. Позднее появился аналогичный способ, в котором доступ к ресурсу предоставлялся локально определенным ролям, участником которых являлся субъект.

В случае запроса субъектом доступа к ресурсу уверенности в качестве идентификационных данных, групп и ролей часто недостаточно для выражения различных возможностей комбинаций предоставления доступа. Альтернативой является формализованное удовлетворение или отклонение запросов субъекта на основе произвольных атрибутов субъекта и произвольных атрибутов ресурса, а также условий среды, которые могут быть глобально распознаны и более соответствовать принятой политике доступа.

А.2.2 Дискреционное разграничение доступа

В случае дискреционного разграничения доступа (Discretionary Access Control) каждый ресурс имеет владельца, и каждый владелец может определять операции, которые другие субъекты могут выполнять с этим ресурсом. Модель дискреционного разграничения доступа дает возможность субъекту, которому были присвоены привилегии доступа к ресурсу, по своему усмотрению делегировать привилегии другим субъектам или группам субъектов.

А.2.3 Мандатное разграничение доступа

Мандатное разграничение доступа (Mandatory Access Control) чаще всего используется в системах, где приоритетом является обеспечение конфиденциальности данных.

Первоначально мандатное разграничение доступа было моделью безопасности, ограничивающей возможность владельцев ресурсов разрешать или отказывать в выполнении операций с объектами, размещенными в файловой системе. Изначально проверки применялись только на отдельном средстве вычислительной техники операционной системой, включающей ядро безопасности.

Мандатное разграничение доступа реализуется путем присвоения классификационной метки каждому файловому ресурсу. Классификации включают в себя категорию информации и уровень конфиденциальности, например конфиденциальная, секретная или совершенно секретная. Каждому субъекту присваивается аналогичная классификация, называемая допуском.

В случае запроса субъекта на доступ к определенному ресурсу система будет проверять привилегии субъекта, чтобы определить, будет ли разрешен доступ, но также будет сравнивать допуск субъекта с классификацией ресурса.

Модель мандатного разграничения доступа построена на модели дискреционного разграничения доступа с двумя дополнительными правилами мандатного разграничения доступа.

Разграничительное свойство безопасности - владельцы индивидуальных ресурсов могут назначать меры защиты объектов, которые они контролируют, исходя из модели дискреционного управления доступом.

Простое свойство безопасности - субъект с данным уровнем безопасности не может читать ресурс с более высоким уровнем безопасности (без чтения).

*-свойство (читается как "звездочка"-свойство) - субъект с данным уровнем безопасности не должен записывать данные в какой-либо ресурс с более низким уровнем безопасности (без записи).

*-свойство может применяться только при использовании определенных терминалов и/или между системами, обе из которых способны применять *-свойство.

Данное свойство безопасности может быть применено в распределенной среде. Когда субъект попытается прочитать содержимое ресурса, система будет проверять привилегии субъекта с целью определения, можно ли разрешить доступ для чтения с использованием правил дискреционного управления доступом, но также будет сравнивать допуск субъекта с классификацией ресурса и таким образом применять правило Простого свойства безопасности.

Администрирование правил мандатного разграничения доступа осуществляют не владельцы ресурсов, а специалисты по обеспечению безопасности.

А.2.4 Разграничение доступа на основе идентификационных данных

Модель разграничения доступа на основе идентификационных данных (Identity-based Access Control) использует такие механизмы, как списки управления доступом, которые содержат идентификаторы субъектов вместе с операциями, разрешенными с данным ресурсом.

Используемые идентификаторы несут на себе некоторую семантику, связанную с идентификационными данными субъекта.

Очень часто один и тот же идентификатор используется для всех ресурсов. Такая ситуация дает возможность связывать операции, выполняемые одним и тем же субъектом на разных серверах или машинах.

Идентификатор может быть аутентифицированным идентификатором, полученным после успешного аутентификационного обмена, или может быть включен в токен доступа.

В модели разграничения доступа на основе идентификационных данных идентификационные данные субъектов авторизуются и добавляются в список управления доступом вместе с соответствующими привилегиями доступа субъекта к ресурсам, чтобы впоследствии разрешить доступ субъекта к ресурсам. Если идентификатор совпадает с идентификатором, содержащимся в списке управления доступом, субъекту предоставляется привилегия выполнить с ресурсом операции, упомянутые для этого субъекта в списке управления доступом.

Управление списком управления доступом необходимо до любого конкретного запроса доступа и приводит к добавлению идентификатора в список управления доступом вместе с конкретными операциями для ресурса.

А.2.5 Разграничение доступа на основе ролей

Модель разграничения доступа на основе ролей (Role-based Access Control) использует такие механизмы, как списки управления доступом, которые содержат роли субъектов вместе с операциями, разрешенными с данным ресурсом.

Используемые роли обычно несут на себе определенную семантику, но совместно используются несколькими субъектами.

Роль может быть включена в токен доступа (push-модель) или может быть получена из каталога после успешной аутентификации (pull-модель).

Когда роль совпадает с ролью, содержащейся в списке управления доступом, субъекту предоставляется привилегия выполнить с ресурсом операции, упомянутые для этой роли в списке управления доступом.

Управление списком управления доступом необходимо до любого конкретного запроса доступа и приводит к добавлению роли в список управления доступом вместе с конкретными операциями для ресурса.

Преимуществом введения ролей является отсутствие необходимости перечислять в списке управления доступом идентификаторы для каждого субъекта. Назначение ролей при разграничении доступа на основе ролей эффективно при использовании статических организационных позиций.

Роль может быть унаследована через иерархию ролей и обычно отражает привилегии, необходимые для выполнения определенных операций в организации. Данная роль может относиться к одному субъекту или к нескольким субъектам.

А.2.6 Разграничение доступа на основе атрибутов

Модель разграничения доступа на основе атрибутов (Attribute-based Access Control) использует такие механизмы, как списки управления доступом, которые содержат атрибуты субъектов вместе с операциями, разрешенными с данным ресурсом.

Атрибуты могут быть включены в токен доступа (push-модель) или получены из каталога после успешной аутентификации (pull-модель).

Когда атрибут совпадает с атрибутом, содержащимся в списке управления доступом, субъекту предоставляется привилегия выполнить с ресурсом операции, упомянутые для этого атрибута в списке управления доступом.

Управление списком управления доступом необходимо до любого конкретного запроса доступа и приводит к добавлению атрибута в список управления доступом вместе с конкретными операциями для ресурса.

А.2.7 Разграничение доступа на основе псевдонимов

Модель разграничения доступа на основе псевдонимов (Pseudonym-based Access Control) использует такие механизмы, как списки управления доступом, которые содержат псевдонимы субъектов вместе с операциями, разрешенными с данным ресурсом.

Используемые псевдонимы не несут на себе никакой семантики, связанной с идентификационными данными субъекта.

Часто для каждого отдельного сервера или сервиса используются разные псевдонимы. В этом случае невозможно связать операции, выполняемые одним и тем же субъектом на разных серверах или машинах.

Псевдоним может быть аутентифицированным псевдонимом, полученным после успешного аутентификационного обмена, или может быть включен в токен доступа.

Когда псевдоним совпадает с псевдонимом, содержащимся в списке управления доступом, субъекту предоставляется привилегия выполнить с ресурсом операции, упомянутые для этого субъекта в списке управления доступом.

Управление списком управления доступом необходимо до любого конкретного запроса доступа и приводит к добавлению псевдонима в список управления доступом вместе с конкретными операциями для ресурса.

А.2.8 Разграничение доступа на основе возможностей

Модель разграничения доступа на основе возможностей (Capabilities-based Access Control) использует возможности, назначенные субъекту по отношению к требованиям ресурса по доступу.

При разграничении доступа возможности обычно реализуются в токенах доступа, которые выдаются доверенным органом субъектам, которым разрешен доступ к соответствующим ресурсам. Токен доступа содержит информацию, позволяющую проверить токен и выдавшего его (например, с помощью цифровых сертификатов и подписи) и определить разрешения для доступа субъекта к ресурсам. Токен доступа может также содержать информацию, позволяющую аутентифицировать субъекта как истинного владельца токена. Выдача субъекту токена доступа (возможности) авторизует субъекта для доступа к соответствующим ресурсам с заданными разрешениями.

Токен доступа в данной модели использует билеты ¹⁾ возможностей, которые содержат два основных компонента: (а) идентификатор ресурса и (b) операции, разрешенные с этим ресурсом.

------------------------------

¹⁾_Tickets.

------------------------------

Эти билеты выпускаются уполномоченным органом. Точка принятия решений по политике будет доверять не всем органам, а в случае органов, которым она доверяет, будет принимать только билеты, содержащие определенный набор операций.

Таким образом, точка принятия решений будет управляться матрицей, содержащей несколько строк, где в каждой строке находится:

- идентификатор признанного органа, который может выпускать свидетельства возможностей;

- операция, которая может быть включена в свидетельство возможностей для данного признанного органа.

Возможность может быть включена в токен доступа (push-модель) или может быть получена из каталога после успешной аутентификации (pull-модель).

Когда свидетельство возможностей совпадает с содержимым строки матрицы, субъекту предоставляется привилегия выполнять с ресурсом операции, упомянутые в матрице.

Управление матрицей доступа необходимо до любого конкретного запроса доступа и приводит к добавлению в матрицу идентификатора признанного органа, выпускающего свидетельства возможностей, вместе с конкретными операциями, которые могут быть включены в возможности для данного признанного органа.

Для выполнения требований аудита необходима способность идентифицировать субъекта, который был авторизован для выполнения операции с ресурсом. Это осуществляется по-разному в зависимости от того, используется ли push-модель или pull-модель.

В push-модели возможность включена в токен доступа, и присутствующая в токене некоторая другая информация позволяет косвенно идентифицировать субъекта (обычно только при сотрудничестве органа, выдавшего токен доступа).

В pull-модели субъект сначала аутентифицируется, а используемый во время аутентификационного обмена идентификатор включается в контрольный журнал.

Процесс выпуска токена может быть однократной операцией, т.е. после выдачи токена доступа субъект может использовать его для многих запросов доступа, пока/если токен доступа не будет аннулирован. Обычно так происходит при использовании физических токенов доступа (например, смарт-карты). В других ситуациях выпуск токена доступа может носить временный характер с ограниченным сроком использованием токена (например, на сеанс; на транзакцию).

При управлении доступом на основе возможностей орган, выпускающий токены доступа, исполняет роль точки принятия решений по политике в системе управления доступом, причем решение встроено в токен. Субъект, запрашивающий доступ к ресурсу, представляет токен доступа непосредственно точке соблюдения политики ресурса. Точка соблюдения политики подтверждает достоверность токена доступа и выпускающего его органа и проверяет встроенные разрешения на доступ к ресурсу перед предоставлением субъекту доступа к ресурсу.