ГОСТ ISO/IEC 24760-2-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования

     5.3 Контекстное представление

5.3.1 Причастные стороны

5.3.1.1 Общие сведения

В настоящем стандарте признаются следующие прямые и косвенные причастные стороны [стороны обмена идентификационными данными], имеющие первостепенную значимость:

- субъект;

- орган управления идентификационными данными;

- орган идентификационной информации;

- полагающаяся сторона;

- регулятивный орган;

- аудитор;

- представитель или защитник субъектов персональных данных.

Каждая причастная сторона выполняет отдельную функцию в системе управления идентификационными данными. Эти функции подразумевают конкретные обязанности и ответственность. За исключением регулятивных органов и представителей субъектов, причастные стороны взаимодействуют с системой управления идентификационными данными и, соответственно, присутствуют в базовой архитектуре в качестве действующих субъектов (см. 5.3.2).

Вопросы, имеющие отношение к причастным сторонам в управления идентификационными данными, описываются в дальнейших подразделах и должны рассматриваться при проектировании, реализации и эксплуатации системы.

5.3.1.2 Субъект

Проблемные вопросы, имеющие отношение к субъекту в системе управления идентификационными данными, включают в себя:

- правильность собираемой, обрабатываемой и хранимой идентификационной информации;

- обеспечение защиты персональных данных;

- сведение к минимуму идентификационной информации, собираемой, обрабатываемой и хранимой системой управления идентификационными данными;

- сведение к минимуму использования идентификационной информации системой управления идентификационными данными в домене ее применения;

- ошибки идентификации, включая ошибочный отказ в доступе и ошибочное предоставление доступа, а также обнаружение и обработка ошибок;

- осведомленность об обмене идентификационной информацией с третьими сторонами и предоставление согласия на него;

- правильное представление собираемой, обрабатываемой или хранимой идентификационной информации;

- корректность операций предоставления услуг и доступа к предоставляемым ресурсам на основе атрибутов, представленных в конкретной ситуации;

- сбор, обработка и хранение идентификационной информации происходят только при наличии его осознанного согласия;

- беспристрастная трактовка его взаимодействий с системой;

- легко понятный, эффективный и соответствующий пользовательский интерфейс.

Примечание - Относящиеся к субъекту вопросы, связанные с услугами третьих сторон с использованием идентификационной информации, полученной из системы управления идентификационными данными, не являются вопросами, относящимися к системе управления идентификационными данными, и, соответственно, выходят за рамки сферы рассмотрения настоящего стандарта.

5.3.1.3 Орган управления идентификационными данными

Проблемные вопросы, имеющие отношение к органу управления идентификационными данными в системе управления идентификационными данными, включают следующее: