ГОСТ ISO/TS 22600-3—2013
отдельным целым числом типа INTEGER или строкой байтов типа OCTET STRING. Синтаксис других типов приви
легий может быть более сложным. Пример приведен в приложении Г.
Политика привилегий описывает уровень привилегии, который считается достаточным для вызова метода
объекта, имеющего данную чувствительность, или для данного контекста использования. Целостность и аутентич
ность политики привилегий должны быть защищены. Существуют разные возможности передачи политики. Одна
крайность состоит в том. что на самом деле политика не передается, а хранится в среде контролера привилегий.
Другая крайность состоит в том. что некоторые политики «универсальны» идолжны передаваться или быть извес
тными всем субъектам системы. Между этими крайностями существует много вариантов. Схема компонентов,
предназначенных для хранения информации политики привилегий, описана в настоящем приложении.
Политика привилегий описывает порог приемлемости данного комплекса привилегий. В ней точно указано, в
каких случаях контролер привилегий должен принимать решение, что комплекс привилегий, представленный ему в
запросе, «достаточен» для представления заявителю права доступа (к требуемому объекту, ресурсу, приложению
ит.д.).
Синтаксисописанияполитикпривилегий е настоящем приложении не специфицирован. Приложение Г содер
жит пару примеров синтаксиса, который можетиспользоватьсядля этой цели. Однако это только примеры .Для опи
сания политик может использоваться любой синтаксис, в том числе обычный текст. Независимо от синтаксиса,
используемогодля описания политики привилегий, каждый экземпляр политики должен иметь уникальный иденти
фикатор. Для этого используются объектные идентификаторы:
P n v i l e g e P o l l c y O B J E C T IDENTIFIER
В релевантных переменных среды хранятся те параметры политики, которые спомощью некоторых местных
средств доступны контролеру привилегий и которые необходимы для принятия им решения о разрешении вызова
(например, время дня или текущий баланс счета). Способ представления переменных среды оставляется на
местное усмотрение.
Чувствительность метода объекта, если таковая используется, может отражать атрибуты документа или
запроса на обработку, например, сумма платежного поручения, которое требуется авторизовать, или уровень
конфиденциальности содержания документа. Чувствительность метода объекта может быть явно закодирована в
метке безопасности этого объекта или инкапсулирована в структуре и содержании этого объекта данных. Коди
рование чувствительности может быть выполнено разными способами. Например, код чувствительности может
передаваться вне информации управления привилегиями, скажем, в метке, привязанной к документу и соответ
ствующей стандарту Х.411. в полях сообщения по стандарту EDIFACT или даже содержаться в программном коде
контролера привилегий. Кодчувствительности может передаваться и в составе информации управления привиле
гиями, в сертификате атрибута, связанном с данным методом объекта. В других вариантах используемого контек
ста чувствительность метода объекта может вообще не использоваться.
Всуществованиисвязи между контролером привилегийи конкретным ОА нет никакой необходимости. Подоб
но тому как владелец привилегий может иметь сертификаты атрибута, выпущенные многими разными ОА. контро
леры привилегий могут для принятия решения о предоставлении доступа к конкретному ресурсу
принимать сертификаты, выпущенные различными ОА. между которыми не обязательно будут иерархические
связи.
Управление привилегиями с помощью сертификатов может использоваться для управления различными
типами привилегий идля различныхцелей. Термины, используемые в настоящем документе, например, заявитель
привилегий, контролер привилегий и т. д.. не зависят от конкретного приложения или применения.
А.5.8 Ограничения разрешений
Ограничения разрешений формулируются в процесс конструирования ролей. Примером ограничения разре
шений служит правило, по которому только одной роли разрешается выполнять определенное действие в каждый
момент времени. Другим примером может служить ограничение кратности. В этом случае оно формулируется в
форме указания кратности.
Примерами ограничений разрешений служат:
- роль главной медицинской сестры больницы (кратность 1для больницы):
- роль заведующего отделением (кратность 1для отделения):
- роль исполнителя лабораторных анализов и дежурного врача-лаборанта (запрет на совмещение обязан
ностей):
- дистанционный доступ врача к информационной системе больницы, которая не является его местом основ
ной работы (ограничение местонахождения);
- доступ в зависимости от смены (ограничение на время доступа).
Приведенное обсуждение опирается на предположение, что имя функциональной роли является случайным
и служит только идентификатором совокупности разрешений, соответствующих стандарту ANSI INCITS. Далее,
описания ролейобязательно специфичны для организации, в которой онисозданы, и.следовательно, сами посебе
не предполагают какой-либо иной интероперабельности с деловыми партнерами, нежели та. что описана в дело
вых соглашениях с ними. Для достижения полной интероперабельности организациям требуются стандартизация
разрешений доступа в здравоохранении и средства назначения и объявления стандартных привилегий.
32