Можно также различать административно назначаемые и динамически выбираемые средства полномочий. Стратегия защиты должна определять те элементы системной защиты, которые всегда применимы и остаются в силе (например, компоненты стратегии, основанные на правилах и идентификации при их наличии) и те из них, которые пользователь может выбрать для использования по своему усмотрению. А.3.3.2 Стратегия защиты, основанная на идентификации Аспекты стратегии защиты, основанные на идентификации, частично соответствуют принципам защиты, известным как «необходимость опознавания». Цель ее состоит в фильтрации доступа к данным или ресурсам. Имеются два основных фундаментальных способа реализации стратегий, основанных на идентификации, в зависимости от того, сохраняется ли информация о правах на доступ получателем или она является частью данных, которые должны быть доступными. Первая служит примером принципов привилегий или функциональных возможностей, предоставляемых пользователям и используемых процессами по их поручению. Примерами последней служат списки управления доступом (СУД). В обоих случаях размер области данных (от полного файла до элемента данных), который может быть поименован в функциональной возможности или который переносит свой собственный СУД, может изменяться в широких пределах. А.3.3.3 Стратегия защиты, основанная на правилах Полномочия в стратегии защиты, основанной на правилах, обычно основаны на чувствительности. В закрытой системе данные или ресурсы должны быть помечены метками защиты. Процессам, действующим по инициативе персонала, может быть присвоена метка защиты, соответствующая их инициатору. А.3.4 Стратегия, взаимосвязи и метки защиты Концепция присвоения меток выполняет важную роль в среде обмена данными. Метки, переносящие атрибуты, выполняют различные функции. Имеются элементы данных, которые перемещаются во время обмена данными; существуют процессы и логические объекты, которые инициируют обмен данными, а также такие, которые выдают ответы; существуют каналы и другие ресурсы самой системы, используемые во время обмена данными. Всем им может быть тем или иным способом присвоена метка с соответствующими атрибутами. Стратегии защиты должны указывать, как атрибуты каждой из них могут использоваться для обеспечения требуемой защиты. Для установления надлежащей значимости защиты конкретных помеченных атрибутов может потребоваться согласование. Когда метки защиты присваиваются как доступным процессам, так и доступным данным, должна быть соответствующим образом помечена дополнительная информация, необходимая для обеспечения управления доступом на основе идентификации. Если стратегия защиты основана на идентификации пользователя, имеющего доступ к данным непосредственно или с помощью процесса, то метки защиты должны содержать информацию об идентификации пользователя. Правила присвоения конкретных меток должны быть представлены в стратегии защиты в базе административной информации защиты (БАУИЗ) и/или согласованы, при необходимости, с оконечными системами. Метка может быть добавлена с помощью атрибутов, которые квалифицируют соответствующую чувствительность для определения средств обработки и распределения, ограничения таймирования и местоположения и четкого определения требований, специфичных для данной оконечной системы. А.3.4.1 Метки процесса При аутентификации полная идентификация тех процессов или логических объектов, которые инициируют сеанс обмена данными или отвечают на него, в совокупности со всеми соответствующими атрибутами имеет обычно фундаментальную важность. Поэтому БАУИЗ должны содержать достаточную информацию о тех атрибутах, которые важны для любой административно назначаемой стратегии. А.3.4.2 Метки области данных Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 все
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |
