ГОСТ Р ИСО 7498-2-99 Государственный стандарт Российской Федерации Информационная технология взаимосвязь открытых систем базовая эталонная модель

6.2.2 Предоставление услуг защиты
После определения комбинации требований к защите со стороны административного управления и динамически выбранных требований, как описано в 6.2.1, (N+l)-уровень будет пытаться обеспечить, как минимум, заданный тип желаемой защиты. Это может быть достигнуто одним или двумя следующими методами:

a) привлечение механизмов защиты непосредственно внутри (N)-уровня;

b) запрос услуг защиты из (N-1)-уровня. В этом случае область применения защиты должна быть расширена на (N)-услугу путем сочетания доверительной функциональности и/или специальных механизмов защиты в (N)-уровень.

Примечание — Последнее необязательно означает, что все функциональные возможности на (N)-уровне должны быть доверительными. Таким образом, (N)-уровень определяет свою способность обеспечить запрашиваемую желаемую защиту. Если он не имеет таких возможностей, обмен данными не происходит.

6.2.2.1 Установление защищенного (N)-соединения
Последующее рассмотрение касается предоставления услуг внутри (N)-уровня (в отличие от использования функций (N-l)-услуг.

В некоторых протоколах для обеспечения гарантированной желаемой защиты решающей является последовательность операций. Предоставляются следующие услуги:

a) контроль исходящего доступа; (N)-уровень может предусматривать средства контроля исходящего доступа, т.е. он может локально определять (со стороны ИБАУЗ), разрешено ли ему установление защищенного (N)-coединения.

b) аутентификация равноправного логического объекта;

Если желаемая защита включает аутентификацию равноправного логического объекта или если известно (со стороны ИБАУЗ), что (N)-объект получателя будет запрашивать аутентификацию равноправного логического объекта, то должен иметь место обмен информацией аутентификации. Выполнение последней процедуры может потребовать использования двух- или трехнаправленного квитирования для обеспечения запрашиваемой односторонней или взаимной аутентификации. Иногда обмен информацией аутентификации может происходить в рамках обычных процедур установления (N)-соединения. При других обстоятельствах обмен информацией аутентификации может быть выполнен отдельно от процедуры установления (N)-соединения.

c) услуга управления доступом;

(N)-логический объект получателя или промежуточные логические объекты могут подчиняться требованиям управления доступом. Если удаленный механизм управления доступом запрашивает специальную информацию, то инициирующий (N)-логический объект предоставляет эту информацию внутри протокола (N)-уровня или через каналы административного управления.

d) конфиденциальность;

Если была выбрана услуга полной или избирательной конфиденциальности, должно быть установлено защищенное (N)-соединение. Эта процедура может включать установление соответствующих рабочих ключей и согласование криптографических параметров данного соединения. Это может быть достигнуто путем выполнения предварительных действий в процессе обмена информацией аутентификации или с помощью отдельного протокола.

e) целостность данных;

Если была выбрана целостность всех (N)-пользовательских данных с восстановлением или без него либо целостность выбранных полей, должно быть установлено защищенное (N)-соединение. Это соединение может быть тем же, которое установлено для обеспечения услуги конфиденциальности и может обеспечивать аутентификацию. К данной услуге применимы те же самые требования, что и к услуге конфиденциальности для защищенного (N)-соединения;

f) услуга «безотказность».

Если была выбрана услуга «безотказность» с подтверждением отправителя, то должны быть установлены соответствующие криптографические параметры или защищенное соединение с логическим объектом нотаризации. <;p>Если была выбрана услуга «безотказность» с подтверждением доставки, то должны быть установлены соответствующие параметры (которые отличаются от запрашиваемых параметров при услуге безотказности с подтверждением отправителя) или защищенное соединение с логическим объектом нотаризации.