ГОСТ Р 70262.1-2022
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ
Уровни доверия идентификации
Information protection. Identification and authentication. Identification results assurance levels
ОКС 35.030
Дата введения 2023-01-01
Предисловие
1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Закрытым акционерным обществом "Аладдин Р.Д." (ЗАО "Аладдин Р.Д.") и Обществом с ограниченной ответственностью "Научно-производственная фирма "КРИСТАЛЛ" (ООО "НПФ "КРИСТАЛЛ")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 5 августа 2022 г. N 740-ст
4 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
Одной из главных задач защиты информации при ее автоматизированной (автоматической) обработке является управление доступом. Решение о предоставлении доступа для использования информационных и вычислительных ресурсов средств вычислительной техники, а также ресурсов автоматизированных (информационных) систем основывается на результатах идентификации и аутентификации.
В автоматизированной (информационной) системе физическое лицо, являющееся пользователем, при использовании информационных и вычислительных ресурсов выполняет операции по обработке данных через вычислительные процессы, что порождает риски неоднозначного сопоставления конкретного вычислительного процесса конкретному физическому лицу и конкретному ресурсу. Устанавливая для пользователей правила управления доступом к защищаемой информации и сервисам, обеспечивающим ее обработку, необходимо учитывать не только ее конфиденциальность, но и указанные риски. Основой для их снижения является установление соответствия как между физическим лицом и вычислительными процессами, которыми оно представлено при выполнении операций, так и между вычислительными процессами и ресурсами средств вычислительной техники. Данное соответствие, как правило, устанавливается при регистрации ресурса как объекта или субъекта доступа и физического лица как пользователя (субъекта доступа), проверяется при опознавании пользователя по предъявленному идентификатору доступа и обеспечивает определенную уверенность в том, что обработка данных вычислительными процессами действительно осуществляется от имени физического лица (или ресурса), имеющего на это соответствующие права
.
_______________
Уверенность в том, что обработка данных вычислительными процессами действительно осуществляется от имени физического лица (или ресурса), имеющего на это соответствующие права, обеспечивается при условии положительного результата проверки его подлинности (аутентификации).
При подготовке настоящего стандарта учитывались нормы, определенные ГОСТ Р 58833, а также правила идентификации, установленные ГОСТ ISO/IEC 24760-2, ГОСТ Р 59515 с учетом [1], [2].
Для понимания положений настоящего стандарта необходимы знания основ информационных технологий и методов (способов) защиты информации.
1 Область применения
Настоящий стандарт устанавливает единообразную организацию процесса идентификации субъектов и объектов доступа в средствах защиты информации, средствах вычислительной техники и автоматизированных (информационных) системах, а также определяет общие правила идентификации, обеспечивающие необходимую уверенность в ее результатах.
Настоящий стандарт определяет состав участников и основное содержание процесса идентификации, рекомендуемые к реализации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. Положения настоящего стандарта могут использоваться при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.
Положения настоящего стандарта применяются совместно с документами по стандартизации, регламентирующими вопросы идентификации и аутентификации.
Настоящий стандарт предназначен для применения путем включения нормативных ссылок на него в соответствии с действующим законодательством и (или) прямого использования устанавливаемых в нем положений.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ ISO/IEC 24760-2 Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования
ГОСТ Р 50922 Защита информации. Основные термины и определения
ГОСТ Р 58833 Защита информации. Идентификация и аутентификация. Общие положения
ГОСТ Р 59515 Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности
ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:
3.1
анонимный субъект доступа; аноним: Субъект доступа, первичная идентификация которого выполнена в конкретной среде функционирования, но при этом его идентификационные данные не соответствуют требованиям к первичной идентификации или не подтверждались. [ГОСТ Р 58833-2020, пункт 3.1] |
3.2
атрибут (субъекта [объекта] доступа): Признак или свойство субъекта доступа или объекта доступа. [ГОСТ Р 58833-2020, пункт 3.2] |
3.3
аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации. [ГОСТ Р 58833-2020, пункт 3.4] |
3.4
верификация: Процесс проверки информации путем сопоставления предоставленной информации с ранее подтвержденной информацией. [ГОСТ Р 58833-2020, пункт 3.9] |
3.5 верифицирующая сторона: Сторона, которая осуществляет верификацию идентификационных данных.
3.6 вспомогательный атрибут (субъекта [объекта] доступа): Атрибут, который не является идентификационным атрибутом, но может использоваться при подтверждении идентификационных данных субъекта доступа или объекта доступа.
Примечание - Вспомогательный атрибут, как правило, используется для подтверждения существования идентификационного атрибута субъекта доступа или объекта доступа.
3.7
вторичная идентификация: Действия по проверке существования (наличия) идентификатора, предъявленного субъектом доступа при доступе, в перечне идентификаторов доступа, которые были присвоены субъектам доступа и объектам доступа при первичной идентификации. Примечание - Вторичная идентификация рассматривается применительно к конкретному субъекту доступа. [ГОСТ Р 58833-2020, пункт 3.12] |
3.8
вычислительные ресурсы: Технические средства ЭВМ, в том числе процессор, объемы оперативной и внешней памяти, время, в течение которого программа занимает эти средства в ходе выполнения. [ГОСТ 28195-89, приложение 1] |
3.9
доверие (assurance): Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности. [ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005, пункт 2.4] |
Примечание - Доверие рассматривается в качестве основания для уверенности.
3.10
доступ: Получение одной стороной информационного взаимодействия возможности использования ресурсов другой стороны информационного взаимодействия. Примечания 1 В качестве ресурсов стороны информационного взаимодействия, которые может использовать другая сторона информационного взаимодействия, рассматриваются информационные ресурсы, вычислительные ресурсы средств вычислительной техники и ресурсы автоматизированных (информационных) систем, а также средства вычислительной техники и автоматизированные (информационные) системы в целом. 2 Доступ к информации - возможность получения информации и ее использования. [ГОСТ Р 58833-2020, пункт 3.17] |
3.11
идентификатор доступа (субъекта [объекта] доступа), [идентификатор]: Признак субъекта доступа или объекта доступа в виде строки знаков (символов), который используется при идентификации и однозначно определяет (указывает) соотнесенную с ним идентификационную информацию. [ГОСТ Р 58833-2020, пункт 3.20] |
3.12
идентификационная информация: Совокупность значений идентификационных атрибутов, которая связана с конкретным субъектом доступа или конкретным объектом доступа. [ГОСТ Р 58833-2020, пункт 3.21] |
Примечание - Идентификационная информация как совокупность значений идентификационных атрибутов может быть, например, зарегистрирована в учетной записи субъекта (объекта) доступа, которая используется автоматизированной (информационной) системой.
3.13
идентификационные данные: Совокупность идентификационных атрибутов и их значений, которая связана с конкретным субъектом доступа или конкретным объектом доступа. Примечание - При первичной идентификации идентификационные данные, как правило, предоставляются субъектом доступа, ассоциированным с физическим лицом, или получаются возможным (доступным) способом от субъекта доступа, ассоциированного с ресурсом, и объекта доступа. Указанные идентификационные данные считаются идентификационными данными, заявленными субъектом (объектом) доступа (заявленными идентификационными данными). [ГОСТ Р 58833-2020, пункт 3.22] |
Примечания
1 Идентификационные данные, которые подтверждены в соответствии с устанавливаемыми требованиями к первичной идентификации, считаются подтвержденными идентификационными данными.
2 Идентификационные данные включают идентификационные атрибуты, которые могут быть неотчуждаемыми или отчуждаемыми от субъекта (объекта) доступа, и их значения, которые, как правило, являются отчуждаемыми.
3.14
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно