ГОСТ Р ИСО 16678-2017. Национальный стандарт Российской Федерации. Система защиты от фальсификации и контрафакта. Идентификация интероперабельных объектов и связанные системы проверки подлинности для противодействия фальсификациям и незаконной торговле

4 Ключевые принципы

 

4.1 Доступность к использованию и своевременность ответа

Доступность системы к использованию и время отклика на запрос должны отвечать ожиданиям инспектора.

Время на предоставление ответа должно включать время, необходимое для проверки удостоверяющих данных. Рекомендуется, чтобы доступность системы к использованию и время отклика на запрос были указаны в соглашении об уровне обслуживания.

4.2 Достоверный источник данных

Только один достоверный источник данных должен быть связан с идентифицируемым объектом. Множество источников может ввести в заблуждение инспектора, злонамеренный поставщик услуг может скопировать источник, манипулировать им и заявить себя инспектору как один из достоверных источников данных. Должны быть поставщики услуг в рамках системы, которые имеют привилегии хранителей копий данных, но пользователям должно быть всегда известно, кто является достоверным источником данных в отношении объекта и почему копиям хранителей данных можно доверять.

4.3 Управление данными

Мастер-данные и данные транзакций следует поддерживать в актуальном состоянии. Управление данными следует осуществлять в сроки, согласованные с ожидаемым сроком жизненного цикла объекта. Должно быть принято во внимание, что нормативные требования в будущем могут быть изменены, а также учтены требования по проведению идентификации объектов с длительным сроком существования, в отношении которых при обслуживаниях, выполнении гарантийных обязательств и при испытаниях следует проводить действия по аутентификации. См. приложение B в части основных концептуальных положений об управлении мастер-данными и управлении данными транзакций.

4.4 Принцип действительной необходимости ознакомления с данными

Для создания эффективной системы любые сведения относительно состава характеристик, значений характеристик, процессов и архитектуры системы должны быть защищены и предоставлены пользователям только на основе принципа действительной необходимости ознакомления.

4.5 Защита данных

Система содержит критичные для деловых интересов участников системы данные и должна использовать лучшие практики защиты данных. В рамках проектирования и организации технической эксплуатации системы должны быть реализованы меры, которые обеспечат необходимый уровень защиты конфиденциальности, целостности, актуальности информации, содержащейся в системе.

4.6 Конфиденциальность

Любые персональные идентификационные данные должны быть защищены на основе законодательных норм и иных установленных требований, в отсутствие правового регулирования в отношении каких-либо иных видов данных следует использовать лучшие практики защиты данных.

4.7 Соблюдение установленных норм

Различные отрасли промышленности и различные страны регулируются своими нормативными документами, которые не могут быть учтены в настоящем стандарте. Любые интероперабельные системы должны быть приспособлены к тому, чтобы обеспечить соответствие особым нормативным требованиям.

4.8 Проверки

Собственники должны гарантировать, что применение ФДВ и СУДА заслуживает доверия. Они должны принимать во внимание результаты аудитов и удостоверяющие данные поставщиков и рассматривать их анализ как часть процесса выбора поставщиков. Собственники должны гарантировать, что удостоверяющие данные доступны и актуальны.

При обращении к ФДОЗ любого участника системы должно быть гарантировано, что применение системы заслуживает доверия и удостоверяющие данные участников системы актуальны.

Поставщики услуг должны проводить проверки данных потребителей, запрашивающих их услуги по контракту, для противодействия злонамеренным участникам, которые пытаются представить себя собственниками.

Проверки должны быть двунаправленными, и для достижения высокого уровня доверия участники системы должны характеризоваться удостоверяющими данными.

4.9 Интероперабельность

Интероперабельность - способность двух и более систем или служб обмениваться структурированной информацией (синтаксическая интероперабельность), автоматически ее интерпретировать (семантическая интероперабельность) и затем использовать информацию, обмен которой был произведен точно, без искажения смысла, для получения приемлемых для них результатов.

Принципы интероперабельности включают в себя:

- определение целевых групп пользователей, в том числе:

      - определение минимальных информационных потребностей пользователей;

      - определение таблицы форматов сообщений (при необходимости);

      - заключение соглашения по управлению правами доступа;

- определение правил действий с данными, в том числе:

      - заключение соглашения о собственности на данные;

      - заключение  соглашения  о  защите  данных  и  ограничениях  по   их

        пользованию;

- определение интерфейса для обмена данными, в том числе:

      - определение применяемых стандартов обмена данными;

      - определение   уровня  предоставляемых  услуг  для  гарантированного

        получения ответа.

4.10 Присвоение УИД

УИД должны присваиваться таким образом <1>, чтобы они были уникальны в домене, в котором предоставляется услуга.

--------------------------------

<1> Присвоение УИД по ГОСТ Р ИСО/МЭК 15459-3-2007, ГОСТ Р ИСО/МЭК 15459-4-2007, ГОСТ Р ИСО/МЭК 15459-6-2009.