Не вступил в силу

ГОСТ Р 59515-2021



НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Подтверждение идентичности

Information technology. Security techniques. Identity proofing



ОКС 35.030

Дата введения 2021-11-30



Предисловие

     

1 РАЗРАБОТАН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) и Акционерным обществом "Аладдин Р.Д." (АО "Аладдин Р.Д.")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 419-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного документа ISO/IEC TS 29003:2018* "Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности" (ISO/IEC TS 29003:2018 "Information technology - Security techniques - Identity proofing", NEQ)     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

6 Федеральное агентство по техническому регулированию и метрологии не несет ответственности за патентную чистоту настоящего стандарта. Патентообладатель может заявить о своих правах и направить в национальный орган по стандартизации аргументированное предложение о внесении в настоящий стандарт поправки для указания информации о наличии в стандарте объектов патентного права и патентообладателе

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

     1 Область применения


Настоящий стандарт содержит рекомендации по подтверждению идентичности субъектов (физических лиц), определяет уровни подтверждения их идентификационных данных, а также требования для достижения этих уровней.

Положения настоящего стандарта могут быть использованы при разработке и эксплуатации систем управления идентификационными данными и применяются совместно с документами по стандартизации, регламентирующими вопросы идентификации.

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 58833-2020 Защита информации. Идентификация и аутентификация. Общие положения

ГОСТ Р 59381 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции

ГОСТ Р 59382 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения


В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 вспомогательный атрибут (supportive attribute): Атрибут, используемый при подтверждении идентичности, но не в качестве идентификационного атрибута.

3.2 заявление (application): Процесс, посредством которого предоставляется информация, используемая для подтверждения идентичности субъекта.

3.3

идентификационная информация (identity information): Совокупность значений атрибутов идентичности, опционально связанных с метаданными.

Примечание - В автоматизированной (информационной) системе физическое лицо присутствует в виде его "цифрового образа", который в том числе характеризуется идентификационной информацией.


[ГОСТ Р 59381-2021, пункт 3.11]

3.4

идентичность (identity): Представление (образ) сущности в виде одного или нескольких атрибутов, которые позволяют сущностям быть различимыми в домене.

Примечания

1 Сущность может иметь более одного набора относящихся к ней атрибутов.

2 Несколько сущностей могут иметь одинаковый набор атрибутов.

3 Другие документы, например ITU-T Х1252 [1], также определяют различительное использование набора атрибутов.


[ГОСТ Р 59381-2021, пункт 3.13]

3.5 идентификационный атрибут (identifying attribute): Атрибут, способствующий однозначной идентификации субъекта в данном домене.

3.6

домен (domain): Среда с определенными граничными условиями, в которых существуют и взаимодействуют субъекты.

[Адаптирован из ГОСТ Р 59381-2021, пункт 3.8]

3.7 мандат (credential): Объект или структура данных, которые официально привязывают идентификационные данные с помощью идентификатора или идентификаторов и (факультативно) дополнительных атрибутов, по крайней мере, к одному зарегистрированному аутентификатору, которым обладает и который контролирует пользователь.

Примечание - В отличие от аутентификатора мандат всегда контролируется и поддерживается поставщиком связанных с мандатами услуг (доверенной третьей стороной).

3.8 официальное свидетельство (authoritative evidence): Свидетельство, содержащее идентификационный(е) атрибут(ы), управление которыми осуществляет полномочная сторона.

Примечания

1 Это один из типов свидетельств идентичности.

2 Официальное свидетельство для конкретного идентификационного атрибута может быть подтверждающим свидетельством для другого.

3.9 подтверждающая информация (proofing information): Информация, собранная для подтверждения идентификационных данных.

3.10 подтверждающая сторона (proofing party): Сущность, осуществляющая подтверждение идентификационных данных субъекта.

3.11 подтверждающее свидетельство (corroborative evidence): Свидетельство, содержащее идентификационный(е) атрибут(ы), управление которыми не осуществляет полномочная сторона.

Примечания

1 Идентификационные атрибуты в подтверждающем свидетельстве могут не быть такими же актуальными или точными, как в официальном свидетельстве.

2 Это один из типов свидетельств идентичности.

3 Подтверждающее свидетельство для конкретного идентификационного атрибута может быть официальным свидетельством для другого.

3.12 полномочная сторона (authoritative party): Сущность, обладающая признанным правом создания или фиксирования идентификационных атрибутов и обязанностью по осуществлению их непосредственного управления.

Примечание - Юрисдикция(и) и/или промышленные круги иногда объявляют сторону полномочной. Возможно, что такая сторона подвергается правовому контролю.

3.13 свидетельство идентичности (evidence of identity): Доказательство, обеспечивающее определенную степень уверенности в том, что идентичность действительно соответствует (принадлежит) субъекту.

3.14 субъект (subject): Физическое лицо, чьи идентификационные данные подтверждаются.

3.15 уровень подтверждения идентификационных данных (level of identity proofing): Достигнутая степень уверенности в подтвержденности идентичности.

     4 Концепции подтверждения идентичности

     4.1 Подтверждение идентичности


Подтверждение идентичности представляет собой процесс верификации идентификационных атрибутов, вводимых в систему управления идентификационными данными, а также установления того, что идентификационные атрибуты относятся к субъекту, который будет внесен в реестр.

Процесс подтверждения идентичности включает в себя:

- документальное оформление политики подтверждения идентичности, выполняемых процессов и назначенной группы или лица, известных как ответственные разработчики политики подтверждения;

- определение домена подтверждения идентичности, границ и условий, в которых будет осуществляться взаимодействие субъекта и его идентичности;

- определение идентификационных атрибутов, которые нужно собрать и подтвердить;

- определение вспомогательных атрибутов, сбор которых будет осуществляться для выполнения подтверждения идентичности;

- установление уровня подтверждения идентичности, которого требует последующий процесс внесения в реестр;

- реализацию инфраструктуры для осуществления подтверждения идентичности.

Каждый случай подтверждения идентичности включает в себя шаги, направленные на:

- сбор подтверждающей информации;

- определение достоверности собранных идентификационных атрибутов в отношении требований, установленных в разделе 5;

- определение того, что идентификационные атрибуты соответствуют необходимому уровню подтверждения идентичности, который должен быть достигнут;

- привязку (установление связи) заявленных идентификационных атрибутов к субъекту.

     4.2 Регистрация (внесение в реестр)


Внесение в реестр представляет собой процесс, посредством которого осуществляется сбор и верификация идентификационной информации, а также ее ввод в систему управления идентификационными данными. При проектировании, реализации и эксплуатации системы подтверждения идентификационных данных следует также учитывать положения ГОСТ Р 59381, ГОСТ Р 59382, а также [1] и [2].

Процесс внесения в реестр должен фиксировать информацию, включая результат подтверждения идентичности.

     4.3 Подтверждающая информация


Подтверждающая сторона осуществляет сбор подтверждающей информации, к которой могут относиться как идентификационные атрибуты, так и вспомогательные атрибуты, как приведено в таблице 1. Подтверждающая информация может быть подмножеством информации, необходимой для получения субъектом услуг и/или мандатов.

Таблица 1 - Подтверждающая информация и атрибуты

Типы атрибутов

Объяснение

Примеры атрибутов

Идентификационные атрибуты

Один или несколько атрибутов, которые при их объединении однозначным образом идентифицируют субъекта в данном домене

Псевдоним(ы);

имя (имена);

дата рождения;

место рождения;

имя родителя при рождении;

биометрические характеристики;

адрес(а);

номер(а) телефона(ов);

адрес(а) электронной почты;

время рождения (если известно);

национальный идентификационный(е) номер(а)

Вспомогательные атрибуты

Атрибуты, способствующие подтверждению идентичности

Другие имена;

взаимоотношения и союзы;

номера для ссылок из свидетельства идентичности;

уместная информация из представленного свидетельства идентичности


Доступ к полной версии документа ограничен
Этот документ доступен в системах «Техэксперт» и «Кодекс».