ГОСТ ISO/TS 22600-3—2013
b) Техническая основа
Необходим контроль обменов информацией о привилегиях, гарантирующий, что смысл привиле
гий согласован между зонами безопасности. Для обеспечения возможности такого контроля можно
создатьстандартный комплекспривилегий. Он может включатьв себя отображениеэквивалентныхпри
вилегий, совместно определенное зонами безопасности. Эквивалентность передаваемых привилегий
может быть проверена натехнической основе, чтобы гарантировать необходимые следствия их приме
нения.
c) Административнаяоснова
1) Информация о привилегиях, передаваемая между зонами безопасности, может относиться к
разным административным субъектам (например, разным деловым партнерам или организациям). В
этом случаесоглашениеоб обмене привилегиями иихприменениидолжно документироваться, обычно
в форме «соглашения деловых партнеров». Наличие такого соглашения необходимо для разделения
юридической, этическойи практическойответственностимеждуделовыми партнерами. Ономожетбыть
распространенонадругихучастников реализованнойинфраструктуры управленияпривилегиями. Экви
валентнаяпроцедуравыполняетсяв инфраструктуреоткрытыхключейспомощью заявленияо практике
сертификациииполитиксертификации. В политикахвеб-сервисов используетсяальтернативная проце
дура «заявлений о политике».
2) Водном учреждении или организации может существовать несколько зон безопасности. Доку
мент, регламентирующий разделениеответственности междутакими зонами, должен быть оформлен в
виде соглашения деловых партнеров или протокола о намерениях (MOU — memorandum of
understanding). Этот документ должен периодически пересматриваться, чтобы обмен привилегиями
между зонами безопасности осуществлялся, пока уорганизации есть в этом необходимость.
d) Организационныетребования.
Информация о привилегиях, передаваемая между зонами безопасности, должна быть структури
рована. Ееструктурадолжна соответствоватьорганизационным требованиям. Образованиезоны безо
пасности. охватывающей определенную организационную цель (например, бухгалтерский или
кадровыйучет), являетсясущественным элементом согласованногоподхода. Сучетомдругих внешних
факторов (например, угроз) результирующий стандартный набор привилегий, пригодный для обмена
междузонами безопасности, долженбыть, какследствие, весьмаограниченным. При этом набор приви
легий. предназначенный для одной части организации (например, для бухгалтерии), не должен вклю
чать в себя привилегии, необходимые другой, не связанной части организации (например, кадровой
службе). Крометого, результирующий наборобщих привилегийдолженсодержать ровнотепривилегии,
которые необходимы длядостижения определенной цели.
В настоящемдокументе рассматриваютсятолькотеаспекты, которыепредставлены затененными
прямоугольниками на рисунке 2.
Рисунок 2 — Аспекты безопасности, рассматриваемые в настоящем документе
12