Управление доступом - это предотвращение несанкционированного использования ресурса, включая предотвращение использования ресурса несанкционированным образом.
Для управления данными задание управления доступом состоит в разрешении санкционированного доступа к данным и предотвращении несанкционированного доступа. Такое управление доступом определяет процессы, которые может выполнять пользователь.
В любой организационной ситуации существуют требования к управлению доступом, которые могут быть выражены в терминах стратегии безопасности. Стратегия безопасности устанавливает, какую форму доступа требует каждый пользователь информационной системы. Информационная система должна иметь соответствующие механизмы управления доступом для проведения в жизнь стратегии безопасности.
Управление доступом должно основываться на принципе идентичности человека и процесса.
Требования управления доступом в контексте управления данными должны быть следующими:
- определять и впоследствии модифицировать привилегии управления доступом;
- проводить в жизнь в любое время ограничения управления доступом, которые применимы в том же месте в то же время.
Для определения привилегий требуются определенные средства. Процесс выделения привилегий пользователям называется санкционированием. Глобальные полномочия даются тому, кто должен создать или модифицировать другие привилегии управления доступом в среде управления данными.
Привилегии могут определяться в терминах идентификатора пользователя, ограничениями на использование информационной системы, баз данных, схем, типов данных, времени и размещения, а также используя их комбинации.
Может потребоваться дополнительная информация, такая, например, как идентификатор пользователя, который санкционирует привилегию.
Данные, описывающие привилегии, называют данными по управлению доступом. Эти данные должны храниться и управляться точно так же, как и любые другие данные в области управления данными.
Решение позволить любой конкретный доступ к данным основывается на привилегиях пользователя.
Проведение в жизнь управления доступом требует, чтобы пользователи и процессы, выполняющие роль пользователей, были идентифицированы и чтобы законность запроса на использование этого процесса доступа к требуемым данным могла быть проконтролирована в момент выполнения [из 4.6 Управление доступом ГОСТ 34.321-96]