Gestion des témoins de connexion
Ce site utilise des témoins de connexion afin d’améliorer votre expérience de navigation et d’analyser l'utilisation du site par les visiteurs. Les renseignements collectés ne sont utilisés qu’à des fins statistiques pour une durée de 395 jours. Pour en savoir plus sur les témoins de connexion que nous utilisons et les données que nous collectons, consultez la Politique de confidentialité.

AC-03(04) - Contrôle d’accès discrétionnaire   (PaF-)


Énoncés :

Appliquer la [Affectation : stratégie de contrôle d’accès discrétionnaire définie par l’organisation] aux ensembles de sujets et d’objets couverts qui ont été précisés dans la stratégie, et quand la stratégie précise qu’un sujet à qui l’accès à l’information a été accordé peut réaliser l’un ou l’autre des aspects suivants :
a. acheminer l’information à d’autres sujets ou objets
b. octroyer ses droits d’accès à d’autres sujets
c. changer des attributs de sécurité de sujets, d’objets, du système ou de composants du système
d. choisir les attributs de sécurité qui seront associés aux objets nouvellement créés ou modifiés; par le contrôle d’accès
e. changer les règles régies par le contrôle d’accès

Paramètres :

Responsable : Aucun

Discussion :

Lors de la mise en oeuvre des stratégies de contrôle d’accès discrétionnaire, les sujets ne sont pas limités quant aux opérations qu’ils peuvent exécuter par rapport à l’information de l’organisation à laquelle ils ont déjà reçu l’accès. Toutefois, ils sont limités quant à l’utilisation ou la divulgation de renseignements personnels. Un avis d’utilisation est fourni à la personne au point de collecte et les seules utilisations autorisées de l’information sont communiquées dans un énoncé de confidentialité, et les limites d’utilisation sont détaillées dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Pour les dossiers opérationnels, les sujets ayant déjà obtenu l’accès à l’information sont autorisés à transmettre (c’est-à-dire qu’ils peuvent choisir de transmettre) l’information à d’autres sujets ou à d’autres objets. Un contrôle d’accès discrétionnaire peut être appliqué en conjonction avec le contrôle d’accès obligatoire décrit dans les contrôles AC-03(03) et AC-03(15). Un sujet dont les activités sont limitées par les stratégies de contrôle d’accès obligatoire peut toujours effectuer ses activités selon les contraintes moins rigoureuses du contrôle d’accès discrétionnaire. Par conséquent, bien que le contrôle AC-03(03) impose des contraintes empêchant un sujet de transmettre de l’information à un sujet travaillant à un niveau d’incidence ou de classification différent, le contrôle AC-03(04) permet au sujet de transmettre de l’information à des sujets ayant le même niveau d’incidence ou de classification que celui du sujet. La politique est délimitée par le système. Une fois que l’information sort du contrôle du système, des moyens additionnels seront peut-être nécessaires pour s’assurer que les contraintes imposées demeurent en vigueur. Alors que les définitions traditionnelles du contrôle d’accès discrétionnaire exigeaient le contrôle d’accès basé sur l’identité, il n’est pas nécessaire d’appliquer cette limite à l’utilisation du contrôle d’accès discrétionnaire.