ГОСТ ISO/IEC 24760-2-2021
МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ
Информационные технологии
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Основы управления идентичностью
Часть 2
Базовая архитектура и требования
Information technology. Security techniques. A framework for identity management. Part 2. Reference architecture and requirements
МКС 35.030
Дата введения 2021-11-30
Предисловие
Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Акционерным обществом "Аладдин Р.Д." (АО "Аладдин Р.Д.") и Обществом с ограниченной ответственностью "Информационно-аналитический центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"
3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 30 июня 2021 г. N 141-П)
За принятие проголосовали:
Краткое наименование страны по МК (ИСО 3166) 004-97 | Код страны по МК (ИСО 3166) 004-97 | Сокращенное наименование национального органа по стандартизации |
Армения | AM | ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения |
Беларусь | BY | Госстандарт Республики Беларусь |
Киргизия | KG | Кыргызстандарт |
Россия | RU | Росстандарт |
Узбекистан | UZ | Узстандарт |
4 Приказом Федерального агентства по техническому регулированию и метрологии от 2 июля 2021 г. N 612-ст межгосударственный стандарт ГОСТ ISO/IEC 24760-2-2021 введен в действие в качестве национального стандарта Российской Федерации с 30 ноября 2021 г.
5 Настоящий стандарт идентичен международному стандарту ISO/IEC 24760-2:2015* "Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования" ("Information technology - Security techniques - A framework for identity management - Part 2: Reference architecture and requirements", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ISO/IEC 24760-2:2015 разработан подкомитетом SC 27 "Информационная безопасность, кибербезопасность и защита конфиденциальности" Совместного технического комитета JTC 1 "Информационные технологии" Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА.
Дополнительные сноски в тексте стандарта, выделенные курсивом, приведены для пояснения текста оригинала
6 ВВЕДЕН ВПЕРВЫЕ
Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации.
В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге "Межгосударственные стандарты"
Введение
Для функционирования автоматизированных (информационных) систем необходимо собирать и формировать по установленным правилам информацию о пользователях, связанном с ними программном обеспечении или оборудовании, и принимать решения на основе данной информации. Такие решения, основанные на данных пользователей, могут касаться доступа к приложениям или другим ресурсам.
Реагируя на потребность эффективной и результативной реализации систем, принимающих основанные на идентификационных данных решения, настоящий стандарт определяет архитектуру выпуска, администрирования и использования данных, помогающих характеризовать физических лиц, организации или компоненты информационной технологии, действующие в их интересах.
Для многих организаций управление идентификационными данными является критичным для обеспечения безопасности процессов организации. Одновременно надлежащее управление важно для защиты персональных данных пользователей.
Комплекс стандартов ISO/IEC 24760 определяет основные понятия и операционные основы управления идентичностями с целью реализации управления информационными системами таким образом, чтобы информационные системы могли выполнять деловые, договорные, нормативные и правовые обязательства.
Настоящий стандарт определяет базовую архитектуру системы управления идентификационными данными, которая включает основные элементы архитектуры и их взаимосвязи. Данные элементы архитектуры описываются по отношению к моделям реализации управления идентификационными данными. Кроме того, в документе определены требования к проектированию и реализации системы управления идентификационными данными, чтобы она могла отвечать целям причастных сторон, участвующих в развертывании и эксплуатации этой системы.
Настоящий стандарт является основой для реализации других документов по стандартизации, связанных с обработкой идентификационной информации, таких как:
- ISO/IEC 29100 Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных;
- ISO/IEC 29101 Информационные технологии. Методы и средства обеспечения безопасности. Эталонная архитектура защиты персональных данных;
- ISO/IEC 29115 Информационные технологии. Методы и средства обеспечения безопасности. Основы доверия к аутентификации сущности;
- ISO/IEC 29146 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом.
1 Область применения
Настоящий стандарт:
- представляет собой руководство по реализации управления идентификационными данными;
- определяет требования для реализации и эксплуатации архитектуры управления идентификационными данными.
Настоящий стандарт применим для любой информационной системы, обрабатывающей или хранящей информацию, связанную с идентификационными данными.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:
ISO/IEC 24760-1, Information technology - Security techniques - A framework for identity management - Part 1: Terminology and concepts (Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминологии и концепции)
ISO/IEC 29115, Information technology - Security techniques - Entity authentication assurance framework (Информационные технологии. Методы и средства обеспечения безопасности. Основы доверия к аутентификации сущности)
3 Термины и определения
В настоящем стандарте применены термины по ISO/IEC 24760-1, а также следующие термины с соответствующими определениями:
3.1 документально оформленный проект (documented design): Официальное описание архитектурных (структурных), функциональных и операционных аспектов системы.
Примечания
1 Документально оформленный проект представляет собой документацию, созданную для выполнения функции руководства по реализации автоматизированной (информационной) системы.
2 Документально оформленный проект обычно включает описание конкретной архитектуры автоматизированной (информационной) системы.
3.2 орган управления идентификационными данными (identity management authority): Сущность, отвечающая за создание и обеспечение соблюдения операционных политик системы управления идентификационными данными (3.3).
Примечание - Орган управления идентификационными данными обычно поручает осуществление проектирования, реализации и развертывания системы управления идентификационными данными.
Пример - Исполнительное высшее руководство компании, развертывающее систему управления идентификационными данными в поддержку предоставляемых ею услуг.
3.3 система управления идентификационными данными (identity management system): Механизм, включающий в себя политики, процедуры, технологию и другие ресурсы для поддержки идентификационной информации, в том числе метаданных.
Примечание - Управление идентификационными данными обычно используется для осуществления идентификации или аутентификации сущностей. Оно может использоваться для поддержки других автоматических решений на основе идентификационной информации сущности, признанной в домене применения, для системы управления идентификационными данными.
3.4 субъект (principal, subject): Сущность, к которой относится идентификационная информация в системе управления идентификационными данными (3.3).
Примечание - В контексте требований защиты персональных данных понятие "субъект" относится к физическому лицу.
3.5 признание недействительности (invalidation): Процесс, осуществляемый в системе управления идентификационными данными (3.3), для обозначения определенного атрибута как недействительного для будущего использования, когда он больше не имеет силы для конкретной сущности.
Примечания
1 Признание недействительности атрибутов может быть частью обновления значений атрибутов, например, при изменении адреса.
2 Признание недействительности обычно происходит для атрибута, который определен как не имеющий больше силы, до наступления конца периода действия, ранее связанного с ним.
3 Для признания недействительности атрибутов, являющихся мандатами, обычно используется термин "аннулирование".
4 Признание недействительности, как правило, происходит сразу же после определения того, что атрибут больше не имеет силы для конкретной сущности.
3.6 регулятивный орган (regulatory body): Орган, уполномоченный законодательным, правовым нормативным актом или соглашением осуществлять надзор за функционированием систем управления идентификационными данными (3.3).
3.7 причастная сторона (stakeholder): Лицо, группа, организация или их аналоги, имеющие заинтересованность в системе.
[ISO/IEC 42010]
4 Сокращения и обозначения
В настоящем стандарте применены следующие сокращения:
ИКТ - информационно-коммуникационные технологии (Information and Communication Technology);
IMS - система управления идентификационными данными (Identity management system);
ПДн - персональные данные (Personal identifiable information).
5 Базовая архитектура
5.1 Общие сведения
В данном разделе описываются элементы архитектуры системы управления идентификационными данными и их взаимосвязи.
Документально оформленный проект архитектуры системы управления идентификационными данными должен быть основан на ISO/IEC 42010.
_______________
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно