ГОСТ Р 58833-2020. Национальный стандарт Российской Федерации. Защита информации. Идентификация и аутентификация. Общие положения
7 Уровни доверия к результатам идентификации и аутентификации
7.1 Уровень доверия к результатам идентификации определяет достигнутую уверенность в том, что субъект (объект) доступа действительно соответствует зарегистрированной идентификационной информации.
Примечание - Уровень доверия к результатам идентификации для объекта доступа определяет уверенность, достигнутую при первичной идентификации объекта доступа. Уровень доверия к результатам идентификации для субъекта доступа определяет уверенность, достигнутую при первичной идентификации, и зависит от результатов его вторичной идентификации.
Устанавливаются три уровня доверия к результатам идентификации:
- низкий уровень доверия. На низком уровне доверия к результатам идентификации имеется некоторая уверенность в том, что субъект доступа, зарегистрированный в процессе первичной идентификации и успешно прошедший вторичную идентификацию, действительно соответствует идентификационной информации, которая однозначно определяется предъявленным идентификатором доступа;
- средний уровень доверия. На среднем уровне доверия к результатам идентификации появляется умеренная уверенность в том, что субъект доступа, зарегистрированный в процессе первичной идентификации и успешно прошедший вторичную идентификацию, действительно соответствует идентификационной информации, которая однозначно определяется предъявленным идентификатором доступа;
- высокий уровень доверия. На высоком уровне доверия к результатам идентификации существует значительная уверенность в том, что субъект доступа, зарегистрированный в процессе первичной идентификации и успешно прошедший вторичную идентификацию, действительно соответствует идентификационной информации, которая однозначно определяется предъявленным идентификатором доступа.
Если субъект доступа идентифицирован как анонимный субъект доступа (аноним), то нет никакой уверенности в том, что он действительно соответствует зарегистрированной идентификационной информации, которая определяется предъявленным идентификатором доступа.
Общая характеристика уровней доверия к результатам идентификации приведена в приложении Г (таблица Г.1).
7.2 Уровень доверия к результатам аутентификации определяет достигнутую уверенность в том, что субъект доступа действительно является тем зарегистрированным субъектом доступа, за кого себя выдает предъявленным идентификатором доступа.
Уровень доверия к результатам аутентификации зависит от вида аутентификации при условии соблюдения корректности реализации соответствующих методов и протоколов аутентификации.
Устанавливаются три уровня доверия к результатам аутентификации:
- низкий уровень доверия. При использовании простой аутентификации достигается низкий уровень доверия, то есть имеется некоторая уверенность в том, что субъект доступа действительно является тем зарегистрированным субъектом доступа, за кого себя выдает предъявленным идентификатором доступа;
- средний уровень доверия. При использовании усиленной аутентификации достигается средний уровень доверия, то есть появляется умеренная уверенность в том, что субъект доступа действительно является тем зарегистрированным субъектом доступа, за кого себя выдает предъявленным идентификатором доступа;
- высокий уровень доверия. При использовании строгой аутентификации достигается высокий уровень доверия, то есть существует значительная уверенность в том, что и субъект доступа, и объект доступа действительно являются теми зарегистрированными субъектами (объектами) доступа, за кого себя выдает предъявленным идентификатором каждый из них.
При аутентификации анонимного субъекта доступа (анонимной аутентификации) уровень доверия к результатам аутентификации определяется используемым видом аутентификации, но при этом нет никакой уверенности в том, что субъект доступа действительно является тем, за кого себя выдает предъявленным идентификатором доступа.
Общая характеристика уровней доверия к результатам аутентификации приведена в приложении Г (таблица Г.2).
7.3 Уровень доверия к результатам идентификации и аутентификации определяется уровнем доверия к результатам идентификации и уровнем доверия к результатам аутентификации (см. таблицу 1).
Таблица 1
Определение уровня доверия к результатам идентификации
и аутентификации
Уровень доверия к результатам аутентификации | Уровень доверия к результатам идентификации | ||
низкий уровень доверия к результатам идентификации | средний уровень доверия к результатам идентификации | высокий уровень доверия к результатам идентификации | |
Низкий уровень доверия к результатам аутентификации | Низкий уровень доверия | Низкий уровень доверия | Низкий уровень доверия |
Средний уровень доверия к результатам аутентификации | Низкий уровень доверия | Средний уровень доверия | Средний уровень доверия |
Высокий уровень доверия к результатам аутентификации | Низкий уровень доверия | Средний уровень доверия | Высокий уровень доверия |
Уровень доверия к результатам идентификации и аутентификации, который должен быть достигнут в конкретной среде функционирования, должен устанавливаться в соответствии с нормативными правовыми документами и/или на основе результатов анализа рисков информационной безопасности, выполняемого в соответствии с ГОСТ Р ИСО/МЭК 27005.
Подписаться на обновления