Приложение В (справочное). Архитектура системы управления идентификационными данными и управления доступом, способствующая защите персональных данных. Национальный стандарт РФ ГОСТ Р 59407-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 415-ст)

Приложение В
(справочное)

Архитектура системы управления идентификационными данными и управления доступом, способствующая защите персональных данных

В.1 Общие положения

В данном приложении приведено описание примера архитектуры системы оценивания университетского курса обучения, которая позволяет студентам оценивать курс обучения, не раскрывая свою персональную информацию. Приложение способно аутентифицировать студентов, чтобы участие в оценке курса обучения могли принимать только имеющие на это право студенты, но идентификационные данные реального студента остаются неизвестными.

Примерная архитектура опирается на технологию мандатов на основе атрибутов, приведенную в ГОСТ Р 59382. Эта технология дает возможность владельцу мандата на основе атрибутов создать криптографическое свидетельство своего обладания определенными атрибутами (т.е. доказать, что он являются студентом университета и зарегистрирован на данный курс обучения).

В рассматриваемом примере университет берет на себя роль поставщика связанных с мандатами услуг [2] и выдает студенту сертифицированные мандаты, подтверждая правильность содержащихся в них ПДн. Получив такой мандат, студент может преобразовать содержащиеся в нем ПДн в новый токен доступа, содержащий обезличенные ПДн и соответствующее свидетельство, и представлять его приложению оценивания курса обучения, которое, в свою очередь, должно быть способно проверять достоверность полученного токена [3].

В.2 Цель, действующие субъекты и размещение

Цель этой системы состоит в том, чтобы дать возможность имеющим на это право студентам обезличено оценивать университетский курс обучения. В начале курса университет должен выпустить мандаты студентам, удостоверяющие внесение их в списки на текущий семестр и регистрацию на данный курс обучения. Кроме того, присутствие студентов на лекции также должно быть засвидетельствовано для каждой посещаемой лекции.

По окончании курса обучения студент может иметь возможность оценить курс, но сделать это анонимно. С другой стороны, университет хочет получать результаты оценивания только от студентов данного университета, которые зарегистрированы на этот курс обучения. Чтобы удовлетворить интересы обеих сторон, система оценивания курса обучения может принимать утверждения, создаваемые на основе мандата студента, будучи уверенной, что утверждения верны, но не идентифицируя при этом студента, стоящего за каждой оценкой.

Действующими субъектами в этой примерной архитектуре приложения являются:

- студент является субъектом ПДн, система студента имеет два основных сценария использования. Во-первых, она позволяет ему взаимодействовать со службой выпуска учетных данных университета, запрашивая выпуск учетных данных. Во-вторых, эти учетные данные могут позднее использоваться для генерации идентификационных утверждений о студенте, чтобы иметь возможность получения доступа к услуге, предлагаемой приложением оценивания курса обучения;

- служба выпуска мандатов университета действует как обработчик ПДн, так как она обрабатывает ПДн студентов, обращающихся с запросом на выпуск мандатов. Выпуск мандатов должен осуществляться с использованием специальной системы, доступной студенту либо через онлайновое приложение, либо через приложение, работающее в помещении службы выпуска мандатов университета. В последнем случае от студентов может требоваться представление своих ПДн в личном присутствии;

- приложение оценивания курса обучения - это предоставляемая университетом система, выполняющая функции оператора ПДн. Это приложение должно проверять утверждения, полученные от студентов, с целью одобрения или отклонения их доступа к оцениванию курса обучения. Чтобы одобрять или отклонять доступ к оцениванию курса обучения, эта система должна проверять аутентификационные свидетельства, представленные субъектом ПДн. В этом случае между приложением оценивания курса обучения и службой выпуска мандатов университета формируется доверенная взаимосвязь, так как приложение полагается на правильность информации мандатов, выпущенных службой выпуска мандатов университета.

В принципе, даже если одна организация (например, определенный факультет университета) управляет и выпуском мандатов, и оцениванием курса обучения, соответствующие действия, относящиеся к выпуску и представлению, не могут быть связаны с субъектом ПДн. В этом примере архитектура не включает в себя специальных обработчиков ПДн. На рисунке В.1 представлен обзор архитектуры - действующие субъекты и их взаимодействие.

Рисунок В.1 - Обзор архитектуры - действующие субъекты и их взаимодействие ¹⁾

------------------------------

¹⁾_{Указанные здесь потоки данных показывают только общий обзор архитектурной модели, но конкретное размещение может включать в себя дополнительные виды обмена данными.}

------------------------------

Служба выпуска мандатов университета должна быть способна выдавать студенту мандаты и гарантировать правильность ПДн, содержащихся в таких мандатах. Соответственно, служба выпуска мандатов университета может восприниматься как оператор ПДн, реагирующий на запросы субъекта ПДн о выдаче мандатов. Архитектура системы службы выпуска мандатов университета приведена на рисунке В.2.

Рисунок В.2 - Архитектура системы службы выпуска мандатов университета

Уровень установок:

- доведение политики и целей: система службы выпуска мандатов университета должна сообщать политику ИСПДн студенту, описывая ПДн, которые должны быть раскрыты студентом для выпуска мандатов. Кроме того, служба выпуска должна указывать цель такого сбора данных;

- управление согласиями: студент должен обратиться с запросом о выпуске учетных данных и дать согласие на обработку ПДн прежде, чем участвовать в протоколе выпуска.

Уровень управления идентификационными данными и управления доступом:

- система управления идентификационными данными: служба выпуска мандатов университета должна гарантировать правильность ПДн, содержащихся в мандатах. Для обеспечения доверия служба выпуска мандатов университета должна проводить проверку согласованности ПДн, которую пользователь раскрывает в ходе процесса до выдачи ему мандатов;

- управление доступом, аутентификация и авторизация: для того, чтобы служба выпуска учетных данных университета начала выпуск мандатов, она должна аутентифицировать студента. Кроме того, должна существовать соответствующая система управления доступом, которая обеспечивает безопасность путем ограничения доступа пользователей к системе выпуска мандатов.

Уровень персональных данных:

- управление ПДн: служба выпуска учетных данных университета должна вести базу данных ПДн студентов с записями о зарегистрированных студентах, идентификационным номером студента, именем, датой рождения, выбранных им курсах обучения и других соответствующих ПДн. Эта информация должна быть в достаточной мере защищена, и должны существовать надлежащие механизмы управления, обеспечивающие уверенность в конфиденциальности ПДн;

- передача ПДн: при передаче таких ПДн, как мандаты, через Интернет ИСПДн службы выпуска мандатов университета должна быть способна создавать безопасные аутентифицированные соединения для защиты конфиденциальности ПДн и аутентификации намеченного получателя;

- инвентарная опись ПДн: служба выпуска учетных данных университета должна иметь базу данных с записями всех зарегистрированных студентов вместе с их ПДн, такими как идентификационный номер студента и контактная информация. Службы выпуска мандатов университета должна вести инвентарную опись учетных данных, выданных студентам, вместе с журналами регистрации транзакций для целей аудита. ИСПДн должна учитывать общее число полученных запросов, а также число успешных и неуспешных транзакций выпуска;

- протоколирование: служба выпуска учетных данных университета должна вести журнал регистрации транзакций для целей аудита.

В.3 Архитектура системы персональных данных студента

ИСПДн студента должна взаимодействовать с двумя другими системами. Если процесс выпуска мандатов является электронным, она должна запрашивать мандаты у службы выпуска мандатов университета. ИСПДн должна взаимодействовать с приложением оценивания курса обучения для оценки курса обучения.

Хотя студент должен аутентифицироваться при взаимодействии со службой выпуска мандатов университета, он может остаться анонимным при взаимодействии с приложением оценивания курса обучения. В последнем случае студент должен представлять доказательство обладания необходимыми привилегиями, а не раскрывать какие-либо ПДн. Система студента может быть комбинацией компонента хранения с высоким уровнем безопасности для хранения секретов, связанных с мандатами, и соответствующего программного компонента для взаимодействия с пользователем и связи с другими системами в этой архитектуре (см. рисунок В.3).

Рисунок В.3 - Архитектура системы персональных данных студента

Уровень установок:

- доведение политики и целей: студент должен получать два вида политик: политику представления при взаимодействии с приложением оценивания курса обучения и политику выпуска при взаимодействии со службой выпуска мандатов университета. В обоих случаях система студента должна быть способна обращаться с соответствующими политиками представления и выпуска, а также со взаимосвязанной политикой обеспечения безопасности ПДн;

- управление согласиями: до передачи любых ПДн другим системам в данной архитектуре система студента должна запрашивать осознанное согласие студента.

Уровень управления идентификационными данными и управления доступом:

- система управления идентификационными данными: ИСПДн студента должна хранить информацию об учетных данных, которые имеются у субъекта;

- система обезличивания: по проекту в ИСПДн студента должна быть реализована система обезличивания, совместимая с системой, которую поддерживает приложение оценивания курса обучения. Система студента должна обеспечивать использование единственного псевдонима для каждого курса обучения в приложении оценивания курса обучения, чтобы можно было обновлять оценку. Приложение оценивания курса обучения должно ограничивать создание студентом более чем одного псевдонима для каждого курса обучения, с тем чтобы воспрепятствовать представлению студентом более чем одной оценки;

- управление доступом, аутентификация и авторизация: ИСПДн студента должна аутентифицировать систему приложения оценивания курса обучения, используя взаимную аутентификацию. Система студента должна генерировать необходимые свидетельства для выполнения требований анонимной аутентификации для приложения оценивания курса обучения.

Уровень персональных данных:

- управление ПДн: ИСПДн студента должна быть способна хранить его мандаты в защищенном хранилище;

- передача ПДн: ИСПДн студента должна быть способна обрабатывать мандаты, находящиеся во внешнем хранилище, таком как аппаратные токены или онлайновые сервисы. В целом ПДн не передаются из ИСПДн студента в приложение оценивания курса обучения. Однако системе студента может требоваться раскрытие некоторых ПДн службе выпуска мандатов университета при запросе о выпуске учетных данных;

- обезличивание ПДн: ИСПДн студента должна обеспечивать возможность создания токенов, привязанных к единственному псевдониму на каждый курс обучения;

- шифрование ПДн: ИСПДн студента должна быть способна осуществлять необходимые криптографические операции, которые обезличивают ПДн, содержащиеся в мандатах, до раскрытия их приложению оценивания курса обучения. В то же время для убеждения приложения оценивания курса обучения в правильности утверждений студентов должны использоваться мандаты на основе атрибутов;

- инвентарная опись ПДн: ИСПДн студента должна хранить учетные данные, принадлежащие студенту, в специальном хранилище, которым может быть смарт-карта или онлайновый сервис. Система может вести список учетных данных, которыми владеет студент. Эти учетные данные привязаны к определенному секрету, который используется для генерации необходимых криптографических свидетельств, требующих безопасного хранения (например, с использованием аппаратного токена).

В.4 Архитектура приложения оценивания курса обучения

Приложение оценивания курса обучения может использоваться для сбора отзывов о курсах обучения университета. Эта система должна взаимодействовать с системой студента и полагаться на правильность информации, содержащейся в мандатах, выданных службой выпуска мандатов университета.

Взаимодействие системы студента и приложения оценивания курса обучения начинается, когда студент принимает решение оценить курс обучения университета. ИСПДн студента должна направить запрос приложению оценивания курса обучения, которое, в свою очередь, должно ответить представлением политики, в которой указывается, что студент должен представить свидетельство того, что он является студентом университета, зарегистрировался на указанный курс обучения и посетил минимальное число лекций. Система студента должна использовать хранящиеся мандаты для генерации запрошенного свидетельства и представить их приложению оценивания курса обучения, которое, в свою очередь, проверяет представленные утверждения, не идентифицируя студента. Если проверка завершается успешно, студент считается имеющим право и получает доступ к форме оценивания курса обучения (см. рисунок В.4).

Рисунок В.4 - Архитектура приложения оценивания курса обучения

Уровень установок:

- доведение политики и целей: приложение оценивания курса обучения должно представить ссылку на свою политику защиты персональных данных системе студента. Эта политика должна определять, какие ПДн подтверждают утверждение во время анонимной аутентификации. Система студента должна обеспечить прочтение студентом этой политики;

- управление согласиями: приложение оценивания курса обучения должно получить осознанное согласие студента, чтобы продолжать процесс аутентификации и оценивания курса обучения. Приложение оценивания курса обучения должно быть способно фиксировать факт предоставления согласия.

Уровень управления идентификационными данными и управления доступом:

- система управления идентификационными данными: приложение оценивания курса обучения должно хранить свидетельства, представленные студентом. Это включает информацию о видах мандатов, идентификаторах мандатов и других генерируемых пользователем криптографических свидетельствах. Эта информация может использоваться для целей неотказуемости и надлежащей обработки предыдущих утверждений в случае повторного оценивания (например, когда студент хочет обновить представление). Студент по-прежнему остается анонимным, но различные оценки могут связываться между собой;

- система обезличивания: приложение оценивания курса обучения должно поддерживать использование псевдонимов, которые обеспечивают контролируемую связываемость студентов, но не раскрывают никакие ПДн студента вне его псевдонима. Приложение оценивания курса обучения должно взаимодействовать с системой студента для согласования схемы обезличивания, которую поддерживают обе системы;

- управление доступом, аутентификация и авторизация: приложение оценивания курса обучения должно проверять свидетельство, представленное системой студента. Аутентификация студента должна осуществляться анонимно на основе доверия, имеющегося у приложения оценивания курса обучения к точности ПДн, содержащейся в учетных данных, выданных службой выпуска учетных данных университета.

Уровень персональных данных:

- протоколирование: приложение оценивания курса обучения должно вести журналы регистрации осуществляемых транзакций для целей аудита. Оно также должно хранить список полученных криптографических материалов, таких, например, как ключи.

В.5 Заключение

Данный пример архитектуры, приведенный в настоящем стандарте, представляет приложение оценивания курса обучения, которое аутентифицирует студентов, не требуя от них раскрытия ПДн. Эта архитектура может быть далее расширена и адаптирована для других сценариев, где требуется аналогичная аутентификация. Архитектура основана на свойствах и концепциях мандатов на основе атрибутов, которые делают возможной аутентификацию, способствующую защите ПДн, обеспечивая при этом отсутствие связываемости и прослеживаемости для субъекта ПДн.

Приведенный пример представляет собой также пример шаблона архитектуры, который может быть воспроизведен для различных приложений. Архитектура состоит из компонентов, описанных в основной части настоящего стандарта, таких как менеджмент согласия, менеджмент идентификационных данных и аутентификация.

Эта архитектура обеспечивает следующие общие преимущества:

- отсутствие связи между выпуском и представлением мандатов;

- безопасную, но анонимную аутентификацию субъекта ПДн;

- контролируемую связываемость, когда это желательно;

- устранение необходимости раскрытия ПДн во время аутентификации и уменьшение таким образом потребности в дополнительных компонентах защиты.

Технологии, опирающиеся на концепции мандатов на основе атрибутов, могут также обеспечивать дополнительные функции, такие как контролируемая анонимность, минимальное раскрытие информации и отзыв мандатов в случае злоупотребления.