ГОСТ Р 59382-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Основы управления идентичностью

Часть 3

Практические приемы

Information technology. Security techniques. A framework for identity management. Part 3. Practice

ОКС 35.030

Дата введения 2021-11-30

Предисловие

1 РАЗРАБОТАН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Акционерным обществом "Аладдин Р.Д." (АО "Аладдин Р.Д.") и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 412-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 24760-3:2016* "Информационные технологии. Методы и средства обеспечения безопасности. Структура менеджмента идентификационных данных. Часть 3. Практические приемы" (ISO/IEC 24760-3:2016 "Information technology - Security techniques - A framework for identity management - Part 3: Practice", NEQ)     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Для функционирования автоматизированных (информационных) систем необходимо собирать и формировать информацию о пользователях, связанном с ними программном обеспечении или оборудовании, и принимать решения на основе данной информации. Такие решения, основанные на данных пользователей, могут касаться доступа к приложениям или другим ресурсам.

Реагируя на потребность эффективной и результативной реализации систем, принимающих решения, основанные на идентификационных данных, комплекс стандартов по основам управления идентичностью определяет основные положения выпуска, администрирования и использования данных, помогающих характеризовать цифровой образ субъектов доступа, организаций или компонентов информационной технологии, действующих в интересах физических лиц или организаций.

Для многих организаций надлежащее управление идентичностью является критичным для поддержки безопасности процессов организации. Для физических лиц надлежащее управление идентификационными данными важно для защиты их персональных данных.

Настоящий стандарт определяет практические приемы управления идентичностью. Эти приемы охватывают обеспечение доверия к структуре управления идентичностью, включающей в себя управление доступом к идентификационным данным и другим ресурсам на основе идентификационных данных, политикам доступа, сторонам взаимодействия и способам обмена идентификационными данными, а также управлению целями, которые должны быть реализованы при создании и поддержке системы управления идентификационными данными.

Комплекс стандартов по основам управления идентичностью состоит из следующих частей:

- часть 1. Терминология и концепции;

- часть 2. Эталонная архитектура и требования;

- часть 3. Практические приемы.

Настоящий стандарт является основой для применения других национальных стандартов, связанных с управлением идентификационными данными.

Настоящий стандарт необходимо применять с учетом требований нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

     1 Область применения

Настоящий стандарт представляет собой руководство по управлению идентичностью и обеспечению уверенности в том, что система управления идентификационными данными соответствует его требованиям.

Настоящий стандарт применим для систем управления идентификационными данными, в которых осуществляется получение, обработка, хранение, передача или использование связанных с сущностями идентификаторов и/или идентификационной информации (в том числе персональных данных) с целью идентификации или аутентификации сущностей и/или с целью принятия решений с применением атрибутов сущностей. Практические приемы управления идентификационными данными могут также рассматриваться в других стандартах.

Положения настоящего стандарта не исключают применение криптографических методов (алгоритмов) при управлении идентичностью, но не устанавливают требования по их реализации.

     2 Нормативные ссылки

В настоящем стандарте использованы следующие нормативные ссылки.

ГОСТ Р 58833 Защита информации. Идентификация и аутентификация. Общие положения

ГОСТ Р 59381 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции

ГОСТ Р 59407 Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных

ГОСТ Р ИСО/МЭК 27002 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

ГОСТ Р ИСО/МЭК 29100-2013 Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 59381, а также следующие термины с соответствующими определениями:

3.1 профиль идентичности (identity profile): Идентификационные данные, содержащие атрибуты, определяемые шаблоном идентичности.

3.2 шаблон идентичности (identity template): Определение конкретной совокупности атрибутов.

Примечание - Обычно атрибуты в профиле должны поддерживать определенную техническую или деловую цель, как требуется полагающимся сторонам.

3.3 подделка идентичности (identity theft): Результат успешного подтверждения ложной идентичности.

     4 Уменьшение рисков, связанных с идентичностью, при управлении идентификационными данными

В данном разделе представлены практические приемы снижения рисков, связанных с идентичностью, при эксплуатации системы управления идентификационными данными, которая соответствует требованиям настоящего стандарта.

     4.1 Оценка риска

Одна из функций системы управления идентификационными данными заключается в управлении рисками ошибок идентификационных данных, а также в управлении конфиденциальностью, целостностью и доступностью идентификационной информации, которую она хранит, обрабатывает и передает. Необходимо понимать уровень риска, который обуславливается доменом применения. Оператор должен провести оценку риска, чтобы определить уровень риска. Результат может быть использован для определения необходимых критериев управления рисками и процессов системы управления идентификационными данными. Информация, которая требуется системе управления идентификационными данными, включает уровень доверия к требуемой идентификационной информации, а также требования обеспечения конфиденциальности, целостности и доступности данной информации.

ГОСТ Р 59407 определяет такие инструменты управления рисками, как политика, регулирование, проектирование и архитектура. В некоторых случаях, имеющих первостепенное значение для пользователей - субъектов персональных данных, должна предоставляться возможность контроля за использованием персональных данных и обеспечением их защиты.

Примечание - Требования по защите персональных данных определяются в [1], а отдельные рекомендации по их реализации в ГОСТ Р 59407.

Идентификационная информация, управляемая системой управления идентификацией, также может управляться поставщиком идентификационной информации в другом домене посредством использования ссылок. Например, подтверждение идентификационных данных может осуществляться поставщиком услуг, который действует в домене, отличном от того, в котором функционирует система управления идентификационными данными.

При сборе и хранении идентификационной информации системой управления идентификационными данными должны быть реализованы меры управления рисками с целью снижения рисков, идентифицированных в результате оценки риска, осуществляемой в домене применения полагающейся стороной. В соответствии с оцененными уровнями риска полагающейся стороной должны быть определены и специфицированы уровни доверия к идентификационной информации и услугам доступа.

     4.2 Уверенность в достоверности идентификационной информации

4.2.1 Общие положения

Уверенность в идентификационной информации, предоставляемой системой управления идентификационными данными, проистекает из процессов, обеспечивающих уверенность в достоверности информации от момента ее сбора до последующего хранения и поддержки системой. Уверенность определяется уровнем доверия, где более высокие уровни доверия соответствуют большей уверенности. Достигаемый уровень доверия зависит от качества идентификационной информации и строгости проверки достоверности идентификационных данных. Уровни доверия определены в ГОСТ Р 58833.

4.2.2 Подтверждение идентичности

Подтверждение идентичности при регистрации сущности в домене должно соответствовать определенному уровню. Достижимый уровень подтверждения идентичности зависит от типа и характеристик информации, а в некоторых случаях и от объема этой информации, например от числа независимых поставщиков идентификационной информации, используемых в качестве источников информации.

Повышение уровня доверия к верификации идентичности можно быть достигнуто:

- с помощью проверки дополнительных мандатов, выпущенных несколькими источниками;

- путем использования доверенной третьей стороны, которой известна информация о сущности, для проверки действительности заявленной идентификационной информации.

Примечание - Способы достижения различных уровней доверия определены ГОСТ Р 58833, при этом требования к подтверждению идентификационных данных рассмотрены в [2].

4.2.3 Мандаты

Система управления идентификационными данными может выпускать различные виды мандатов (токенов, электронных удостоверений доступа), которые отличаются уровнем доверия идентификационной информации, предоставляемой данными мандатами.

Система управления идентификационными данными, выпускающая мандаты высокого уровня доверия с применением криптографических механизмов, должна предоставлять полагающимся сторонам услугу поддержки процесса криптографической проверки достоверности мандатов.

4.2.4 Профиль идентичности

Система управления идентификационными данными может использовать один или несколько профилей идентичности для сбора, структурирования или представления идентификационной информации.

Примечание - Хотя профиль может содержать идентификационную информацию, он не предназначен для идентификации. Профиль обеспечивает предоставление структурированной идентификационной информации о сущности процессам системы.

У сущности может быть много профилей идентичности, в каждом из которых содержатся различные совокупности атрибутов сущности. Например, языковое предпочтение может присутствовать в профиле для интерфейса доступа.

Шаблон идентичности может применяться в качестве национального или отраслевого стандарта. Использование стандартизированного шаблона идентичности для записи идентификационных атрибутов обеспечит применение профиля идентичности в различных доменах.

Профиль идентичности может использоваться в управлении доступом с целью определения требуемых идентификационных атрибутов для роли или привилегии, связанной с доступом к информации. Профиль идентичности может использоваться в качестве предварительно сконфигурированного подмножества идентификационной информации, предназначенного для представления сущности при взаимодействии с услугой.

Атрибут в профиле идентичности может быть связан с уровнем доверия. Использование профиля идентичности с соответствующими уровнями доверия для представления идентификационной информации означает, что каждый элемент информации был проверен, как минимум, на соответствующем уровне доверия. Профиль идентичности, определяющий требования доступа к услугам или ресурсам, может быть связан с определенным дополнительным идентификатором сущности, который может указывать на действия, связанные с определенными привилегиями.

     5 Идентификационная информация и идентификаторы

     5.1 Общие положения

Организации должны понимать значение обеспечения безопасности информации для своего бизнеса и для обеспечения соответствия нормативным правовым актам, а также должны иметь поддержку руководства, чтобы полнее отвечать запросам потребителей. Что касается вопроса управления идентичностью, организации должны понимать свои обязательства и обеспечивать уверенность в реализации адекватных мер защиты информации для уменьшения рисков и последствий утечки, порчи и потери доступности идентификационной информации при ее сборе, хранении, использовании, передаче и утилизации.

Организации должны определять меры защиты информации и цели их применения для обеспечения уверенности в выполнении требований обеспечения безопасности информации.

     5.2 Политика получения доступа к идентификационной информации