ГОСТ Р 59381-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Основы управления идентичностью

Часть 1

Терминология и концепции

Information technology. Security techniques. A framework for identity management. Part 1. Terminology and concepts

ОКС 35.030

Дата введения 2021-11-30

Предисловие

1 РАЗРАБОТАН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН); Акционерным обществом "Аладдин Р.Д." (АО "Аладдин Р.Д.") и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 413-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 24760-1:2019* "Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции" (ISO/IEC 24760-1:2019 "Information technology. Security techniques - A framework for identity management - Part 1: Terminology and concepts", NEQ)     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Для функционирования автоматизированных (информационных) систем необходимо собирать и формировать информацию о пользователях, связанными с ними программном обеспечении или оборудовании и принимать решения на основе данной информации. Такие решения, основанные на данных пользователей, могут касаться доступа к приложениям или другим ресурсам.

Для эффективного внедрения и эксплуатации систем, принимающих решения на основе идентификации, комплекс стандартов по основам управления идентичностью определяет общие правила формирования, администрирования и использования данных, помогающих характеризовать физических лиц, организации или компоненты информационной технологии.

Для многих организаций управление идентификационными данными является критичным для обеспечения безопасности процессов организации. Одновременно надлежащее управление важно для защиты персональных данных пользователей.

Комплекс стандартов по основам управления идентичностью определяет базовые концепции управления идентичностью, которое имеет целью обеспечение соответствия между сущностью и набором относящихся к ней идентификационных данных. Степень достижения указанной цели влияет на уверенность в результатах идентификации и аутентификации сущности как субъекта или объекта доступа и, как следствие, определяет корректность управления доступом.

Настоящий стандарт необходимо применять с учетом требований нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

     1 Область применения

Настоящий стандарт определяет термины, относящиеся к управлению идентичностью, основные концепции идентичности и управления идентичностью, а также их взаимосвязь.

Положения настоящего стандарта применимы для любой информационной системы, обрабатывающей идентификационную информацию, и используются совместно с документами по стандартизации, регламентирующими вопросы идентификации.

Настоящий стандарт предназначен для применения путем включения нормативных ссылок на него в соответствии с действующим законодательством и (или) прямого использования устанавливаемых в нем положений.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 58833 Защита информации. Идентификация и аутентификация. Общие положения

ГОСТ Р 59407-2021 Информационная технология. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 атрибут (attribute): Характеристика, признак или свойство сущности.

Пример - Возможными атрибутами являются вид сущности, адрес, номер телефона, привилегия, МАС-адрес, имя домена.

3.2 аутентификация (authentication): Формализованный процесс верификации, который в случае успеха приводит к подтвержденной (аутентифицированной) идентичности сущности.

Примечания

1 Процесс аутентификации включает в себя проверку верификатором одного или нескольких идентификационных атрибутов, предоставленных субъектом, чтобы определить их достоверность с требуемым уровнем доверия.

2 Аутентификация обычно включает в себя применение политики для достижения требуемого уровня доверия для результата.

3.3 верификатор (verifier): Сущность, осуществляющая верификацию.

Примечание - Верификатор может быть той же сущностью или действовать от имени сущности, которая контролирует идентификацию сущностей в конкретном домене.

3.4 верификация (verification): Процесс проверки того, что представленные (заявленные) идентификационные данные, связанные с конкретной сущностью, достоверны.

Примечание - Проверка, как правило, включает в себя определение атрибутов, необходимых для распознавания сущности в домене, проверку наличия этих обязательных атрибутов, их правильного синтаксиса, существования в течение определенного периода действия и принадлежности к сущности.

3.5 внесение в реестр идентичностей (enrolment): Процесс, в результаты выполнения которого сущность становится известной и учтена в конкретном домене.

Примечание - Внесение в реестр идентичностей обычно включает сбор и проверку идентификационных данных, а также регистрацию идентификационной информации.

3.6 генератор ссылочных идентификаторов (reference-identifier generator): Инструментальное средство, используемое при внесении в реестр идентичностей для обеспечения актуального уникального значения для ссылочного идентификатора.

Пример - Система управления базой данных может быть генератором ссылочных идентификаторов, когда она присваивает уникальный номер записи добавляемой в таблицу новой записи и этот номер записи используется как ссылочный идентификатор.

3.7 полагающаяся сторона (relying party): Сущность, полагающаяся на проверку идентификационной информации конкретной сущности.

Примечание - Полагающаяся сторона подвергается риску, вызванному неверной идентификационной информацией. Обычно ее связывают доверительные отношения с одним или более органами, предоставляющими идентификационную информацию, необходимую для идентификации субъекта.

3.8 домен применения (домен) (domain of applicability): Среда, в которой сущность может использовать набор атрибутов для идентификации и других целей.

Примечание - В общем случае идентичность определяется по отношению к набору атрибутов в конкретном домене.

Пример - Развернутая организацией ИТ-система, позволяющая пользователям регистрироваться, является доменом для зарегистрированного пользовательского имени.

3.9 домен происхождения (domain of origin): Домен, в котором было создано значение идентификационного атрибута или которому было присвоено (повторно) его значение.

Примечания

1 Домен происхождения может быть предоставлен в качестве метаданных для атрибута.

2 Домен происхождения обычно определяет значение и формат значения атрибута.

3 Атрибут может содержать явное значение, которое ссылается на домен происхождения. Например, код страны для номера паспорта в качестве ссылки на страну выдачи, являющейся доменом происхождения идентификационной информации в паспорте.

4 Операционно домен происхождения может быть доступен в качестве источника для атрибута (иногда известного как центр выдачи атрибутов). Источник выдачи атрибутов может работать за пределами фактического домена происхождения. Для одного и того же домена происхождения может существовать несколько центров выдачи атрибутов.

Пример - Домен происхождения номера членства в клубе - это конкретный клуб, присвоивший этот номер.

3.10 идентификационные данные (identity data): Совокупность идентификационных атрибутов и их значений, которая связана с конкретной сущностью.

3.11 идентификационная информация (identity information): Совокупность значений идентификационных атрибутов идентичности, опционально связанных с метаданными.

Примечание - В автоматизированной (информационной) системе физическое лицо присутствует в виде его "цифрового образа", который, в том числе, характеризуется идентификационной информацией.

3.12 идентификационное утверждение (identity assertion): Заявление органа идентификационной информации, используемое полагающейся стороной для аутентификации.

Примечание - Идентификационное утверждение может быть криптографическим подтверждением успешной аутентификации, созданным с помощью алгоритмов и ключей, согласованных между сторонами, например, в объединении идентификационных атрибутов.

3.13 идентичность (identity): Представление (образ) сущности в виде одного или нескольких атрибутов, которые позволяют сущностям быть различимыми в домене.

Примечания

1 Сущность может иметь более одного набора относящихся к ней атрибутов.

2 Несколько сущностей могут иметь одинаковый набор атрибутов.

3 Другие документы, например, ITU-T Х1252 [1], также определяют различительное использование набора атрибутов.

3.14 кратковременный идентификатор (ephemeral identifier): Идентификатор с ограниченным сроком действия.

Примечания

1 Как правило, эфемерный идентификатор предоставляется субъекту в качестве криптографического удостоверения личности.

2 Как правило, эфемерный идентификатор может быть проверен только в домене, который его создал, а также в доменах, объединенных с этим доменом.

3.15 мандат (credential): Отображение идентичности для цели аутентификации.

Примечания

1 Мандат удостоверяет права и полномочия предъявителя.

2 Мандаты, как правило, создаются для проверки подлинности идентификационной информации, относящейся к сущности, которую она представляет.

3 Идентификационная информация, представленная мандатом, может быть, например, напечатана на удобочитаемом носителе или сохранена в физическом токене.