ГОСТ ISO/IEC 24760-2-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования

Приложение A
(справочное)

Правовые и нормативные аспекты

Система управления идентификационными данными должна соблюдать правовые требования. В целом такие требования предписывают, чтобы система использовалась для заявленных и санкционированных целей. Например, предписания и законы, касающиеся корпоративного управления, телекоммуникаций, здравоохранения и борьбы с отмыванием денег, могут содержать требования, влияющие на управление идентификационными данными.

Орган управления идентификационными данными должен быть в курсе предписаний и законов, которые могут оказывать влияние на требования его системы управления идентификационными данными.

Правовые и нормативные требования, которые нужно учитывать, включают:

- идентификацию сущности, отвечающей за определение требований управления идентификационными данными;

- определение идентификационной информации и политик обращения с информацией (см. 6.2);

- определение цели, для которой разрешено использовать идентификационную информацию;

- домен(ы) применения вне исходного домена, где может использоваться конкретная идентификационная информация;

- управление жизненным циклом идентичностей (см. 6.3);

- идентификацию органа управления идентификационными данными исходного домена, где создавалась идентификационная информация (см. 5.3.2.7);

- требования подтверждения идентификационных данных (включая защиту информации, собранной в процессе подтверждения идентификационных данных) и требования сообщения в случаях, когда подтверждение идентификационных данных обнаруживает недействительную идентификационную информацию;

- идентификацию сущности, отвечающей за поддержку содержания любого реестра идентификационных данных;

- аспекты безопасности физических мандатов, в частности мандатов, предназначенных для использования при аутентификации.