AC-03(13) - Contrôle d’accès basé sur les attributs (PaF-)
Énoncés :
Appliquer une stratégie de contrôle d’accès basé sur les attributs des sujets et objets définis, et contrôler l’accès en fonction des [Affectation : attributs définis par l’organisation pour assumer les autorisations d’accès].
Paramètres :Le contrôle d’accès basé sur les attributs est une stratégie de contrôle d’accès qui limite l’accès aux systèmes aux utilisatrices et utilisateurs autorisés en fonction des attributs particuliers de l’organisation (par exemple, les fonctions, l’identité), des attributs d’intervention (par exemple, lecture, écriture, suppression), des attributs environnementaux (par exemple, l’heure ou l’emplacement) et des attributs des ressources (par exemple, la classification d’un document). Les organisations peuvent créer des règles selon des attributs et les autorisations (c’est-à-dire des droits d’accès) nécessaires en vue d’exécuter les opérations requises sur les systèmes associés aux règles et attributs définis par l’organisation. Lorsque des attributs définis dans des règles ou des stratégies de contrôle d’accès basé sur des attributs sont attribués, sont attribués aux utilisatrices et utilisateurs, ils peuvent être provisionnés à un système doté des privilèges requis, ou obtenir de manière dynamique accès à une ressource protégée. Le contrôle d’accès basé sur les attributs peut être mis en oeuvre de façon obligatoire ou discrétionnaire. Lorsqu’elles sont mises en oeuvre avec des contrôles d’accès obligatoire, les exigences du contrôle AC-03(03) définissent la portée des sujets et des objets couverts par la stratégie.