CAN/CSA-ISO/IEC 10181-3-00 (C2013)
La présente norme nationale du Canada est équivalente à la Norme internationale ISO/IEC 10181-3:1996 (première édition, 1996-09-15).
1 Domaine d'application
Les cadres de sécurité sont destinés à traiter l'application des services de sécurité dans l'environnement des systèmes ouverts, où le terme systèmes ouverts est utilisé pour des domaines tels que les bases de données, les applications distribuées, le traitement ODP et l'interconnexion OSI. Les cadres de sécurité sont destinés à définir les moyens d'oftir la protection des systèmes et des objets au sein des systèmes, ainsi que les interactions entre systèmes. Les cadres ne traitent pas de la méthodologie de construction des systèmes ou des mécanismes.
Les cadres couvrent à la fois les éléments de données et les séquences d'opérations (mais pas les éléments de protocole) utilisés pour obtenir des services spécifiques de sécurité. Ces services de sécurité peuvent s'appliquer aux entités communicantes des systèmes aussi bien qu'aux données échangées entre systèmes, et aux données gérées par les systèmes.
Dans le cas du contrôle d'accès, les accès peuvent être destinés à un système (par exemple, vers une entité qui est la partie communicante d'un système) ou prendre place au sein d'un système. Les éléments de données qui doivent être présentés pour obtenir l'accès, ainsi que la séquence d'opérations de la demande et pour la notification des résultats de l'accès, sont considérés comme faisant partie des cadres de sécurité. Cependant, tout élément de données et toute opération qui dépend seulement d'une application et qui est strictement concerné par l'accès local au sein d'un système ne fait pas partie du domaine d'application des cadres de sécurité.
Plusieurs applications ont des besoins de sécurité pour protéger des menaces sur des ressources, y compris l'information, résultant de l'interconnexion des systèmes ouverts. Certaines menaces communément connues, dans un environnement OSI, ainsi que les services et mécanismes de sécurité pour s'en protéger, sont décrits dans la Rec. X.800 du CCITT ¦ ISO 7498-2.
Le processus de détermination des utilisations de ressources permises dans un environnement de système ouvert et, lorsque cela est approprié, la prévention contre un accès non autorisé est appelé contrôle d'accès. La présente
Recommandation 1 Norme internationale définit un cadre général pour la fourniture des services de contrôle d'accès.
Ce cadre de sécurité:
a) définit les concepts élémentaires du contrôle d'accès;
b) démontre la façon dont les concepts élémentaires du contrôle d'accès peuvent être spécialisés pour mettre en oeuvre quelques services et mécanismes d'accès communément reconnus;
c) définit ces services et mécanismes de contrôle d'accès correspondants;
d) identifie les besoins fonctionnels des protocoles pour la mise en oeuvre de ces services et mécanismes de contrôle d'accès;
e) identifie les besoins de gestion afin de mettre en oeuvre ces services et mécanismes de contrôle d'accès;
f) couvre l'interaction des services et mécanismes de contrôle d'accès avec d'autres services et mécanismes de sécurité.
Comme pour les autres services de sécurité, le contrôle d'accès peut être fourni seulement dans le contexte d'une politique de sécurité définie pour une application particulière. La définition des politiques de contrôle d'accès ne fait pas partie du domaine d'application de la présente Recommandation ¦ Norme internationale, cependant, certaines caractéristiques des politiques de contrôle d'accès sont présentées.
L'objet de la présente Recommandation ¦ Norme internationale n'est pas de spécifier les détails des échanges de protocoles qui peuvent s'avérer nécessaires pour fournir les services de contrôle d'accès.
La présente Recommandation ¦ Norme internationale ne spécifie pas de mécanisme particulier pour services de contrôle d'accès ni les détails des services et protocoles de gestion de la sécurité.
Différents types de normes peuvent utiliser ce cadre y compris:
a) les normes qui incorporent le concept du contrôle d'accès;
b) les normes qui spécifient les services d'accès incluant le contrôle d'accès;
c) les normes qui spécifient les utilisations d'un service de contrôle d'accès;
d) les normes qui spécifient les moyens de fournir le contrôle d'accès au sein d'un environnement de système ouvert;
e) les normes qui spécifient les mécanismes de contrôle d'accès.
De telles normes peuvent utiliser ce cadre de la façon suivante:
- les normes de types a), b), c), d) et e) peuvent utiliser la terminologie de ce cadre;
- les normes de types b), c), d) et e) peuvent utiliser les fonctionnalités définies dans l'article 7 de ce cadre;
- la norme de type e) peut être fondée sur les classes de mécanismes définies dans l'article 8 de ce cadre.
SDO:
CSA
Language:
French
ICS Codes:
35.100.01
Status:
Standard
Publish date:
2002-07-31
Standard Number:
CAN/CSA-ISO/IEC 10181-3-00 (C2013)