ГОСТ Р 58833-2020. Национальный стандарт Российской Федерации. Защита информации. Идентификация и аутентификация. Общие положения

3 Термины и определения

 

В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:

3.1 анонимный субъект доступа (аноним): Субъект доступа, первичная идентификация которого выполнена в конкретной среде функционирования, но при этом его идентификационные данные не соответствуют требованиям к первичной идентификации или не подтверждались.

3.2 атрибут субъекта (объекта) доступа [атрибут]: Признак или свойство субъекта доступа или объекта доступа.

3.3 аутентификационная информация: Информация, используемая при аутентификации субъекта доступа или объекта доступа.

3.4

 

аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации. [Адаптировано из [1], статья 3.3.8]

Примечание - Аутентификация рассматривается применительно к конкретному субъекту доступа и/или конкретному объекту доступа.

 

3.5 аутентификация анонимного субъекта доступа, анонимная аутентификация: Аутентификация, используемая для подтверждения подлинности анонимного субъекта доступа.

3.6

 

биометрические персональные данные: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. [[2], статья 11]

3.7 верификатор идентификации: Доверенный объект, выполняющий вторичную идентификацию субъекта доступа при доступе.

3.8 верификатор аутентификации: Доверенный объект, выполняющий аутентификацию субъекта доступа при доступе.

3.9 верификация: Процесс проверки информации путем сопоставления предоставленной информации с ранее подтвержденной информацией.

3.10 взаимная аутентификация: Обоюдная аутентификация, обеспечивающая для каждого из участников процесса аутентификации, и субъекту доступа, и объекту доступа, уверенность в том, что другой участник процесса аутентификации является тем, за кого себя выдает.

3.11

 

виртуальный: Определение, характеризующее процесс или устройство в системе обработки информации кажущихся реально существующими, поскольку все их функции реализуются какими-либо другими средствами. [ГОСТ 33707-2016, статья 4.151]

3.12 вторичная идентификация: Действия по проверке существования (наличия) идентификатора, предъявленного субъектом доступа при доступе, в перечне идентификаторов доступа, которые были присвоены субъектам доступа и объектам доступа при первичной идентификации.

Примечание - Вторичная идентификация рассматривается применительно к конкретному субъекту доступа.

 

3.13

 

вычислительные ресурсы: Технические средства ЭВМ, в том числе процессор, объемы оперативной и внешней памяти, время, в течение которого программа занимает эти средства в ходе выполнения. [ГОСТ 28195-89, приложение 1]

3.14 доверенный объект: Объект, который будет действовать в полном соответствии с ожиданиями и субъекта доступа, и объекта доступа или любого из них, при этом выполняя то, что он должен делать, и не выполняя то, что он не должен делать.

Примечание - Адаптировано из [3].

 

3.15 доверенная третья сторона: Участник процесса аутентификации, предоставляющий один или более сервисов в области защиты информации, которому доверяют другие участники процесса аутентификации как поставщику данных услуг.

Примечания

1 При аутентификации доверенной третьей стороне доверяют и субъект доступа и объект доступа.

2 В качестве доверенной третьей стороны могут рассматриваться: организация (например, осуществляющая функции удостоверяющего центра), администратор автоматизированной (информационной) системы, устройство.

3 Доверенная третья сторона является доверенным объектом.

 

3.16

 

доверие (assurance): Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности. [ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005, пункт 2.4]

Примечание - Результаты, получаемые в рамках обеспечения доверия, рассматриваются в качестве оснований для уверенности.

 

3.17 доступ: Получение одной стороной информационного взаимодействия возможности использования ресурсов другой стороны информационного взаимодействия.

Примечания

1 В качестве ресурсов стороны информационного взаимодействия, которые может использовать другая сторона информационного взаимодействия, рассматриваются информационные ресурсы, вычислительные ресурсы средств вычислительной техники и ресурсы автоматизированных (информационных) систем, а также средства вычислительной техники и автоматизированные (информационные) системы в целом.

2 Доступ к информации - возможность получения информации и ее использования (см. [4]).

 

3.18 закрытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который должен быть использован только этим объектом.

Примечания

1 Адаптировано из [5].

2 Закрытый ключ не является общедоступным (см. [5]).

3 Ключ электронной подписи является примером закрытого ключа (см. [6]).

 

3.19 закрытый ключ неизвлекаемый: Закрытый ключ, который при его формировании и хранении невозможно извлечь из устройства аутентификации, в котором он был создан.

Примечание - Неизвлекаемость закрытого ключа заключается в отсутствии возможности его извлечения из устройства аутентификации, в котором он был создан, штатными средствами, предоставляемыми данным устройством аутентификации. Неизвлекаемость закрытого ключа в устройствах аутентификации, как правило, обеспечивается применяемыми схемотехническими решениями и гарантируется производителями устройств.

 

3.20 идентификатор доступа [субъекта (объекта) доступа], [идентификатор]: Признак субъекта доступа или объекта доступа в виде строки знаков (символов), который используется при идентификации и однозначно определяет (указывает) соотнесенную с ними идентификационную информацию.

3.21 идентификационная информация: Совокупность значений идентификационных атрибутов, которая связана с конкретным субъектом доступа или конкретным объектом доступа.

3.22 идентификационные данные: Совокупность идентификационных атрибутов и их значений, которая связана с конкретным субъектом доступа или конкретным объектом доступа.

Примечание - При первичной идентификации идентификационные данные, как правило, предоставляются субъектом доступа, ассоциированным с физическим лицом, или получаются возможным (доступным) способом от субъекта доступа, ассоциированного с ресурсом, и объекта доступа. Указанные идентификационные данные считаются идентификационными данными, заявленными субъектом (объектом) доступа (заявленными идентификационными данными).

 

3.23 идентификационный атрибут: Атрибут, который характеризует субъект доступа или объект доступа и может быть использован для его распознавания.

3.24

 

идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов. [[1], статья 3.3.9]

3.25

 

информационные ресурсы: Отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). [ГОСТ Р 43.0.2-2006, статья 11]

3.26

 

ключ (key): Изменяемый параметр в виде последовательности символов, определяющий криптографическое преобразование. [ГОСТ Р 34.12-2015, пункт 2.1.8]

3.27 метод аутентификации: Реализуемое при аутентификации предопределенное сочетание факторов, организации обмена и обработки аутентификационной информации, а также соответствующих данному сочетанию протоколов аутентификации.

3.28

 

метод обеспечения доверия (assurance method): Общепризнанная спецификация получения воспроизводимых результатов обеспечения доверия. [ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005, пункт 2.11]

3.29 многофакторная аутентификация: Аутентификация, при выполнении которой используется не менее двух различных факторов аутентификации.

3.30 многошаговая идентификация и аутентификация: Идентификация и аутентификация, осуществляемая при доступе субъекта доступа к объекту доступа и состоящая из последовательности процессов ("шагов") идентификации и аутентификации.

Примечания

1 В рамках последовательности процессов ("шагов") идентификации и аутентификации осуществляется вторичная идентификация субъекта доступа.

2 В рамках последовательности процессов ("шагов") идентификации и аутентификации могут использоваться различные или одинаковые виды аутентификации: простая аутентификация, усиленная аутентификация, строгая аутентификация.

 

3.31

 

несанкционированный доступ: Доступ субъекта доступа к объекту доступа, нарушающий правила управления доступом. [Адаптировано из [1], статья 3.2.10]

3.32

 

обладатель информации: Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. [[4], статья 2]

3.33 объект доступа: Одна из сторон информационного взаимодействия, предоставляющая доступ.

3.34

 

объективное свидетельство: Данные, подтверждающие наличие или истинность чего-либо. Примечание - Объективное свидетельство может быть получено путем наблюдения, измерения, испытания или другим способом.   [Адаптировано из ГОСТ Р ИСО 9000-2015, пункт 3.8.3].

3.35 одноразовый пароль: Однократно используемый пароль.

Примечание - Возможность использования для аутентификации одноразового пароля прекращается (исключается) при наступлении события получения доступа субъектом доступа или события отказа субъектом доступа и получения доступа, или события отказа объектом доступа в предоставлении доступа.

 

3.36 односторонняя аутентификация: Аутентификация, обеспечивающая только лишь для одного из участников процесса аутентификации (объекта доступа) уверенность в том, что другой участник процесса аутентификации (субъект доступа) является тем, за кого себя выдает предъявленным идентификатором доступа.

3.37 однофакторная аутентификация: Аутентификация, при выполнении которой используется один фактор аутентификации.

3.38

 

оператор автоматизированной (информационной) системы, оператор: Физическое или юридическое лицо, осуществляющие деятельность по эксплуатации автоматизированной (информационной) системы, в том числе по обработке информации, содержащейся в ее базах данных. [Адаптировано из [4], статья 2]

3.39 открытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который может быть общедоступным.

Примечания

1 Адаптировано из [5].

2 Ключ проверки электронной подписи является примером открытого ключа (см. [6]).

 

3.40

 

пароль: Конфиденциальная аутентификационная информация, обычно состоящая из строки знаков. [ГОСТ Р ИСО 7498-2-99, пункт 3.3.39]

3.41 первичная идентификация: Действия по формированию и регистрации информации о субъекте доступа или объекте доступа, а также действия по присвоению идентификатора доступа субъекту доступа или объекту доступа и его регистрации в перечне присвоенных идентификаторов доступа.

Примечание - Первичная идентификация рассматривается применительно к конкретному субъекту доступа и/или конкретному объекту доступа.

 

3.42

 

подлинность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичен заявленному. [ГОСТ Р ИСО/МЭК 27000-2012, пункт 2.6]

3.43 подтверждающая информация: Информация, собранная и использованная для подтверждения идентификационных данных в соответствии с установленными требованиям к первичной идентификации.

3.44 пользователь: Физическое лицо, первичная идентификация которого выполнена в конкретной среде функционирования.

Примечание - Например, пользователем автоматизированной (информационной) системы является физическое лицо, первичная идентификация которого выполнена в конкретной автоматизированной (информационной) системе. После успешной вторичной идентификации и аутентификации пользователь (вычислительный процесс от его имени) получает доступ к ресурсам автоматизированной (информационной) системы для их использования.

 

3.45

 

правила управления доступом: Правила, регламентирующие условия доступа субъектов доступа к объектам доступа на основе прав доступа. [Адаптировано из [1], статья 3.3.7]

Примечания

1 Права доступа субъектов доступа определяют перечень возможных действий, которые субъекты доступа могут выполнять над объектами доступа в конкретной среде функционирования.

2 Условия доступа определяют перечень действующих прав доступа субъектов доступа (перечень разрешенных и запрещенных действий субъектов доступа над объектами доступа), в конкретной среде функционирования.

3 Правила управления доступом могут устанавливаться нормативными правовыми актами, обладателем информации или оператором.

 

3.46 простая аутентификация: Аутентификация с применением метода однофакторной односторонней аутентификации и соответствующих данному методу протоколов аутентификации.

3.47 протокол аутентификации: Протокол, позволяющий участникам процесса аутентификации осуществлять аутентификацию.

Примечание - Протокол реализует алгоритм (правила), в рамках которого субъект доступа и объект доступа последовательно выполняют определенные действия и обмениваются сообщениями.

 

3.48

 

процесс (process): Совокупность взаимосвязанных и/или взаимодействующих видов деятельности, использующих входы для получения намеченного результата. [ГОСТ Р ИСО 9000-2015, пункт 3.4.1]

3.49

 

ресурсы (информационной системы): Средства, использующиеся в информационной системе, привлекаемые для обработки информации (например, информационные, программные, технические, лингвистические). [[7], пункт А.20]

3.50

 

санкционирование доступа, авторизация: Предоставление субъекту доступа прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом. [Адаптировано из [7], статья 3.5.10]

Примечание - Положительный результат идентификации и аутентификации является одним из оснований для авторизации субъекта доступа.

 

3.51 санкционированный доступ: Доступ субъекта доступа к объекту доступа, не нарушающий правила управления доступом.

3.52 свидетельство идентичности [свидетельство]: Объективное свидетельство, обеспечивающее в том, что идентификационные данные действительно соответствуют (принадлежат) субъекту доступа или объекту доступа, который их заявил.

Примечание - В качестве свидетельств идентичности могут рассматриваться, например, результаты верификации заявленных идентификационных данных, документальные подтверждения (официальные документы), представленные субъектом доступа, а также другая подтверждающая информация.

 

3.53 среда функционирования: Среда с предопределенными (установленными) граничными условиями, в которой существуют (функционируют) и взаимодействуют субъекты доступа и объекты доступа.

Примечания

1 Область действия правил управления доступом рассматривается как граничное условие среды функционирования.

2 Граничные условия среды функционирования могут определяться, например, нормативными правовыми документами, обладателем информации или оператором.

 

3.54 строгая аутентификация: Аутентификация с применением только метода многофакторной взаимной аутентификации и использованием криптографических протоколов аутентификации.

3.55 субъект доступа: Одна из сторон информационного взаимодействия, которая инициирует получение и получает доступ.

Примечание - Субъектами доступа могут являться как физические лица (пользователи), так и ресурсы стороны информационного взаимодействия, а также вычислительные процессы, инициирующие получение и получающие доступ от их имени.

 

3.56

 

уверенность (confidence): Убежденность в том, что оцениваемый объект будет функционировать в соответствии с заданным или установленным порядком (то есть корректно, надежно, эффективно, в соответствии с политикой безопасности). [ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005, пункт 2.18]

3.57

 

управление доступом: Предоставление санкционированного и предотвращение несанкционированного доступа. [Адаптировано из ГОСТ Р ИСО/МЭК ТО 10032-2007, пункт 2.1]

3.58

 

уровень доверия (assurance level): Степень доверия, соответствующая специальной шкале, применяемой в методе обеспечения доверия. Примечания 1 Уровень доверия не измеряется количественными показателями. 2 Степень доверия обычно определяется усилиями, затраченными на выполнение определенных действий.   [ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005, пункт 2.10]

3.59 усиленная аутентификация: Аутентификация с применением метода многофакторной односторонней или взаимной аутентификации и соответствующих данному методу протоколов аутентификации.

3.60

 

устройство аутентификации: Техническое (аппаратное) или виртуальное устройство, содержащее информацию о его обладателе, которая может использоваться при идентификации и/или аутентификации. [Адаптировано из ГОСТ Р ИСО/МЭК 24713-2-2011, пункт 4.31].

3.61 фактор: Вид (форма) существования информации, используемой при идентификации и аутентификации.

Примечание - Допускается уточнять термин сообразно его конкретному использованию. Например, применительно к аутентификации допускается использовать термин "фактор аутентификации".

 

3.62 электронное удостоверение: Совокупность идентификационной информации и аутентификационной информации (или прямого указания ее существования) субъекта доступа или объекта доступа, подлинность которой подтверждена доверенной третьей стороной.

Примечания

1 Электронное удостоверение может выпускаться доверенной третьей стороной с возможностью проверки его действительности (см. [8]) на момент предоставления доступа конкретному субъекту доступа к конкретному объекту доступа.

2 Электронное удостоверение может представлять собой: в простейшем случае идентификатор доступа и пароль; в других случаях - совокупность идентификатора доступа, открытого ключа и другой информации.

3 Порядок и правила формирования и применения электронных удостоверений определяются соответствующими нормативными правовыми документами и документами по стандартизации.

 

Взаимосвязь терминов, которые входят в группы, относящиеся к понятиям "идентификация" и "аутентификация", и ее графическое представление приведены в приложении А.