ГОСТ Р ИСО 16678-2017. Национальный стандарт Российской Федерации. Система защиты от фальсификации и контрафакта. Идентификация интероперабельных объектов и связанные системы проверки подлинности для противодействия фальсификациям и незаконной торговле

3 Общие положения

 

3.1 Общие требования

Преимуществом применения интероперабельных систем идентификации и аутентификации является улучшение условий для выявления фальсифицированных и контрафактных объектов за счет:

- расширения возможностей применения систем специальными группами пользователей;

- увеличения количества инспектируемых объектов;

- расширения доступа к ресурсам достоверных данных, а также

- снижения затрат на содержание систем, связанных:

      - с обучением персонала;

      - с оснащением;

      - с разработкой;

      - с развертыванием;

      - с проверками.

Как только интероперабельность достигнута и системы доступны для потребителей, инспектор может применить идентификатор для производства запроса в отношении объекта, ответ на который им будет использован при принятии решения о действиях в отношении объекта. Инспектор должен иметь подтверждения, что представленная в ответе информация является точной и заслуживающей доверия.

Действия участников системы должны выполняться в рамках своих ролей с соблюдением следующих общих требований.

Проведение инспекций и проверок поставщиков услуг следует рассматривать как изначально основанное на предположении о добросовестности их действий, а не как изначально направленное на выявление их недобросовестности и причинение им ущерба.

Проведение инспекций и проверок изготовителей следует рассматривать как изначально основанное на предположении следования ими документированным процессам и предоставления ими точной информации в системы.

Заинтересованные стороны, имеющие потребность в получении данных, должны получать соответствующие полномочия на подачу и обработку запросов, так чтобы обладатели защищаемых законом прав на объекты могли предоставлять информацию, руководствуясь социальной ответственностью.

3.2 Системы идентификации и аутентификации объектов (находящиеся в процессе применения)

3.2.1 Общие сведения

Системы идентификации и аутентификации объектов, как правило, состоят из функциональных единиц, указанных ниже на модели (рисунок 1).

 

 

Рисунок 1 - Модель инспекции объекта в системе идентификации

и аутентификации

 

Модель не содержит описания способов реализации функций. В системе может быть реализовано множество видов функций. Различные функции могут быть объединены в одну услугу.

Пример, раскрывающий применение данной модели, приведен в приложении C.

3.2.2 Функция экспертизы объекта (ФЭО)

Инспектор проводит экспертизу интересующего его объекта (например, товара, имеющего вещественную форму) с целью определения наличия у него УИД. Если УИД обнаружен, дальнейшая экспертиза может потребовать определения, какая функция (функции) доверенной обработки запросов может содержать данные об этом УИД. Функции формируют запросы, которые могут состоять только из УИД, из комбинации УИД и удостоверяющих данных инспектора или содержать другие данные физических атрибутов, включая существенные присущие объекту элементы аутентификации, которые могут уникально идентифицировать объект, например такие, как цифровое изображение. Функция экспертизы объекта включает принятие решения о направлении запроса в одну или более ФДОЗ. Когда процесс повторяется, ФЭО может оценить ответ и на предыдущий запрос.

3.2.3 Функция доверенной обработки запросов

ФДОЗ маршрутизирует информацию между другими функциями в соответствии с установленными правилами. ФДОЗ может исследовать удостоверяющие данные, полученные от подающих запросы участников системы, на соответствие установленным правилам. ФДОЗ может быть распределена по нескольким услугам.

Например, ФДОЗ может маршрутизировать запрос, сформированный ФЭО к соответствующей ФДВ. ФДОЗ может комбинировать ответ по верификации или аутентификации от ФДВ при любых удостоверяющих данных инспектора для формирования запроса в СУДА.

3.2.4 Функция доверенной верификации

ФДВ проверяет существование УИД в домене. ФДВ должна проверить удостоверяющие данные от запрашивающей ФДОЗ. ФДВ должна обеспечивать соблюдение привилегий доступа на основе установленных правил. Она может ответить источнику запроса сама или через одну или более ФДОЗ. Ответ обычно включает информацию по верификации УИД (является или не является УИД действующим). ФДВ может также генерировать предупреждения об опасности для заинтересованных участников системы. ФДВ должна защищать конфиденциальные данные от несанкционированного доступа.

ФДВ может также выполнять процедуры или алгоритмы аутентификации в отношении полученной информации (данных).

3.2.5 Система управления данными атрибутов

СУДА является достоверным источником мастер-данных об объекте. Для каждого атрибута объекта должна быть только одна запись мастер-данных. Если существует множество экземпляров записей данных атрибутов, только одна запись должна считаться мастер-данными, а все остальные - вторичными данными. Различные атрибуты объектов могут находиться в различных базах данных. Множество баз данных может находиться в раздельных зонах среды.

СУДА получает ответ (через ФДОЗ) от ФДВ. СУДА проверяет удостоверяющие данные от запрашивающей ФДОЗ и удостоверяющие данные от инспектора. Привилегии доступа должны быть основаны на удостоверяющих данных и установленных правилах.

СУДА получает ответ (через ФДОЗ) из ФДВ. СУДА проверяет как удостоверяющие данные запрашивающей ФДОЗ, так и удостоверяющие данные инспектора. Привилегии допуска должны быть основаны на удостоверяющих данных и установленных правилах. СУДА отвечает, используя выбранные данные, связанные с запросом и отфильтрованные в соответствии с установленными правилами. Ответ может содержать готовые данные, отвечающие на все вопросы инспектора, или может содержать информацию, как получить эти данные. Если ответ содержит дополнительные указания, инспектор принимает решения о необходимости дополнительных действий и отправке дополнительного запроса.

Атрибуты, содержащиеся в СУДА, могут включать информацию о том, как аутентифицировать объект или как провести исследование.

СУДА должна обеспечивать защиту конфиденциальных данных от несанкционированного доступа.

3.2.6 Функция форматирования ответов

Функция преобразует ответы СУДА в установленный формат.

В некоторых случаях процесс экспертизы может быть повторен исходя из результатов, представленных СУДА, или основываясь на архитектуре системы.

3.3 Системы идентификации и аутентификации объекта (находящиеся в процессе формирования)

Перед началом применения системы должны быть установлены правила функционирования системы, определены содержащиеся в системе данные и отношения между данными.

На рисунке 2 показан вариант конфигурации формируемой системы.

 

 

Рисунок 2 - Конфигурирование системы при ее формировании

 

3.3.1 Полномочия собственников

Собственники объектов определяют правила в отношении того, кто, как, где и когда получает права доступа к данным атрибутов объектов. Собственники также выбирают поставщиков услуг, которые применяют функциональные блоки системы и предоставляют доступ к данным и определяют бизнес-правила для различных поставщиков.

3.3.2 Функция присвоения УИД

Функция присвоения УИД должна гарантировать уникальность УИД в домене применения услуг. УИД может присваиваться по установленному формату или с применением функции, в соответствии с которой в состав УИД могут быть включены определенные данные атрибутов объекта.

Функция также содержит правила верификации, которые ФДВ использует, когда производит действия в отношении конкретного УИД, содержащегося в запросе.

3.3.3 Информация об объекте

Информация об объекте содержится в виде совокупности данных атрибутов объекта или в виде указателей (ссылок) на данные атрибутов объекта.

3.3.4 Правила верификации УИД

Алгоритмы и процедуры, которые позволяют ФДВ определять действительность УИД в рамках домена, могут включать алгоритмы и процессы, которые позволяют провести аутентификацию. Они могут включать также анализ перечня сформированных УИД.

3.3.5 Установление физической идентичности

Установление связи между УИД и объектом может быть осуществлено путем регистрации в системе присвоенного УИД.

3.3.6 Данные атрибутов объекта

Данные атрибутов объекта включают атрибуты, достаточные для идентификации объекта или группы объектов. Собственник может включать дополнительные атрибуты по своему усмотрению.

3.3.7 Правила управления данными

Политика, относящаяся к защите и раскрытию данных атрибутов объектов, включает определение (перечень не является исчерпывающим):

- прав доступа, включая в себя:

        - требования к предоставлению привилегий в уровнях доступа;

        - установление уровней доступа для видов атрибутов;

        - установление уровней защиты данных атрибутов;

- ролей пользователя (инспектора);

- правил ответов на стандартные запросы, включая в себя:

        - бизнес-правила раскрытия данных по запросу;

        - формы  ответов на запросы  (например,  форма  ответа,  когда  УИД

          является недействительным);

        - правила ответов на запросы в рамках  привилегированного доступа и

          непривилегированного доступа.

3.3.8 Правила обработки запросов

К правилам обработки запросов относятся правила, которые позволяют функциям:

- маршрутизировать запрос или ответ для соответствующей функции,

- верифицировать, поступил ли запрос от участника, имеющего установленные полномочия запрашивать, или требуется разрешение на запрос;

- верифицировать, является ли линия коммуникаций, по которой поступил запрос, установленной для этого или одной из разрешенных к применению.