Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение А
(справочное)
Практические приемы управления идентификационной информацией при объединении систем управления идентификационными данными
А.1 Общая информация
Объединение идентичностей представляет собой соглашение между двумя или более доменами, определяющее, как будет осуществляться обмен идентификационной информацией между доменами и управление ею. Соглашение объединения определяет общие протоколы, форматы и процедуры, охватывающие вопросы безопасности (включая защиту персональных данных), управления и аудита, которые будут использоваться во всем объединении.
Объединение идентичностей обычно создается с целью расширения совместимого обмена идентификационной информацией и использования вытекающих из этого преимуществ, таких как расширение потребительской электронной торговли и увеличение продуктивности и результативности предприятия, которые в свою очередь способствуют развитию цифровой экономики.
В объединении идентичностей другие домены объединения официально признают систему управления идентификационными данными конкретного домена. Следовательно, сущности, известные в этом домене, распознаются в других доменах и могут получать в них санкционированный доступ к ресурсам и услугам. Объединение может быть внутренним по отношению к более крупной организации, например организации, состоящей из многих подразделений, неформальной организации или организации, созданной как отдельная сущность, в зависимости от векторов риска и угроз и масштаба мер защиты информации, требуемых при управлении рисками. Если объединение заявляется доверенным, то оно должно быть способным управлять данными рисками.
Источником рисков является информационная асимметрия, присущая структуре объединения. Доверие сторон и их уверенность друг в друге зависят от политик и других процессов управления, устанавливающих структуру доверия, например, известную как круг доверия или цепочка доверия.
Объединение идентичностей устанавливает различные правила, касающиеся формата и шифрования обмена идентификационными данными. Объединение идентичностей должно определять требования безопасности, операционные требования, правила и механизмы:
- для запроса, поставки, хранения, использования и ликвидации идентификационной информации;
- распознавания поставщиков идентификационной информации участвующих доменов;
- предъявления идентификационной информации, запрашиваемой полагающейся стороной в одном из доменов объединения идентичностей;
- защиты персональных данных;
- подтверждения идентичности при внесении в реестр в одном из доменов объединения;
- защиты персональных данных в системе управления идентификационными данными;
- присоединения к объединению идентичностей;
- установления уровней доверия выполняется в соответствии с ГОСТ Р 58833:
- для подтверждения идентичности при выпуске мандатов;
- подтверждения подлинности (аутентификации) сущности в рамках объединения идентичностей.
Примечания
1 Установленные требования обеспечивают основу для формирования доверия при обменах идентификационной информацией.
2 Спецификация может относиться к процессу распознавания, например предоставление согласованных свидетельств, процессу сертификации, двустороннему или централизованному предоставлению свидетельств аккредитации независимой третьей стороной.
3 Объединение идентичностей может быть сформировано с установленными общими требованиями или взаимным признанием требований, независимо устанавливаемых каждым доменом или цепочкой доверия.
А.2 Модели доверенных объединений идентичностей
Для объединения идентичностей характерен ряд структур, рассмотренных ниже. В простом объединении идентичностей может быть смешанный состав действующих субъектов, выполняющих различные роли, например:
- операторы структуры доверия (в некоторых контекстах называются операторами объединения идентичностей);
- орган идентификационной информации;
- поставщик идентификационной информации;
- взаимодействующие агенты, предоставляющие идентификационный атрибут или мандат;
- полагающаяся сторона (в некоторых контекстах называется поставщиком услуг);
- субъект (в некоторых контекстах называется запрашивающей стороной).
Объединение идентичностей, как минимум, включает два вида действующих субъектов (рисунок А.1): поставщик идентификационной информации и полагающаяся сторона. Поставщик идентификационной информации осуществляет управление информацией, относящейся к идентификации сущности, а полагающаяся сторона предлагает услуги сущностям, которые удовлетворяют требованиям политик, связанным с данными услугами.
Трехсторонние модели объединения, включающие субъекта, представляют собой типичный базовый уровень в потребительском контексте, ориентированном на пользователя, но могут быть расширены до четырех- или пятисторонних моделей. Многие объединения идентичностей являются более сложными и включают больше действующих субъектов для отражения своих целей, например, "веерные" модели и объединения объединений (в некоторых контекстах называемая межобъединения).
Парное объединение, как изображено на рисунке А.1, является элементарным объединением идентичностей.
Рисунок А.1 - Парная модель объединения идентичностей
Более типичное объединение идентичностей может включать четыре, пять или более сторон, как изображено на рисунке А.2.
Рисунок А.2 - Сложная модель объединения
В объединении идентичностей с таким и более высоким уровнем сложности появляются дополнительные функциональные компоненты, облегчающие его работу, например, такие как орган идентификационной информации.
Роль оператора объединения заключается в управлении вопросами, возникающими в связи с функционированием объединения. Данную роль может выполнять существующий член объединения или независимая третья сторона.
На рисунке А.2 пользователь (запрашивающая сторона) не участвует в коммуникациях между полагающейся стороной и поставщиком идентификационной информации. Для процессов обмена, ориентированных на пользователя и обеспечение безопасности персональных данных, больше подходит практический прием, при котором пользователь играет роль посредника в обмене сообщениями между полагающейся стороной и поставщиком идентификационной информации, чтобы иметь возможность дать явное согласие на передачу идентификационной информации поставщиком идентификационной информации.
Сами объединения идентичностей могут принимать различные структурные формы в результате управления своей сложностью. Веерные структуры, как изображено на рисунке А.3, предлагают преимущества в виде наличия центрального шлюза, где сконцентрированы технические знания и опыт. Задачей шлюза является управление анонимностью, несвязанностью и ненаблюдаемостью.
Рисунок A.3 - Шлюзовая модель объединения
Объединение идентичностей использует сеть связи. Эта сеть может быть открытой с одноранговыми коммуникациями всех участвующих поставщиков идентификационной информации или может использовать иерархические взаимосвязи, где идентификационная информация предоставляется через одного или нескольких промежуточных поставщиков идентификационной информации.
Основные действующие субъекты объединения идентичностей - поставщики идентификационной информации и полагающиеся стороны - могут устанавливать официальные доверительные отношения, например круг доверия. Официальные доверительные отношения могут способствовать соглашениям между членами объединения идентичностей, делающим возможным осуществление обмена идентификационной информацией и выполнение междоменных транзакций сущностями, зарегистрированными в различных доменах, образующих объединение.
А.3 Управленческие и организационные вопросы
Объединение идентичностей должно устанавливать правила, регулирующие разработку политики и последующие операционные механизмы структуры доверия для разграничения обязанностей сторон. Управленческие обязанности включают следующее:
- поддержку и/или признание семантики и/или синтаксиса идентификационной информации;
- обнаружение и распознавание поставщиков идентификационной информации и других действующих субъектов участвующих доменов;
- аутентификацию и утверждение требований к идентификационной информации полагающейся стороной в одном из доменов объединения;
- обеспечение безопасности персональных данных, а также конфиденциальности, целостности и доступности операций;
- определение и согласование вопросов, относящихся к тому, какие записи межобъединения могут храниться для целей аудита, в течение какого времени и при каких обстоятельствах к ним можно получить доступ;
- определение и согласование стандартов, механизмов, процессов и технологий передачи идентификационной информации между участниками объединения;
- участие в моделях финансирования и/или возмещения издержек;
- присоединение к объединению и выход из него.
Примечания
1 Эти установленные правила обеспечивают основу для доверия к идентификационной информации.
2 Эти установленные правила могут способствовать обеспечению соответствия и аккредитации членов, например, предоставляя свидетельства проведения аудита независимой третьей стороной, двухсторонней или централизованной сущностью, такой как оператор объединения.
3 Объединения могут формироваться при установлении определенных правил или при взаимном признании этих правил, независимо устанавливаемых каждым доменом, или путем комбинации того и другого.
Объединение структурируются таким образом, чтобы определять для каждого субъекта связанного с ним поставщика идентификационной информации, который проверяет официальную идентификационную информацию субъекта в объединении для целей распознавания, аутентификации и последующего признания. Данный поставщик идентификационной информации будет гарантировать подтверждение идентификационных данных, регистрацию, внесение в реестр, запрос, предоставление, хранение, использование и ликвидацию идентификационной информации в течение согласованного жизненного цикла идентификационных данных и домена применения. При этом необходимо отметить, что в контексте, связанном с физическими лицами, идентификационная информация может существовать до рождения и оставаться после смерти, по аналогии с концепциями создания и уничтожения, которые применимы к сущностям, не являющимся физическими лицами.
Типичная последовательность операций может быть следующей: попытка субъекта получить доступ к ресурсу у полагающейся стороны, сбор полагающейся стороной информации на необходимом уровне доверия, и перенаправление субъекта к поставщику идентификационной информации для аутентификации, используя мандат. Последующий обмен сообщениями может включать поиск полагающейся стороной дополнительных атрибутов у поставщика идентификационных данных субъекта, которые могли быть переданы полагающейся стороне при условии (в случае физических лиц) согласия субъекта, после чего субъекту предоставляется доступ к запрашиваемому ресурсу.
Объединение идентификационной информации из различных органов в двух отдельных доменах является типичным условием при формировании двумя организациями объединения. В таких вариантах использования должны быть определены процедуры для разрешения противоречий и несоответствий, таким образом, чтобы в домене, полученном в результате объединения:
- ссылочные идентификаторы были уникальными;
- использовались псевдонимы, где это уместно;
- было бы невозможно связать идентификационные данные с не той сущностью.
В объединении должны существовать способы арбитражного разбирательства между поставщиками идентификационных данных, содержащими противоречивую идентификационную информацию.
А.4 Обнаружение
А.4.1 Общая информация о поставщиках идентификационной информации
Метод обнаружения может использоваться для обмена требуемой идентификационной информацией в рамках объединения; он позволяет быстро и динамично определять местонахождение сторон в объединении. Это применимо в крупных объединениях, где отмечаются постоянные изменения состава участников. Объединения и структуры доверия, лежащие в их основе, могут использовать определенные сервисы для улучшения обнаружения и функциональной совместимости.
Необходимо руководство по организации обнаружения. В зависимости от контекстных и межконтекстных правил механизмы обнаружения применяются по-разному.
Эта функция является неотъемлемой частью доверия объединения идентичностей, и ее развитие было мотивировано усложняющимися требованиями структур доверия.
Наиболее распространенными целями обнаружения обычно являются поставщики идентификационной информации. Процесс обнаружения - это возможность, предоставляемая поставщиками идентификационной информации и органами идентификационной информации в объединении, при согласии пользователя/субъекта/запрашивающей стороны или по законодательному/регулятивному требованию. Процесс обнаружения позволяет динамически определять местонахождение органа идентификационной информации для конкретной сущности с целью предоставления определенного требуемого атрибута, когда:
- идентификационная информация не существует;
- уровень доверия информации, полученной полагающейся стороной является недостаточным для необходимого уменьшения риска, связанного с идентификационными данными субъекта, для предоставления доступа к услуге;
- полагающаяся сторона не указывает, какого поставщика идентификационной информации использовать.
Обнаружение в объединении может осуществляться с использованием статических методов, таких как рекомендательные списки или обращение к определенным сервисам. Данные сервисы расширяют существующий диапазон сервисов, связанных с идентичностью, таких как структуры доверия и операторы объединения, задействованных в управлении ими, сущностях участвующих в объединении и их сертификационный статус. Функция указанных сервисов может быть дополнительно расширена путем использования динамических методов обнаружения, таких как публикация и службы метаданных. Динамическое обнаружение способствует эффективному функционированию современных объединений, в которых обычно наблюдается приток и отток участников, присоединяющихся к объединению и выходящих из нее.
Преимущества обнаружения включают освобождение полагающихся сторон от обязательств кэширования или хранения идентификационной информации до тех пор, пока требования или обязательства полагающейся стороны не вызывают необходимость хранения данных. Это существенно снижает ответственность за обработку персональных данных, а также способствует актуальности и точности данных. Механизмы обнаружения также облегчают динамическую регистрацию и снятие с регистрации взаимосвязей в объединении. Динамическое обнаружение может поддерживать модель "принеси свои идентификационные данные" или модели персонального (аппаратного или облачного) хранилища данных в зависимости от конкретного подхода динамического обнаружения.
Деятельность по обнаружению, как и любой другой элемент системы управления идентификационными данными, может ограничиваться применимыми требованиями, например законами, предписаниями или политикой. Поставщики идентификационных данных и полагающиеся стороны должны быть способны поддерживать механизмы обнаружения других поставщиков идентификационных данных в объединении.
А.4.2 Обнаружение поставщика идентификационной информации
Обнаружение поставщика идентификационной информации представляет собой процесс нахождения в объединении поставщика идентификационной информации, который будет предоставлять идентификационную информацию для сущности. Этот процесс может быть следующим:
- пользователь дает ссылку на поставщика идентификационной информации, например, путем выбора из представленного перечня вариантов;
- пользователь дает подсказку, например, почтовый адрес, содержащий ссылку на поставщика идентификационной информации;
- пользователь предоставляет идентификатор, который распространяется среди всех поставщиков идентификационной информации, и один из них, знающий этот идентификатор, отзывается.
Возможен процесс, в котором пользователь выбирает поставщика идентификационной информации из списка поставщиков или из результатов автоматического обнаружения поставщика идентификационной информации при согласии пользователя предоставить такую информацию, как имя пользователя или почтовый адрес.
А.4.3 Обнаружение органа идентификационной информации
Обнаружение органа идентификационной информации представляет собой процесс поиска в объединении органа идентификационной информации, который подходит для аутентификации информации конкретного поставщика идентификационной информации. Процесс обнаружения позволяет использовать возможности, предоставляемые поставщиком идентификационной информации в объединении, для динамического поиска органа идентификационной информации с целью предоставления конкретного обязательного атрибута конкретной сущности. Данный процесс применяется, когда доступная идентификационная информация не указывает, какой орган идентификационной информации использовать.
На рисунке А.4 представлен пример основного диалога процесса обнаружения в контексте организации. Точная последовательность действий в процессе может в некоторой степени различаться в зависимости от целей и контекста объединения и для выполнения требований по обеспечению безопасности персональных данных и поддержке доверия должна включать дополнительные шаги получения согласия пользователя на передачу информации. Он также демонстрирует необходимость поддержки многочисленных поставщиков идентификационной информации.
Рисунок А.4 - Пример основного диалога процесса обнаружения в объединении
Примечание - Например, процесс обнаружения органа идентификационной информации аналогичен процессу поиска атрибута, реализованному у поставщика идентификационной информации.
А.5 Вопросы, касающиеся сценариев межобъединений
Состав и структура объединения/объединений (межобъединения) приведены в А.2. Помимо соображений, относящихся к объединению, дополнительные соображения для межобъединения делятся на две категории: доверие и функциональная совместимость. В случаях, когда сущности с идентификационными данными в одном объединении может потребоваться доступ к услугам, предоставляемым другим объединением, должно быть достигнуто соглашение между объединениями, сформированное таким образом, чтобы, по крайней мере, у одного поставщика идентификационной информации в первом объединении были доверительные отношения с соответствующим поставщиком идентификационной информации в другом объединении. Функциональная совместимость между неоднородными объединениями (в каждом могут применяться разное программное обеспечение, разные платформы или разные варианты развертывания) требует строгого соблюдения согласованных зафиксированных политик и процедур, чтобы избежать дублирования идентификационных данных и идентификаторов и, как следствие - результирующих конфликтных ситуаций.
При разработке согласованных процедур для межобъединения необходимо учитывать следующие требования и условия:
- необходимо проанализировать политики и процедуры участвующих объединений, чтобы убедиться в их согласованности и отсутствии расхождений;
- необходимо сравнить условия обслуживания и лицензионные соглашения для обеспечения уверенности в их согласовании и отсутствии проблем;
- должны быть реализованы механизмы разграничения доступа к информации для физических лиц, основанные на их идентичности в том или ином объединении должны быть однозначно определены, должны быть доступными и постоянно функционировать внутри объединения;
- следует определить меры для предотвращения подделки идентичности при ее передаче между объединениями;
- необходимо определить правила использования методов, улучшающих обеспечение безопасности персональных данных, например, анонимность или псевдонимность, а также получение согласия при осуществлении обмена идентификационной информацией в объединении;
- следует определить меры защиты информации для выполнения применимых требований, например, нормативных правовых актов, а также предписаний и политик различных объединений;
- должны быть определены способы контроля соответствия применимым требованиям, например законам, регламентам, политикам от различных объединений, особенно в контексте общей юрисдикции;
- необходимо проанализировать законы, регламенты и политики различных объединений из участвующих в объединении (особенно в юридической части) с целью обеспечения уверенности в их согласованности.
А.6 Угрозы и меры защиты информации
А.6.1 Общие положения
При достижении своих целей объединение идентичностей сталкивается с целым рядом угроз и рисков, вытекающих из информационной асимметрии между различными сторонами в отношении описанных выше соображений, характеристик и требований. Диапазон угроз применим в большей или меньшей степени в зависимости от контекста (например, организация или контекст, ориентированный на пользователя). Этапы жизненного цикла идентичности, применяющиеся к пользователям объединения, такие как подтверждение идентификационных данных, внесение в реестр, предоставление, аутентификация и авторизация, наряду с процессами, связанными с функционированием самого объединения, такими как включение участников в объединение, несут с собой неотъемлемые угрозы, которые требуют защиты для уменьшения и управления рисками.
Типовые угрозы аутентификации идентичности и авторизации, а также соответствующие меры противодействия угрозам представлены ниже.
А.6.2 Запрос аутентифицированных идентификационных данных
А.6.2.1 Общая информация
Когда пользователь запрашивает доступ к ресурсу, предоставляемому прикладной системой, прикладная система запрашивает аутентифицированную идентичность, содержащую атрибуты, требуемые ей для принятия решений о санкционировании доступа. Она также может запрашивать дополнительные атрибуты, которые необходимы для прикладного процесса. Для данного случая возможны следующие угрозы и применяются указанные меры защиты.
А.6.2.2 Неавторизированный запрос
Неавторизированный запрос также известен как подделка запроса. Нарушитель, выдающий себя за авторизованного пользователя приложения, подделывает запрос идентификационной информации.
Применяются следующие меры защиты информации: запрос должен быть подписан запрашивающей стороной.
При этом запрос может содержать чувствительную, с точки зрения защиты персональных данных, информацию, и соответственно, раскрытие его создает риск безопасности и угрозы персональным данным. В частности, раскрытие мандата может вызывать риск безопасности для всей системы.
Применяются следующие меры противодействия: аудитория запроса должна ограничиваться путем аутентификации адреса назначения или запрос должен шифроваться или передаваться по защищенному каналу.
А.6.2.3 Фальсификация запроса
При данной угрозе нарушитель модифицирует запрос идентификационной информации.
Применяются следующие меры противодействия: запрос должен быть защищен от нарушения целостности либо путем подписания запроса, либо аутентификации сообщения, либо передачей по защищенному каналу.
А.6.2.4 Подмена запроса
При этой угрозе происходит подмена запроса на другой запрос. Типичным примером такой угрозы является межсайтовая подделка запроса.
Применяются следующие меры противодействия: запрос должен быть криптографическими методами привязан к сеансам связи между приложением пользователя и запрашивающей стороной, а также между приложением пользователя и поставщиком идентификационной информации.
А.6.3 Санкционирование передачи атрибутов
А.6.3.1 Общая информация
Решение о санкционировании передачи атрибута может приниматься субъектом или политикой, устанавливаемой администратором домена. Для данного случая возможны следующие угрозы и применяются указанные меры противодействия.
А.6.3.2 Внедрение политики
Нарушитель может внедрить политику в механизм реализации политики через точку администрирования политики.
Применяются следующие меры противодействия: если сущность формирует политику, то сущность должна быть аутентифицирована и политика должна быть криптографическими методами привязана к сущности или применяемая политика должна быть аутентифицирована (защищена от подделок/подписана) или уязвимости приложений должны быть устранены (закрыты).
А.6.3.3 Перехват интерфейса доступа
Нарушитель перехватывает интерфейс доступа системы и управляет передачей атрибутов. Типичным примером такой атаки является кликджекинг (clickjacking).
А.6.3.4 Маскировка условий
Нарушитель прячет запрашиваемые атрибуты, их назначение и диапазон их распространения путем включения их в долгосрочное соглашение.
Применяются следующие меры противодействия: оператор объединения или другая сущность должны подтвердить соответствие запроса требованиям, установленным объединением.
А.6.4 Получение дополнительных атрибутов
С целью принятия решения о санкционировании и иной обработке ресурс может требовать дополнительных атрибутов. Они могут быть получены у поставщика идентификационной информации или органа идентификационной информации.
Для данного случая возможны вышеупомянутые угрозы и применяются аналогичные меры противодействия. В дополнение к ним могут применяться следующие меры защиты.
А.6.4.1 Контроль местонахождения органа идентификационной информации
Атрибут может быть доступен у нескольких органов идентификационной информации. Значение атрибута может у них различаться, и какое из них является верным, может определяться контекстом.
Применяются следующие меры противодействия: местонахождение органа идентификационной информации должно быть получено через поставщика идентификационной информации в контексте исходного запроса источника атрибутов.
А.6.4.2 Регистрация ресурсов
Требуемые атрибуты могут содержать конфиденциальную информацию. Ресурс, запрашивающий идентификационную информацию, может скомпрометировать эту конфиденциальность. От ресурса может требоваться выполнение определенных условий для получения требуемой информации.
Применяются следующие меры противодействия: регистрация ресурса, запрашивающего дополнительные атрибуты, должна быть выполнена прежде, чем может быть получена информация об источнике атрибутов.
А.7 Объединение органов идентификационной информации
Иногда требуется объединение идентификационной информации, имеющейся в различных достоверных источниках. Это обычно происходит при объединении двух организаций в объединенную организацию. Но перед объединением систем управления идентификационными данными двух различных доменов должны быть определены процедуры для разрешения несоответствий и, в частности, необходимо убедиться в том, что в результирующем домене:
- ссылочные идентификаторы являются уникальными;
- невозможно связать идентификационные данные с не той сущностью.
Для случая невыполнения данных условий должны существовать способы арбитражного разбирательства между поставщиками идентификационных данных, содержащими противоречащую идентификационную информацию.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.