ГОСТ Р 59382-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы

     7.3 Архитектурные компоненты для управления

7.3.1 Создание системы управления идентификационными данными

7.3.1.1 Цель

Система управления идентификационными данными должна быть задокументирована до ее внедрения.

7.3.1.2 Документальное оформление системы управления идентификационными данными

Требования

Система управления идентификационными данными должна быть документально оформлена до начала ее реализации.

Рекомендации по реализации

Документально оформленный проект архитектуры системы управления идентификационными данными должен определять систему в контексте ее использования на основе причастных сторон и действующих субъектов, а также установленных требований.

Документально оформленный проект должен рассматривать требования в отношении причастных сторон, являющихся и не являющихся действующими субъектами.

Дополнительная информация

Документально оформленный проект должен исчерпывающим образом описывать следующее:

- требования к действующим субъектам;

- требования к причастным сторонам;

- точки зрения;

- модели;

- компоненты;

- процессы поддержки;

- потоки информации и действия.

Дополнительно должен быть также документально оформлен перечень типов действующих субъектов и их взаимодействий с системой.

Документально оформленный проект должен определять сценарий, используемый для создания системы управления идентификационными данными, например, сценарий организации, объединения, сценарий предоставления услуг или сценарий неоднородной системы. Проект должен соответствующим образом определять компоненты и потоки для выбранного сценария.

7.3.1.3 Идентификация органа регистрации идентификационных данных

Требования

Для любой системы управления идентификационными данными должен быть идентифицирован орган регистрации идентификационных данных.

Рекомендации по реализации

Орган регистрации идентификационных данных имеет обязанности и возможности по установлению и обеспечению соблюдения операционных политик, предназначенных для сбора, фиксирования и обновления идентификационной информации.

Обязанности органа регистрации идентификационных данных включают в себя следующее:

- модификацию, создание или отмену операционных политик;

- санкционирование модификации механизмов для установления требуемого уровня доверия к аутентификации сущности для доступа к идентификационной информации и функциям управления системой;