ГОСТ Р ИСО 7498-2-99 Государственный стандарт Российской Федерации Информационная технология взаимосвязь открытых систем базовая эталонная модель

5.3.3.2 Механизмы управления доступом могут, например, базироваться на использовании одного или нескольких следующих факторов: a) информационных баз управления доступом, где поддерживаются права доступа равноправных логических объектов. Эта информация может обслуживаться санкционированными центрами или логическими объектами, к которым осуществляется доступ, и может иметь форму списка управления доступом или матрицы с иерархической или распределенной структурой. Этот фактор предполагает, что аутентификация равноправного логического объекта обеспечена;

b) информации аутентификации, например, паролей, обладание и последующее представление которых очевидно из полномочий логического объекта, осуществляющего доступ;

c) возможностей, обладание и последующее представление которых очевидно вытекает из наличия у логического объекта или ресурса права на доступ, определяемого данной возможностью.

Примечание — Возможность не должна быть ложной и должна быть присвоена доверительным образом;

d) меток защиты, которые при присвоении какому-либо логическому объекту должны использоваться для разрешения или отклонения права на доступ обычно в соответствии со стратегией защиты;

e) времени попытки получения доступа;

f) маршрута попытки получения доступа;

g) длительности доступа.

5.3.3.3 Механизмы управления доступом могут использоваться на любом конце ассоциации обмена данными и/или в любом ее промежуточном пункте.

Функции управления доступом, задействованные у отправителя или в любом промежуточном пункте, используются для определения права передатчика на обмен данными с получателем и/или для использования запрашиваемых ресурсов связи.

Требования, предъявляемые к механизмам управления доступом в равноправных уровнях на стороне получателя для передачи данных в режиме без установления соединения, должны быть известны заранее отправителю и должны быть зарегистрированы в информационной базе административного управления защитой (см. 6.2 и 8.1).

5.3.4 Механизмы целостности данных

5.3.4.1 Существует два аспекта целостности данных: целостность единичного блока данных или поля и целостность потока блоков данных или полей. В общем случае для обеспечения этих двух типов услуги целостности используются различные механизмы, хотя обеспечение второго типа этой услуги без первого непрактично.

5.3.4.2 Определение целостности единичного блока данных включает два процесса, один из которых выполняется на передающем логическом объекте, а другой — на принимающем. Передающий логический объект добавляет к блоку данных контрольную величину, которая является функцией самих данных. Эта контрольная величина может быть дополнительной информацией, например, кодом проверки блока или криптографическим контрольным значением, и может быть сама зашифрована. Принимающий логический объект генерирует соответствующую контрольную величину и сравнивает ее с принятой контрольной величиной для определения возможной модификации данных в процессе их передачи. Этот механизм сам по себе не может защитить от воспроизведения отдельного блока данных. На соответствующих уровнях архитектуры обнаружение манипуляции может привести к действию процедуры восстановления (например, путем повторной передачи или исправления ошибок) на данном или вышерасположенном уровне.

5.3.4.3 Для передачи данных в режиме с установлением соединения защита целостности последовательности блоков данных (т.е. защита от нарушения последовательности, потери, воспроизведения, вставок или модификации данных) дополнительно требует некоторых форм явного упорядочения, таких как порядковая нумерация, отметки времени или организация криптографических цепочек.

5.3.4.4 При передаче данных в режиме без установления соединения могут быть использованы отметки времени с целью обеспечения ограниченной формы защиты против воспроизведения отдельных блоков данных.