Точный
Статус документа
Статус документа

ГОСТ Р 59382-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы

Приложение Б
(справочное)

Практические приемы управления идентичностью с использованием мандатов на основе атрибутов для улучшения защиты персональных данных

     

Б.1 Общая информация

Система управления идентификационными данными может быть создана с использованием мандатов на основе атрибутов. Мандаты на основе атрибутов представляют собой ориентированный на пользователя подход в системе управления идентификационными данными, предназначенный для улучшения защиты персональных данных пользователя, но признающий также при этом многосторонние интересы всех сущностей.

Б.2 Действующие субъекты

Б.2.1 Обзор

Система управления идентификационными данными на основе атрибутов распознает следующих основных действующих субъектов:

- субъект, имеющий один или несколько мандатов, которые могут быть использованы для утверждения о том, что определенные атрибуты применимы при их представлении полагающейся стороне;

- полагающаяся сторона, которая принимает подтверждения из мандатов субъекта и доверяет органу, выпустившему мандат (поставщику идентификационной информации);

- поставщик идентификационной информации, который выпускает мандат(-ы) на основе атрибутов для субъекта, гарантируя правильность содержащейся в них информации;

- орган идентификационной информации, который отвечает за обеспечение уровня доверия идентификационной информации, предоставляемой полагающейся стороне.

На рисунке Б.1 представлен обзор действующих субъектов в рассмотренной архитектуре системы управления идентификационными данными.


Рисунок Б.1 - Действующие субъекты архитектуры управления идентичностью с использованием мандатов на основе атрибутов и их взаимодействия

Б.2.2 Субъект

Субъект - это центральный действующий субъект в архитектуре, интересы которого включают:

- использование услуг, предлагаемых полагающейся стороной,

- сохранение анонимности при использовании услуг полагающейся стороны;

- наличие возможности оставаться несвязываемым при различных взаимодействиях с полагающейся стороной (избегать копирования);

- исключение связывания полагающейся стороной применения своей идентификационной информации с выпуском атрибутов органом идентификационной информации;

- возможность создавать псевдонимы всякий раз, когда ему хочется создать профиль для определенной полагающейся стороны.

Субъект оперирует устройством, называемым в этом приложении "токеном субъекта", которое содержит мандаты и способно осуществлять обмен с оборудованием, которым оперирует полагающаяся сторона.

Б.2.3 Полагающаяся сторона

Полагающаяся сторона - это поставщик услуг, предоставляющий услуги субъекту. При этом полагающаяся сторона имеет целью предоставление услуг только аутентифицированным субъектам. Полагающаяся сторона публикует политику представления услуг, где определяет условия, которым должны удовлетворять субъекты для аутентификации, чтобы пользоваться ее услугами.