Не вступил в силу
Профессиональные справочные системы для специалистов
медицинской и фармацевтической промышленности

ГОСТ ISO/IEC 24760-2-2021



МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ

Информационные технологии

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Основы управления идентичностью

Часть 2

Базовая архитектура и требования

Information technology. Security techniques. A framework for identity management. Part 2. Reference architecture and requirements



МКС 35.030

Дата введения 2021-11-30



Предисловие


Цели, основные принципы и общие правила проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0 "Межгосударственная система стандартизации. Основные положения" и ГОСТ 1.2 "Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, обновления и отмены"

Сведения о стандарте

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Акционерным обществом "Аладдин Р.Д." (АО "Аладдин Р.Д.") и Обществом с ограниченной ответственностью "Информационно-аналитический центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 5

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 30 июня 2021 г. N 141-П)

За принятие проголосовали:

Краткое наименование страны по МК (ИСО 3166) 004-97

Код страны по МК (ИСО 3166) 004-97

Сокращенное наименование национального органа по стандартизации

Армения

AM

ЗАО "Национальный орган по стандартизации и метрологии" Республики Армения

Беларусь

BY

Госстандарт Республики Беларусь

Киргизия

KG

Кыргызстандарт

Россия

RU

Росстандарт

Узбекистан

UZ

Узстандарт

4 Приказом Федерального агентства по техническому регулированию и метрологии от 2 июля 2021 г. N 612-ст межгосударственный стандарт ГОСТ ISO/IEC 24760-2-2021 введен в действие в качестве национального стандарта Российской Федерации с 30 ноября 2021 г.

5 Настоящий стандарт идентичен международному стандарту ISO/IEC 24760-2:2015* "Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования" ("Information technology - Security techniques - A framework for identity management - Part 2: Reference architecture and requirements", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ISO/IEC 24760-2:2015 разработан подкомитетом SC 27 "Информационная безопасность, кибербезопасность и защита конфиденциальности" Совместного технического комитета JTC 1 "Информационные технологии" Международной организации по стандартизации (ISO) и Международной электротехнической комиссии (IEC).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА.

Дополнительные сноски в тексте стандарта, выделенные курсивом, приведены для пояснения текста оригинала

6 ВВЕДЕН ВПЕРВЫЕ

Информация о введении в действие (прекращении действия) настоящего стандарта и изменений к нему на территории указанных выше государств публикуется в указателях национальных стандартов, издаваемых в этих государствах, а также в сети Интернет на сайтах соответствующих национальных органов по стандартизации.

В случае пересмотра, изменения или отмены настоящего стандарта соответствующая информация будет опубликована на официальном интернет-сайте Межгосударственного совета по стандартизации, метрологии и сертификации в каталоге "Межгосударственные стандарты"

Введение


Для функционирования автоматизированных (информационных) систем необходимо собирать и формировать по установленным правилам информацию о пользователях, связанном с ними программном обеспечении или оборудовании, и принимать решения на основе данной информации. Такие решения, основанные на данных пользователей, могут касаться доступа к приложениям или другим ресурсам.

Реагируя на потребность эффективной и результативной реализации систем, принимающих основанные на идентификационных данных решения, настоящий стандарт определяет архитектуру выпуска, администрирования и использования данных, помогающих характеризовать физических лиц, организации или компоненты информационной технологии, действующие в их интересах.

Для многих организаций управление идентификационными данными является критичным для обеспечения безопасности процессов организации. Одновременно надлежащее управление важно для защиты персональных данных пользователей.

Комплекс стандартов ISO/IEC 24760 определяет основные понятия и операционные основы управления идентичностями с целью реализации управления информационными системами таким образом, чтобы информационные системы могли выполнять деловые, договорные, нормативные и правовые обязательства.

Настоящий стандарт определяет базовую архитектуру системы управления идентификационными данными, которая включает основные элементы архитектуры и их взаимосвязи. Данные элементы архитектуры описываются по отношению к моделям реализации управления идентификационными данными. Кроме того, в документе определены требования к проектированию и реализации системы управления идентификационными данными, чтобы она могла отвечать целям причастных сторон, участвующих в развертывании и эксплуатации этой системы.

Настоящий стандарт является основой для реализации других документов по стандартизации, связанных с обработкой идентификационной информации, таких как:

- ISO/IEC 29100 Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных;

- ISO/IEC 29101 Информационные технологии. Методы и средства обеспечения безопасности. Эталонная архитектура защиты персональных данных;

- ISO/IEC 29115 Информационные технологии. Методы и средства обеспечения безопасности. Основы доверия к аутентификации сущности;

- ISO/IEC 29146 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом.

     1 Область применения


Настоящий стандарт:

- представляет собой руководство по реализации управления идентификационными данными;

- определяет требования для реализации и эксплуатации архитектуры управления идентификационными данными.

Настоящий стандарт применим для любой информационной системы, обрабатывающей или хранящей информацию, связанную с идентификационными данными.

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:

ISO/IEC 24760-1, Information technology - Security techniques - A framework for identity management - Part 1: Terminology and concepts (Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминологии и концепции)

ISO/IEC 29115, Information technology - Security techniques - Entity authentication assurance framework (Информационные технологии. Методы и средства обеспечения безопасности. Основы доверия к аутентификации сущности)

     3 Термины и определения


В настоящем стандарте применены термины по ISO/IEC 24760-1, а также следующие термины с соответствующими определениями:

3.1 документально оформленный проект (documented design): Официальное описание архитектурных (структурных), функциональных и операционных аспектов системы.

Примечания

1 Документально оформленный проект представляет собой документацию, созданную для выполнения функции руководства по реализации автоматизированной (информационной) системы.

2 Документально оформленный проект обычно включает описание конкретной архитектуры автоматизированной (информационной) системы.

3.2 орган управления идентификационными данными (identity management authority): Сущность, отвечающая за создание и обеспечение соблюдения операционных политик системы управления идентификационными данными (3.3).

Примечание - Орган управления идентификационными данными обычно поручает осуществление проектирования, реализации и развертывания системы управления идентификационными данными.

Пример - Исполнительное высшее руководство компании, развертывающее систему управления идентификационными данными в поддержку предоставляемых ею услуг.

3.3 система управления идентификационными данными (identity management system): Механизм, включающий в себя политики, процедуры, технологию и другие ресурсы для поддержки идентификационной информации, в том числе метаданных.

Примечание - Управление идентификационными данными обычно используется для осуществления идентификации или аутентификации сущностей. Оно может использоваться для поддержки других автоматических решений на основе идентификационной информации сущности, признанной в домене применения, для системы управления идентификационными данными.

3.4 субъект (principal, subject): Сущность, к которой относится идентификационная информация в системе управления идентификационными данными (3.3).

Примечание - В контексте требований защиты персональных данных понятие "субъект" относится к физическому лицу.

3.5 признание недействительности (invalidation): Процесс, осуществляемый в системе управления идентификационными данными (3.3), для обозначения определенного атрибута как недействительного для будущего использования, когда он больше не имеет силы для конкретной сущности.

Примечания

1 Признание недействительности атрибутов может быть частью обновления значений атрибутов, например, при изменении адреса.

2 Признание недействительности обычно происходит для атрибута, который определен как не имеющий больше силы, до наступления конца периода действия, ранее связанного с ним.

3 Для признания недействительности атрибутов, являющихся мандатами, обычно используется термин "аннулирование".

4 Признание недействительности, как правило, происходит сразу же после определения того, что атрибут больше не имеет силы для конкретной сущности.

3.6 регулятивный орган (regulatory body): Орган, уполномоченный законодательным, правовым нормативным актом или соглашением осуществлять надзор за функционированием систем управления идентификационными данными (3.3).

3.7 причастная сторона (stakeholder): Лицо, группа, организация или их аналоги, имеющие заинтересованность в системе.

[ISO/IEC 42010]

     4 Сокращения и обозначения


В настоящем стандарте применены следующие сокращения:

ИКТ - информационно-коммуникационные технологии (Information and Communication Technology);

IMS - система управления идентификационными данными (Identity management system);

ПДн - персональные данные (Personal identifiable information).

     5 Базовая архитектура

     5.1 Общие сведения


В данном разделе описываются элементы архитектуры системы управления идентификационными данными и их взаимосвязи.

Документально оформленный проект архитектуры системы управления идентификационными данными должен быть основан на ISO/IEC 42010.

_______________

Доступ к полной версии документа ограничен
Этот документ доступен в системах «Техэксперт» и «Кодекс».