Information protection. Identification and authentication. General
ОКС 35.030
Дата введения - 1 мая 2020 г.
Введен впервые
Предисловие
1 Разработан Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Закрытым акционерным обществом "Аладдин Р.Д." (ЗАО "Аладдин Р.Д.") и Обществом с ограниченной ответственностью "Научно-производственная фирма "КРИСТАЛЛ" (ООО "НПФ "КРИСТАЛЛ")
2 Внесен Техническим комитетом по стандартизации ТК 362 "Защита информации" и Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации"
3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 10 апреля 2020 г. N 159-ст
4 Введен впервые
Введение
Одной из главных задач защиты информации при ее автоматизированной (автоматической) обработке является управление доступом. Решение о предоставлении доступа для использования информационных и вычислительных ресурсов средств вычислительной техники, а также ресурсов автоматизированных (информационных) систем, основывается на результатах идентификации и аутентификации.
При автоматизированной обработке информации физическому лицу как субъекту доступа соответствуют вычислительные процессы, выполняющие операции с данными. Это создает риски неоднозначного сопоставления вычислительных процессов с конкретным физическим лицом. Аналогичные риски существуют и при автоматической обработке информации. Кроме того, удаленное информационное взаимодействие дополнительно порождает риск ошибочной идентификации удаленного субъекта доступа и, следовательно, риск предоставления доступа злоумышленнику. Наряду с этим существуют риски того, что вычислительный процесс, действующий в интересах злоумышленника, может имитировать объекты (субъекты) доступа, функционирующие как параллельно с легальными, так и существующие независимо от них.
Устанавливая правила управления доступом к информации и сервисам, обеспечивающим ее обработку, для различных категорий субъектов доступа необходимо учитывать не только конфиденциальность защищаемой информации, но и указанные риски. Для снижения рисков должны применяться соответствующие методы идентификации и аутентификации, которые обеспечивают уверенность в подлинности сторон, участвующих в информационном взаимодействии, включая и субъекты доступа, и объекты доступа. Это особенно востребовано в том случае, когда взаимодействующие стороны имеют дефицит взаимного доверия, обусловленный, например, использованием небезопасной среды функционирования.
Для понимания положений настоящего стандарта необходимы знания основ информационных технологий, а также способов защиты информации.
1 Область применения
Настоящий стандарт устанавливает единообразную организацию процессов идентификации и аутентификации в средствах защиты информации, в том числе реализующих криптографическую защиту, средствах вычислительной техники и автоматизированных (информационных) системах, а также определяет общие правила применения методов идентификации и аутентификации, обеспечивающих необходимую уверенность в результатах.
Положения настоящего стандарта не исключают применение криптографических и биометрических методов (алгоритмов) при идентификации и аутентификации, но не устанавливают требования по их реализации.
Настоящий стандарт определяет состав участников и основное содержание процессов идентификации и аутентификации, рекомендуемое к реализации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. Положения настоящего стандарта могут использоваться при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 50922 Защита информации. Основные термины и определения
ГОСТ Р 56939 Защита информации. Разработка безопасного программного обеспечения. Общие требования
ГОСТ Р ИСО 704 Терминологическая работа. Принципы и методы
ГОСТ Р ИСО 10241-1 Терминологические статьи в стандартах. Часть 1. Общие требования и примеры представления
ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:
3.1 анонимный субъект доступа (аноним): Субъект доступа, первичная идентификация которого выполнена в конкретной среде функционирования, но при этом его идентификационные данные не соответствуют требованиям к первичной идентификации или не подтверждались.
3.2 атрибут субъекта (объекта) доступа [атрибут]: Признак или свойство субъекта доступа или объекта доступа.
3.3 аутентификационная информация: Информация, используемая при аутентификации субъекта доступа или объекта доступа.
3.4
аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации. [Адаптировано из [1], статья 3.3.8] |
Примечание - Аутентификация рассматривается применительно к конкретному субъекту доступа и/или конкретному объекту доступа.
3.5 аутентификация анонимного субъекта доступа, анонимная аутентификация: Аутентификация, используемая для подтверждения подлинности анонимного субъекта доступа.
3.6
биометрические персональные данные: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. |
3.7 верификатор идентификации: Доверенный объект, выполняющий вторичную идентификацию субъекта доступа при доступе.
3.8 верификатор аутентификации: Доверенный объект, выполняющий аутентификацию субъекта доступа при доступе.
3.9 верификация: Процесс проверки информации путем сопоставления предоставленной информации с ранее подтвержденной информацией.
3.10 взаимная аутентификация: Обоюдная аутентификация, обеспечивающая для каждого из участников процесса аутентификации, и субъекту доступа, и объекту доступа, уверенность в том, что другой участник процесса аутентификации является тем, за кого себя выдает.
3.11
виртуальный: Определение, характеризующее процесс или устройство в системе обработки информации кажущихся реально существующими, поскольку все их функции реализуются какими-либо другими средствами. [ГОСТ 33707-2016, статья 4.151] |
3.12 вторичная идентификация: Действия по проверке существования (наличия) идентификатора, предъявленного субъектом доступа при доступе, в перечне идентификаторов доступа, которые были присвоены субъектам доступа и объектам доступа при первичной идентификации.
Примечание - Вторичная идентификация рассматривается применительно к конкретному субъекту доступа.
3.13
вычислительные ресурсы: Технические средства ЭВМ, в том числе процессор, объемы оперативной и внешней памяти, время, в течение которого программа занимает эти средства в ходе выполнения. [ГОСТ 28195-89, приложение 1] |
3.14 доверенный объект: Объект, который будет действовать в полном соответствии с ожиданиями и субъекта доступа, и объекта доступа или любого из них, при этом выполняя то, что он должен делать, и не выполняя то, что он не должен делать.
Примечание - Адаптировано из [3].
3.15 доверенная третья сторона: Участник процесса аутентификации, предоставляющий один или более сервисов в области защиты информации, которому доверяют другие участники процесса аутентификации как поставщику данных услуг.
Примечания
1 При аутентификации доверенной третьей стороне доверяют и субъект доступа и объект доступа.
2 В качестве доверенной третьей стороны могут рассматриваться: организация (например, осуществляющая функции удостоверяющего центра), администратор автоматизированной (информационной) системы, устройство.
3 Доверенная третья сторона является доверенным объектом.
3.16
доверие (assurance): Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности. [ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005, пункт 2.4] |
Примечание - Результаты, получаемые в рамках обеспечения доверия, рассматриваются в качестве оснований для уверенности.
3.17 доступ: Получение одной стороной информационного взаимодействия возможности использования ресурсов другой стороны информационного взаимодействия.
Примечания
1 В качестве ресурсов стороны информационного взаимодействия, которые может использовать другая сторона информационного взаимодействия, рассматриваются информационные ресурсы, вычислительные ресурсы средств вычислительной техники и ресурсы автоматизированных (информационных) систем, а также средства вычислительной техники и автоматизированные (информационные) системы в целом.
2 Доступ к информации - возможность получения информации и ее использования (см. [4]).
3.18 закрытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который должен быть использован только этим объектом.
Примечания
1 Адаптировано из [5].
2 Закрытый ключ не является общедоступным (см. [5]).
3 Ключ электронной подписи является примером закрытого ключа (см. [6]).
3.19 закрытый ключ неизвлекаемый: Закрытый ключ, который при его формировании и хранении невозможно извлечь из устройства аутентификации, в котором он был создан.
Примечание - Неизвлекаемость закрытого ключа заключается в отсутствии возможности его извлечения из устройства аутентификации, в котором он был создан, штатными средствами, предоставляемыми данным устройством аутентификации. Неизвлекаемость закрытого ключа в устройствах аутентификации, как правило, обеспечивается применяемыми схемотехническими решениями и гарантируется производителями устройств.
3.20 идентификатор доступа [субъекта (объекта) доступа], [идентификатор]: Признак субъекта доступа или объекта доступа в виде строки знаков (символов), который используется при идентификации и однозначно определяет (указывает) соотнесенную с ними идентификационную информацию.
3.21 идентификационная информация: Совокупность значений идентификационных атрибутов, которая связана с конкретным субъектом доступа или конкретным объектом доступа.
3.22 идентификационные данные: Совокупность идентификационных атрибутов и их значений, которая связана с конкретным субъектом доступа или конкретным объектом доступа.
Примечание - При первичной идентификации идентификационные данные, как правило, предоставляются субъектом доступа, ассоциированным с физическим лицом, или получаются возможным (доступным) способом от субъекта доступа, ассоциированного с ресурсом, и объекта доступа. Указанные идентификационные данные считаются идентификационными данными, заявленными субъектом (объектом) доступа (заявленными идентификационными данными).
3.23 идентификационный атрибут: Атрибут, который характеризует субъект доступа или объект доступа и может быть использован для его распознавания.
3.24
идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов. [[1], статья 3.3.9] |
3.25
информационные ресурсы: Отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). [ГОСТ Р 43.0.2-2006, статья 11] |
3.26
ключ (key): Изменяемый параметр в виде последовательности символов, определяющий криптографическое преобразование. [ГОСТ Р 34.12-2015, пункт 2.1.8] |
3.27 метод аутентификации: Реализуемое при аутентификации предопределенное сочетание факторов, организации обмена и обработки аутентификационной информации, а также соответствующих данному сочетанию протоколов аутентификации.
3.28
метод обеспечения доверия (assurance method): Общепризнанная спецификация получения воспроизводимых результатов обеспечения доверия. [ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005, пункт 2.11] |
3.29 многофакторная аутентификация: Аутентификация, при выполнении которой используется не менее двух различных факторов аутентификации.
3.30 многошаговая идентификация и аутентификация: Идентификация и аутентификация, осуществляемая при доступе субъекта доступа к объекту доступа и состоящая из последовательности процессов ("шагов") идентификации и аутентификации.
Примечания
1 В рамках последовательности процессов ("шагов") идентификации и аутентификации осуществляется вторичная идентификация субъекта доступа.
2 В рамках последовательности процессов ("шагов") идентификации и аутентификации могут использоваться различные или одинаковые виды аутентификации: простая аутентификация, усиленная аутентификация, строгая аутентификация.
3.31
несанкционированный доступ: Доступ субъекта доступа к объекту доступа, нарушающий правила управления доступом. [Адаптировано из [1], статья 3.2.10] |
3.32
обладатель информации: Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. |
3.33 объект доступа: Одна из сторон информационного взаимодействия, предоставляющая доступ.
3.34
объективное свидетельство: Данные, подтверждающие наличие или истинность чего-либо.
Примечание - Объективное свидетельство может быть получено путем наблюдения, измерения, испытания или другим способом.
[Адаптировано из ГОСТ Р ИСО 9000-2015, пункт 3.8.3]. |
3.35 одноразовый пароль: Однократно используемый пароль.
Примечание - Возможность использования для аутентификации одноразового пароля прекращается (исключается) при наступлении события получения доступа субъектом доступа или события отказа субъектом доступа и получения доступа, или события отказа объектом доступа в предоставлении доступа.
3.36 односторонняя аутентификация: Аутентификация, обеспечивающая только лишь для одного из участников процесса аутентификации (объекта доступа) уверенность в том, что другой участник процесса аутентификации (субъект доступа) является тем, за кого себя выдает предъявленным идентификатором доступа.
3.37 однофакторная аутентификация: Аутентификация, при выполнении которой используется один фактор аутентификации.
3.38
оператор автоматизированной (информационной) системы, оператор: Физическое или юридическое лицо, осуществляющие деятельность по эксплуатации автоматизированной (информационной) системы, в том числе по обработке информации, содержащейся в ее базах данных. |
3.39 открытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который может быть общедоступным.
Примечания
1 Адаптировано из [5].
2 Ключ проверки электронной подписи является примером открытого ключа (см. [6]).
3.40
пароль: Конфиденциальная аутентификационная информация, обычно состоящая из строки знаков. [ГОСТ Р ИСО 7498-2-99, пункт 3.3.39] |
3.41 первичная идентификация: Действия по формированию и регистрации информации о субъекте доступа или объекте доступа, а также действия по присвоению идентификатора доступа субъекту доступа или объекту доступа и его регистрации в перечне присвоенных идентификаторов доступа.
Примечание - Первичная идентификация рассматривается применительно к конкретному субъекту доступа и/или конкретному объекту доступа.
3.42
подлинность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичен заявленному. [ГОСТ Р ИСО/МЭК 27000-2012, пункт 2.6] |
3.43 подтверждающая информация: Информация, собранная и использованная для подтверждения идентификационных данных в соответствии с установленными требованиям к первичной идентификации.
3.44 пользователь: Физическое лицо, первичная идентификация которого выполнена в конкретной среде функционирования.
Примечание - Например, пользователем автоматизированной (информационной) системы является физическое лицо, первичная идентификация которого выполнена в конкретной автоматизированной (информационной) системе. После успешной вторичной идентификации и аутентификации пользователь (вычислительный процесс от его имени) получает доступ к ресурсам автоматизированной (информационной) системы для их использования.
3.45
правила управления доступом: Правила, регламентирующие условия доступа субъектов доступа к объектам доступа на основе прав доступа. [Адаптировано из [1], статья 3.3.7] |
Примечания
1 Права доступа субъектов доступа определяют перечень возможных действий, которые субъекты доступа могут выполнять над объектами доступа в конкретной среде функционирования.
2 Условия доступа определяют перечень действующих прав доступа субъектов доступа (перечень разрешенных и запрещенных действий субъектов доступа над объектами доступа), в конкретной среде функционирования.
3 Правила управления доступом могут устанавливаться нормативными правовыми актами, обладателем информации или оператором.
3.46 простая аутентификация: Аутентификация с применением метода однофакторной односторонней аутентификации и соответствующих данному методу протоколов аутентификации.
3.47 протокол аутентификации: Протокол, позволяющий участникам процесса аутентификации осуществлять аутентификацию.
Примечание - Протокол реализует алгоритм (правила), в рамках которого субъект доступа и объект доступа последовательно выполняют определенные действия и обмениваются сообщениями.
3.48
процесс (process): Совокупность взаимосвязанных и/или взаимодействующих видов деятельности, использующих входы для получения намеченного результата. [ГОСТ Р ИСО 9000-2015, пункт 3.4.1] |
3.49
ресурсы (информационной системы): Средства, использующиеся в информационной системе, привлекаемые для обработки информации (например, информационные, программные, технические, лингвистические). [[7], пункт А.20] |
3.50
санкционирование доступа, авторизация: Предоставление субъекту доступа прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом. [Адаптировано из [7], статья 3.5.10] |
Примечание - Положительный результат идентификации и аутентификации является одним из оснований для авторизации субъекта доступа.
3.51 санкционированный доступ: Доступ субъекта доступа к объекту доступа, не нарушающий правила управления доступом.
3.52 свидетельство идентичности [свидетельство]: Объективное свидетельство, обеспечивающее в том, что идентификационные данные действительно соответствуют (принадлежат) субъекту доступа или объекту доступа, который их заявил.
Примечание - В качестве свидетельств идентичности могут рассматриваться, например, результаты верификации заявленных идентификационных данных, документальные подтверждения (официальные документы), представленные субъектом доступа, а также другая подтверждающая информация.
3.53 среда функционирования: Среда с предопределенными (установленными) граничными условиями, в которой существуют (функционируют) и взаимодействуют субъекты доступа и объекты доступа.
Примечания
1 Область действия правил управления доступом рассматривается как граничное условие среды функционирования.
2 Граничные условия среды функционирования могут определяться, например, нормативными правовыми документами, обладателем информации или оператором.
3.54 строгая аутентификация: Аутентификация с применением только метода многофакторной взаимной аутентификации и использованием криптографических протоколов аутентификации.
3.55 субъект доступа: Одна из сторон информационного взаимодействия, которая инициирует получение и получает доступ.
Примечание - Субъектами доступа могут являться как физические лица (пользователи), так и ресурсы стороны информационного взаимодействия, а также вычислительные процессы, инициирующие получение и получающие доступ от их имени.
3.56
уверенность (confidence): Убежденность в том, что оцениваемый объект будет функционировать в соответствии с заданным или установленным порядком (то есть корректно, надежно, эффективно, в соответствии с политикой безопасности). [ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005, пункт 2.18] |
3.57
управление доступом: Предоставление санкционированного и предотвращение несанкционированного доступа. [Адаптировано из ГОСТ Р ИСО/МЭК ТО 10032-2007, пункт 2.1] |
3.58
уровень доверия (assurance level): Степень доверия, соответствующая специальной шкале, применяемой в методе обеспечения доверия.
Примечания 1 Уровень доверия не измеряется количественными показателями. 2 Степень доверия обычно определяется усилиями, затраченными на выполнение определенных действий.
[ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005, пункт 2.10] |
3.59 усиленная аутентификация: Аутентификация с применением метода многофакторной односторонней или взаимной аутентификации и соответствующих данному методу протоколов аутентификации.
3.60
устройство аутентификации: Техническое (аппаратное) или виртуальное устройство, содержащее информацию о его обладателе, которая может использоваться при идентификации и/или аутентификации. [Адаптировано из ГОСТ Р ИСО/МЭК 24713-2-2011, пункт 4.31]. |
3.61 фактор: Вид (форма) существования информации, используемой при идентификации и аутентификации.
Примечание - Допускается уточнять термин сообразно его конкретному использованию. Например, применительно к аутентификации допускается использовать термин "фактор аутентификации".
3.62 электронное удостоверение: Совокупность идентификационной информации и аутентификационной информации (или прямого указания ее существования) субъекта доступа или объекта доступа, подлинность которой подтверждена доверенной третьей стороной.
Примечания
1 Электронное удостоверение может выпускаться доверенной третьей стороной с возможностью проверки его действительности (см. [8]) на момент предоставления доступа конкретному субъекту доступа к конкретному объекту доступа.
2 Электронное удостоверение может представлять собой: в простейшем случае идентификатор доступа и пароль; в других случаях - совокупность идентификатора доступа, открытого ключа и другой информации.
3 Порядок и правила формирования и применения электронных удостоверений определяются соответствующими нормативными правовыми документами и документами по стандартизации.
Взаимосвязь терминов, которые входят в группы, относящиеся к понятиям "идентификация" и "аутентификация", и ее графическое представление приведены в приложении А.
4 Общие положения
4.1 Целью идентификации и аутентификации при доступе субъекта доступа к объекту доступа является опознавание субъекта доступа с необходимой уверенностью в том, что он является именно тем, за кого себя выдает. При этом степень достижения цели идентификации и аутентификации определяется уровнем доверия к результатам идентификации и аутентификации.
4.2 В общем случае идентификация и аутентификация охватывают:
- первичную идентификацию, включающую подготовку, формирование и регистрацию информации о субъекте (объекте) доступа, а также присвоение субъекту (объекту) доступа идентификатора доступа и его регистрацию в перечне присвоенных идентификаторов;
- хранение и поддержание актуального состояния (обновление) идентификационной и аутентификационной информации субъекта (объекта) доступа в соответствии с установленными правилами;
- вторичную идентификацию, которая обеспечивает опознавание субъекта доступа, запросившего доступ к объекту доступа, по предъявленному идентификатору;
- аутентификацию, включающую проверку подлинности субъекта (объекта) доступа и принадлежности ему предъявленных идентификатора и аутентификационной информации.
Примечание - Применительно к объекту доступа проверка подлинности осуществляется при взаимной аутентификации.
4.3 Идентификация и аутентификация осуществляются в области действия единых правил управления доступом.
Примечания
1 Правила управления доступом (единые правила управления доступом) могут быть реализованы, например, в границах: одного или нескольких вычислительных процессов; одного или нескольких средств вычислительной техники; одной или нескольких автоматизированных (информационных) систем.
2 Идентификация и аутентификация могут осуществляться, например, в границах одной автоматизированной (информационной) системы (области действия правил управления доступом); в границах нескольких автоматизированных (информационных) систем, находящихся под управлением одного оператора, при условии распространения на них единых правил управления доступом, или в границах нескольких автоматизированных (информационных) систем, находящихся под управлением различных операторов, при условии согласования правил управления доступом операторами данных автоматизированных (информационных) систем.
3 Для идентификации и аутентификации могут использоваться внешние по отношению к области действия единых правил управления доступом сервисы, предоставляемые, например, доверенной третьей стороной.
4.4 При доступе к объекту доступа идентификация и аутентификация субъекта доступа может осуществляться как в рамках одного процесса идентификации и аутентификации, так и выполняться в рамках последовательности процессов идентификации и аутентификации (многошаговая идентификация и аутентификация).
Примечания
1 При многошаговой идентификации и аутентификации после положительного результата проверки идентификатора доступа и аутентификационной информации на одном "шаге" предоставляется доступ к проверке идентификатора доступа и аутентификационной информации следующего "шага". Результат проверки на каждом "шаге" доводится субъекту доступа, а после положительного результата проверки на последнем "шаге" предоставляется доступ к объекту доступа. При отрицательном результате проверки на любом из "шагов" дальнейшая последовательность процессов идентификации и аутентификации не выполняется.
2 При многошаговой идентификации и аутентификации для проверки идентификатора доступа и аутентификационной информации в рамках последовательно осуществляемых процессов идентификации и аутентификации ("шагов") могут использоваться различные устройства, средства вычислительной техники и/или автоматизированные (информационные) системы, а также сервисы, внешние по отношению к участникам идентификации и аутентификации.
4.5 При доступе участники процессов идентификации и аутентификации имеют следующее функциональное назначение (функциональные роли):
- сторона, инициирующая доступ. Основной задачей стороны, инициирующей доступ, является запрос доступа и последующее предоставление информации, необходимой другим сторонам;
- регистрирующая сторона. Основной задачей регистрирующей стороны является присвоение субъекту (объекту) доступа идентификатора доступа и, при необходимости, аутентификационной информации, их регистрация и поддержание в актуальном состоянии (обновление), а также фиксация связи идентификатора и аутентификационной информации с конкретным субъектом (объектом) доступа;
- доверяющая сторона. Основной задачей доверяющей стороны является опознавание субъекта доступа по предъявленному идентификатору и проверка его подлинности;
- проверяющая сторона. Основной задачей проверяющей стороны является проверка принадлежности субъекту доступа идентификатора доступа и аутентификационной информации, которые зафиксированы за ним регистрирующей стороной.
4.6 Отдельные функциональные роли могут быть объединены и/или назначены участникам процессов идентификации и аутентификации.
Примечание - Доверенная третья сторона, например, может объединять (выполнять) функциональные роли регистрирующей и проверяющей сторон, объект доступа - функциональные роли регистрирующей, проверяющей и доверяющей сторон, а субъект доступа - функциональные роли стороны, инициирующей доступ, проверяющей и доверяющей сторон (при взаимной аутентификации).
4.7 Участники процессов идентификации и аутентификации должны обеспечивать безопасность используемой идентификационной и аутентификационной информации. При этом состав и содержание мер защиты в конкретной среде функционирования должны определяться в соответствии с нормативными правовыми актами и документами по стандартизации.
5 Основы идентификации
5.1 Процесс идентификации должен включать в себя действия по подготовке, формированию идентификационной информации субъекта (объекта) доступа, присвоению субъекту (объекту) доступа идентификатора и их последующей регистрации, а при доступе субъекта доступа к объекту доступа - действия по проверке существования (наличия) идентификатора, предъявленного субъектом доступа, в перечне присвоенных идентификаторов.
5.2 Идентификация разделяется на первичную идентификацию, осуществляемую при регистрации регистрирующей стороной нового субъекта (объекта) доступа, и вторичную идентификацию, регулярно повторяющуюся при каждом запросе субъекта доступа на доступ.
Для поддержания актуального состояния (обновления) идентификационной информации зарегистрированного субъекта (объекта) доступа первичная идентификация может повторяться с установленной периодичностью или по мере необходимости, а также выполняться по запросу субъекта (объекта) доступа. Вторичная идентификация субъекта доступа может выполняться однократно или, при необходимости, с установленной периодичностью в течение всего информационного взаимодействия между субъектом доступа и объектом доступа.
Общая характеристика типового процесса идентификации приведена в приложении Б.
5.3 Целью первичной идентификации является распознавание субъекта (объекта) доступа путем установления (подтверждения) соответствия между субъектом (объектом) доступа и заявленными им идентификационными данными.
5.4 До первичной идентификации регистрирующей стороной должны быть установлены требования к первичной идентификации, которые, в общем случае, определяют объем, состав и обязательность идентификационных атрибутов субъекта (объекта) доступа, используемых для формирования идентификационной информации, а также устанавливают необходимость, порядок и правила подтверждения заявленных субъектом (объектом) доступа идентификационных данных.
В конкретной среде функционирования каждый субъект (объект) доступа должен иметь единственный набор значений идентификационных атрибутов, связанный с идентификатором доступа, что обеспечивает однозначную идентификацию данного субъекта (объекта) доступа.
5.5 При первичной идентификации регистрирующей стороне необходимо подготовить и оценить идентификационные данные, заявленные субъектом (объектом) доступа, на соответствие установленным требованиям, а также установить и подтвердить соответствие между субъектом (объектом) доступа и его идентификационными данными. Для этого:
- при оценке заявленных идентификационных данных, как минимум, надлежит проверить наличие у регистрирующей стороны идентификационной информации, связанной с субъектом (объектом) доступа, ее уникальность и актуальность, а также определить, достаточно ли предъявлено идентификационных атрибутов для однозначного распознавания субъекта (объекта) доступа;
- при подтверждении заявленных идентификационных данных, как минимум, надлежит проверить их существование путем верификации и получения свидетельств, а также установить связь (осуществить привязку) между субъектом (объектом) доступа и заявленными идентификационными данными.
Примечания
1 При верификации регистрирующая сторона может использовать собственную подтверждающую информацию, подтверждающую информацию, которая предоставлена субъектом (объектом) доступа, а также может использовать внешние (по отношению к регистрирующей стороне) сервисы, предоставляемые, например, доверенной третьей стороной.
2 Свидетельства являются результатом верификации заявленных идентификационных данных с использованием, как правило (но не только), внешних сервисов, в том числе имеющих возможность официального подтверждения идентификационных данных.
5.6 По результатам первичной идентификации субъекту (объекту) доступа должен присваиваться уникальный идентификатор доступа, определяющий соотнесенную с ним идентификационную информацию субъекта (объекта) доступа. Уникальность идентификатора доступа должна обеспечиваться в области действия единых правил управления доступом.
Идентификатор доступа может назначаться субъекту (объекту) доступа регистрирующей стороной или самостоятельно создаваться субъектом доступа в соответствии с установленными правилами.
5.7 Минимально достаточный объем и уникальность идентификационной информации, связанной с субъектом (объектом) доступа, а также оценка и подтверждение регистрирующей стороной идентификационных данных по установленным правилам должны обеспечить необходимую уверенность в том, что заявленные идентификационные данные действительно соответствуют (принадлежат) данному субъекту (объекту) доступа.
5.8 Первичная идентификация субъекта (объекта) доступа должна завершаться регистрацией идентификационной информации и присвоенного субъекту (объекту) доступа уникального идентификатора доступа или обоснованным отказом. Основанием для отказа в регистрации может быть несоответствие заявленных идентификационных данных требованиям к первичной идентификации или невозможность их подтверждения в установленном порядке.
Примечание - В качестве оснований для отказа, например, могут рассматриваться недостаточный объем идентификационных данных, представленных субъектом (объектом) доступа, отрицательный результат их верификации или отсутствие необходимой подтверждающей информации.
По решению регистрирующей стороны возможна регистрация субъекта доступа, идентификационные данные которого не соответствуют требованиям к первичной идентификации или не были подтверждены. При этом субъекту доступа присваивается уникальный идентификатор, субъект доступа определяется как анонимный субъект доступа (аноним) и нет никакой уверенности том, что заявленные идентификационные данные действительно соответствуют (принадлежат) данному субъекту доступа.
5.9 Первичная идентификация должна являться неотъемлемой частью как процесса идентификации, не предусматривающего последующий доступ субъекта доступа, так и частью процесса идентификации, предполагающего последующий доступ субъекта доступа и, соответственно, его аутентификацию.
Примечание - Примером первичной идентификации, не предусматривающей последующий доступ, может считаться внесение идентификационной информации физических лиц в автоматизированную (информационную) систему, которая используется для предоставления данной идентификационной информации другим автоматизированным (информационным) системам. Физические лица не являются пользователями данной автоматизированной (информационной) системы.
5.10 Целью вторичной идентификации является опознавание субъекта доступа, запросившего доступ к объекту доступа. При этом должна выполняться проверка существования идентификатора доступа, предъявленного субъектом доступа, в перечне присвоенных идентификаторов. При наличии предъявленного идентификатора доступа в перечне присвоенных идентификаторов процесс вторичной идентификации должен считаться успешно пройденным.
Примечание - Проверка существования (наличия) идентификатора доступа, предъявленного субъектом доступа, в перечне присвоенных идентификаторов осуществляется по предопределенному алгоритму и может выполняться, в том числе, путем сравнения.
5.11 Процесс идентификации, не предусматривающий последующий доступ, в общем виде должен включать:
- представление физическим лицом или получение от ресурса идентификационных данных, необходимых для первичной идентификации;
- оценку возможности регистрации идентификационной информации регистрирующей стороной и подтверждение соответствия между физическим лицом (ресурсом) и его идентификационными данными;
- принятие регистрирующей стороной решения о результате первичной идентификации, в том числе регистрация идентификационной информации и присвоенного физическому лицу (ресурсу) идентификатора, или обоснованный отказ в регистрации;
- хранение и поддержание идентификационной информации в актуальном состоянии (обновление) регистрирующей стороной и, при необходимости, предоставление ее по запросам.
5.12 Процесс идентификации, предусматривающий последующие аутентификацию, авторизацию и доступ, в общем виде должен включать:
- формирование запроса на регистрацию субъекта (объекта) доступа и последующее представление идентификационных данных, необходимых для первичной идентификации;
- оценку регистрирующей стороной возможности регистрации идентификационной информации и подтверждение соответствия между субъектом (объектом) доступа и его идентификационными данными;
- принятие регистрирующей стороной решения о результате первичной идентификации, в том числе регистрация идентификационной информации и присвоенного субъекту (объекту) доступа идентификатора доступа или обоснованный отказ в регистрации;
- хранение и поддержание в актуальном состоянии (обновление) идентификатора доступа и идентификационной информации регистрирующей стороной;
- предъявление доверяющей стороне субъектом доступа идентификатора для вторичной идентификации при запросе доступа к объекту доступа;
- проверку доверяющей стороной существования (наличия) идентификатора, предъявленного субъектом доступа, в перечне присвоенных идентификаторов;
- контроль проверяющей стороной принадлежности субъекту доступа идентификатора доступа, включая проверку актуальности (действительности) и проверку связи идентификатора доступа с субъектом доступа;
- принятие решения доверяющей стороной о результате вторичной идентификации и последующем проведении аутентификации.
6 Основы аутентификации
6.1 Процесс аутентификации при доступе субъекта доступа к объекту доступа должен включать в себя действия по проверке подлинности субъекта доступа, а также принадлежности субъекту доступа предъявленного идентификатора и аутентификационной информации.
Примечание - Действия по проверке подлинности, а также принадлежности предъявленного идентификатора и аутентификационной информации осуществляются доверяющей и проверяющей сторонами.
6.2 Целью аутентификации является формирование необходимой уверенности в том, что субъект (объект) доступа действительно является тем зарегистрированным субъектом (объектом) доступа, за кого себя выдает предъявленным идентификатором доступа.
6.3 При доступе доказательство подлинности субъекта доступа должно основываться на проверке соответствия аутентификационной информации, предъявленной субъектом доступа, аутентификационной информации, которая ассоциирована с предъявленным идентификатором доступа у доверяющей стороны. Доказательство принадлежности субъекту идентификатора и аутентификационной информации должно основываться на проверке актуальности (действительности) аутентификационной информации и проверке связи идентификатора и аутентификационной информации с субъектом доступа.
Общая характеристика типового процесса аутентификации приведена в приложении Б.
6.4 При доступе должна обеспечиваться неизменность субъекта доступа и объекта доступа. В процессе аутентификации (до ее завершения) и субъект доступа, и объект доступа (и третья доверенная сторона, при необходимости) должны иметь возможность удостовериться (убедиться) в их неизменности.
6.5 В процессе аутентификации применяются следующие факторы:
- фактор знания: субъект доступа должен знать определенную информацию.
Примечание - При аутентификации с применением фактора знания может использоваться как аутентификационная информация, непосредственно известная пользователю, например пароль, графический пароль, изображение, так и информация, позволяющая получить доступ к аутентификационной информации, например одноразовый пароль или PIN-код 1);
------------------------------
1)PIN-код (Personal Identification Number) - персональный идентификационный номер.
------------------------------
- фактор владения: субъект доступа должен обладать определенным предметом, содержащим аутентификационную информацию.
Примечание - При аутентификации с применением фактора владения может использоваться, например, устройство аутентификации или механизм, приспособление, вещь, которые содержат аутентификационную информацию;
- биометрический фактор: субъекту доступа должен быть свойственен определенный признак (характеристика), информация о котором (которой) используется при аутентификации.
Примечания
1 Биометрический фактор применяется при аутентификации субъектов доступа, ассоциированных с физическими лицами.
2 При аутентификации с применением биометрического фактора могут использоваться, например, биометрические данные физического лица или шаблон его поведения.
6.6 При доступе к объекту доступа для аутентификации субъекта доступа необходимо использовать один фактор (однофакторная аутентификация) или несколько факторов (многофакторная аутентификация). При многофакторной аутентификации должны совместно применяться не менее двух различных факторов. Доступ к объекту доступа при многофакторной аутентификации должен предоставляться после успешной вторичной идентификации субъекта доступа и положительного результата проверки аутентификационной информации, соответствующей всем совместно используемым факторам, без доведения субъекту доступа результатов проверки по каждому фактору.
Примечания
1 Примером однофакторной аутентификации пользователя является использование для аутентификации фактора знания с применением в качестве аутентификационной информации пароля, PIN-кода или ответа на вопрос, которые знает пользователь.
2 Примером многофакторной аутентификации пользователя является совместное применение для аутентификации фактора владения (например, пользователь владеет аутентификационной информацией, хранящейся в устройстве аутентификации) и фактора знания (например, пользователь знает пароль, позволяющий использовать аутентификационную информацию, содержащуюся в устройстве аутентификации). Доступ к ресурсам автоматизированной (информационной) системы предоставляется пользователю после его успешной вторичной идентификации и положительного результата проверки аутентификационной информации, соответствующей и фактору владения, и фактору знания.
3 При многошаговой идентификации и аутентификации в рамках отдельных процессов ("шагов") идентификации и аутентификации могут использоваться как однофакторная, так и многофакторная аутентификации.
4 Аутентификация условно считается многофакторной при информационном взаимодействии между субъектом доступа и объектом доступа, которые соответствуют вычислительным процессам [средствам вычислительной техники, автоматизированным (информационным) системам и т.п.], функционирующим в автоматическом режиме. При этом данные вычислительные процессы не ассоциируются с физическим лицом.
6.7 Биометрический фактор должен использоваться только совместно с другими факторами, в том числе для подтверждения фактора владения. При этом применение биометрического фактора в качестве единственного фактора при однофакторной аутентификации не допускается.
Примечание - Порядок и правила применения биометрического фактора при аутентификации определяются соответствующими нормативными правовыми документами и документами по стандартизации.
6.8 В общем случае при аутентификации обмен аутентификационной информацией и другими данными, необходимыми для аутентификации, осуществляется между субъектом доступа, доверенной третьей стороной и объектом доступа с учетом их функциональных ролей. В зависимости от организации обмена аутентификационной информацией и используемых при этом протоколов аутентификации необходимо различать одностороннюю и взаимную аутентификации.
В односторонней аутентификации участвуют субъект доступа и объект доступа, который считается доверяющей стороной (при необходимости - доверяющей и проверяющей). Односторонняя аутентификация обеспечивает уверенность в подлинности субъекта доступа только у доверяющей стороны. При этом субъект доступа полагает, что доверяющая сторона является подлинной.
В процессе взаимной аутентификации субъект доступа и объект доступа попеременно выполняют функциональную роль доверяющей стороны (при необходимости - доверяющей и проверяющей). При этом взаимная аутентификация обеспечивает уверенность в подлинности другой стороны и у субъекта доступа, и у объекта доступа.
6.9 Процесс аутентификации может быть организован как с участием доверенной третьей стороны, так и без нее. При односторонней однофакторной аутентификации по паролю услуги доверенной третьей стороны не используются, а регистрирующая, проверяющая и доверяющая стороны объединены в доверяющую сторону и ее функции выполняет объект доступа (см. рисунок 1).
Рисунок 1 - Организация передачи аутентификационной информации при односторонней однофакторной аутентификации по паролю
6.10 При использовании услуг доверенной третьей стороны процесс аутентификации может включать в себя одну доверенную третью сторону или их цепочку. Введение дополнительных единиц доверенных третьих сторон обеспечивает аутентификацию в среде, включающей большое число субъектов доступа, где каждая из доверенных третьих сторон обслуживает только часть субъектов доступа.
При обмене аутентификационной информацией доверенная третья сторона, как проверяющая сторона, может быть посредником между субъектом доступа и объектом доступа (см. рисунок 2).
Рисунок 3 - Организация обмена аутентификационной информацией и другими данными, необходимыми для аутентификации, без прямого участия доверенной третьей стороны
Нумерация рисунков приводится в соответствии с источником
Доверенная третья сторона, как проверяющая сторона, может не являться прямым участником обмена между субъектом доступа и объектом доступа, но обеспечивать их данными, необходимыми для аутентификации (см. рисунок 3).
Рисунок 3 - Организация обмена аутентификационной информацией и другими данными, необходимыми для аутентификации, без прямого участия доверенной третьей стороны
При аутентификации в условиях временного отсутствия взаимодействия с доверенной третьей стороной (см. рисунок 4), как проверяющей стороной, объект доступа, как доверяющая сторона, может использовать списки действительных и аннулированных электронных удостоверений или другие методы проверки аутентификационной информации.
Рисунок 4 - Организация обмена аутентификационной информацией и другими данными, необходимыми для аутентификации, в условиях временного отсутствия взаимодействия объекта доступа с доверенной третьей стороной
6.11 Процесс аутентификации, с учетом действий, выполняемых при идентификации, в общем виде должен включать:
- формирование и регистрацию аутентификационной информации субъекта (объекта) доступа при первичной идентификации. При этом аутентификационная информация может назначаться регистрирующей стороной или самостоятельно формироваться субъектом доступа в соответствии с установленными правилами;
- хранение и поддержание в актуальном состоянии (обновление) аутентификационной информации регистрирующей стороной и субъектом доступа;
- предъявление субъектом доступа доверяющей стороне идентификатора и аутентификационной информации при запросе доступа к объекту доступа;
- проверку подлинности субъекта доступа доверяющей стороной в рамках обмена аутентификационной информацией и другими данными, необходимыми для аутентификации;
- проверку принадлежности субъекту доступа предъявленных идентификатора и аутентификационной информации проверяющей стороной, включая проверку актуальности (действительности) аутентификационной информации и проверку связи идентификатора и аутентификационной информации с субъектом доступа;
- принятие доверяющей стороной решения о результате аутентификации и последующем проведении авторизации.
6.12 При организации доступа должен использоваться один из видов аутентификации: простая, усиленная или строгая. Каждый из видов аутентификации определяется используемым методом аутентификации.
6.13 При простой аутентификации должна применяться однофакторная односторонняя аутентификация с организацией передачи аутентификационной информации от субъекта доступа к объекту доступа. В процессе простой аутентификации необходимо использовать протоколы аутентификации, соответствующие данной организации передачи аутентификационной информации, в том числе и криптографические.
Примечание - Примером простой аутентификации является использование в качестве аутентификационной информации пароля, который знает пользователь.
6.14 При усиленной аутентификации должна применяться многофакторная односторонняя аутентификация с организацией передачи аутентификационной информации от субъекта доступа к объекту доступа или многофакторная взаимная аутентификация с организацией обмена аутентификационной информацией между субъектом доступа и объектом доступа. В процессе усиленной аутентификации необходимо использовать протоколы аутентификации, соответствующие данной организации передачи (обмена) аутентификационной информации, в том числе и криптографические.
Примечание
1 Примером усиленной аутентификации является использование при многофакторной односторонней аутентификации пользователя пароля, который знает пользователь, и одноразового пароля, создаваемого с применением устройства аутентификации, находящегося во владении данного пользователя.
2 Примером усиленной аутентификации является использование аутентификационной информации при многофакторной взаимной аутентификации вычислительных процессов, ресурсов и т.п.
6.15 При строгой аутентификации должна применяться многофакторная взаимная аутентификация с организацией двухстороннего, между субъектом доступа и объектом доступа, или многостороннего (при использовании третьей доверенной стороны) обмена аутентификационной информацией. В процессе строгой аутентификации должны использоваться криптографические протоколы аутентификации, соответствующие данной организации обмена и включающие различные последовательности обмена сообщениями (двух- и многопроходные) между участниками процесса аутентификации.
Примечание - Примером строгой аутентификации является совместное использование при аутентификации закрытого ключа и соответствующего ему электронного удостоверения, содержащего открытый ключ. Электронное удостоверение может формироваться доверенной третьей стороной. Закрытый ключ и соответствующее ему электронное удостоверение, содержащее открытый ключ, хранятся, как правило, с применением устройства аутентификации, находящегося во владении пользователя. При этом пользователь знает пароль или PIN-код, позволяющий использовать данную аутентификационную информацию.
6.16 Аутентификация любого вида, используемая для подтверждения подлинности субъекта доступа, который идентифицирован как анонимный субъект доступа (аноним), считается анонимной аутентификацией.
Примечание - Как правило, при аутентификации анонимного субъекта доступа используется простая аутентификация.
6.17 При выборе вида аутентификации, применяемого в конкретной среде функционирования, должны учитываться риски информационной безопасности, связанные как со средой обмена аутентификационными сообщениями (или средой функционирования), так и с допустимым характером действий субъекта доступа, следующих за положительным результатом его аутентификации.
6.18 В зависимости от используемого метода аутентификации для формирования и/или хранения аутентификационной информации могут применяться соответствующие технические (аппаратные) или виртуальные устройства. При этом используемые устройства аутентификации не должны входить в состав объекта доступа.
Примечание - В качестве устройств аутентификации могут применяться, например, токены, отделенные от автоматизированной (информационной) системы, к которой осуществляется доступ.
Для хранения электронного удостоверения, которое используется для идентификации, и формирования соответствующего закрытого ключа, который используется при аутентификации, рекомендуется применять устройства аутентификации с неизвлекаемым закрытым ключом.
Примеры устройств, применяемых при различных видах аутентификации, приведены в приложении В.
7 Уровни доверия к результатам идентификации и аутентификации
7.1 Уровень доверия к результатам идентификации определяет достигнутую уверенность в том, что субъект (объект) доступа действительно соответствует зарегистрированной идентификационной информации.
Примечание - Уровень доверия к результатам идентификации для объекта доступа определяет уверенность, достигнутую при первичной идентификации объекта доступа. Уровень доверия к результатам идентификации для субъекта доступа определяет уверенность, достигнутую при первичной идентификации, и зависит от результатов его вторичной идентификации.
Устанавливаются три уровня доверия к результатам идентификации:
- низкий уровень доверия. На низком уровне доверия к результатам идентификации имеется некоторая уверенность в том, что субъект доступа, зарегистрированный в процессе первичной идентификации и успешно прошедший вторичную идентификацию, действительно соответствует идентификационной информации, которая однозначно определяется предъявленным идентификатором доступа;
- средний уровень доверия. На среднем уровне доверия к результатам идентификации появляется умеренная уверенность в том, что субъект доступа, зарегистрированный в процессе первичной идентификации и успешно прошедший вторичную идентификацию, действительно соответствует идентификационной информации, которая однозначно определяется предъявленным идентификатором доступа;
- высокий уровень доверия. На высоком уровне доверия к результатам идентификации существует значительная уверенность в том, что субъект доступа, зарегистрированный в процессе первичной идентификации и успешно прошедший вторичную идентификацию, действительно соответствует идентификационной информации, которая однозначно определяется предъявленным идентификатором доступа.
Если субъект доступа идентифицирован как анонимный субъект доступа (аноним), то нет никакой уверенности в том, что он действительно соответствует зарегистрированной идентификационной информации, которая определяется предъявленным идентификатором доступа.
Общая характеристика уровней доверия к результатам идентификации приведена в приложении Г (таблица Г.1).
7.2 Уровень доверия к результатам аутентификации определяет достигнутую уверенность в том, что субъект доступа действительно является тем зарегистрированным субъектом доступа, за кого себя выдает предъявленным идентификатором доступа.
Уровень доверия к результатам аутентификации зависит от вида аутентификации при условии соблюдения корректности реализации соответствующих методов и протоколов аутентификации.
Устанавливаются три уровня доверия к результатам аутентификации:
- низкий уровень доверия. При использовании простой аутентификации достигается низкий уровень доверия, то есть имеется некоторая уверенность в том, что субъект доступа действительно является тем зарегистрированным субъектом доступа, за кого себя выдает предъявленным идентификатором доступа;
- средний уровень доверия. При использовании усиленной аутентификации достигается средний уровень доверия, то есть появляется умеренная уверенность в том, что субъект доступа действительно является тем зарегистрированным субъектом доступа, за кого себя выдает предъявленным идентификатором доступа;
- высокий уровень доверия. При использовании строгой аутентификации достигается высокий уровень доверия, то есть существует значительная уверенность в том, что и субъект доступа, и объект доступа действительно являются теми зарегистрированными субъектами (объектами) доступа, за кого себя выдает предъявленным идентификатором каждый из них.
При аутентификации анонимного субъекта доступа (анонимной аутентификации) уровень доверия к результатам аутентификации определяется используемым видом аутентификации, но при этом нет никакой уверенности в том, что субъект доступа действительно является тем, за кого себя выдает предъявленным идентификатором доступа.
Общая характеристика уровней доверия к результатам аутентификации приведена в приложении Г (таблица Г.2).
7.3 Уровень доверия к результатам идентификации и аутентификации определяется уровнем доверия к результатам идентификации и уровнем доверия к результатам аутентификации (см. таблицу 1).
Таблица 1 - Определение уровня доверия к результатам идентификации и аутентификации
Уровень доверия к результатам аутентификации |
Уровень доверия к результатам идентификации |
||
низкий уровень доверия к результатам идентификации |
средний уровень доверия к результатам идентификации |
высокий уровень доверия к результатам идентификации |
|
Низкий уровень доверия к результатам аутентификации |
Низкий уровень доверия |
Низкий уровень доверия |
Низкий уровень доверия |
Средний уровень доверия к результатам аутентификации |
Низкий уровень доверия |
Средний уровень доверия |
Средний уровень доверия |
Высокий уровень доверия к результатам аутентификации |
Низкий уровень доверия |
Средний уровень доверия |
Высокий уровень доверия |
Уровень доверия к результатам идентификации и аутентификации, который должен быть достигнут в конкретной среде функционирования, должен устанавливаться в соответствии с нормативными правовыми документами и/или на основе результатов анализа рисков информационной безопасности, выполняемого в соответствии с ГОСТ Р ИСО/МЭК 27005.
Библиография
[1] |
Информационные технологии. Основные термины и определения в области технической защиты информации |
|
[2] |
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" |
|
[3] |
ITU-T Rec.X.810 (11/1995) Series X |
Информационная технология. Взаимосвязь открытых систем. Основы безопасности для открытых систем: обзор (Information technology - Open Systems Interconnection - Security frameworks for open systems: Overview) |
[4] |
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" |
|
[5] |
ИСО/МЭК 18033-1:2015 (ISO/IEC 18033-1:2015) |
Информационная технология. Методы и средства обеспечения безопасности. Алгоритмы кодирования. Часть 1. Общие положения (Information technology - Security techniques - Encryption algorithms - Part 1: General) |
[6] |
Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" |
|
[7] |
Техническая защита информации. Основные термины и определения |
|
[8] |
European Standard 319 411:2016 |
Электронные подписи и инфраструктуры. Политика и требования безопасности к доверенным сервис-провайдерам, выпускающим сертификаты. Часть 1, Основные требования (Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements) |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 10 апреля 2020 г. N 159-ст)
Текст ГОСТа приводится по официальному изданию Стандартинформ, Москва, 2020 г.
Дата введения - 1 мая 2020 г.