ГОСТ Р 58833-2020. Национальный стандарт Российской Федерации. Защита информации. Идентификация и аутентификация. Общие положения

4 Общие положения

 

4.1 Целью идентификации и аутентификации при доступе субъекта доступа к объекту доступа является опознавание субъекта доступа с необходимой уверенностью в том, что он является именно тем, за кого себя выдает. При этом степень достижения цели идентификации и аутентификации определяется уровнем доверия к результатам идентификации и аутентификации.

4.2 В общем случае идентификация и аутентификация охватывают:

- первичную идентификацию, включающую подготовку, формирование и регистрацию информации о субъекте (объекте) доступа, а также присвоение субъекту (объекту) доступа идентификатора доступа и его регистрацию в перечне присвоенных идентификаторов;

- хранение и поддержание актуального состояния (обновление) идентификационной и аутентификационной информации субъекта (объекта) доступа в соответствии с установленными правилами;

- вторичную идентификацию, которая обеспечивает опознавание субъекта доступа, запросившего доступ к объекту доступа, по предъявленному идентификатору;

- аутентификацию, включающую проверку подлинности субъекта (объекта) доступа и принадлежности ему предъявленных идентификатора и аутентификационной информации.

Примечание - Применительно к объекту доступа проверка подлинности осуществляется при взаимной аутентификации.

 

4.3 Идентификация и аутентификация осуществляются в области действия единых правил управления доступом.

Примечания

1 Правила управления доступом (единые правила управления доступом) могут быть реализованы, например, в границах: одного или нескольких вычислительных процессов; одного или нескольких средств вычислительной техники; одной или нескольких автоматизированных (информационных) систем.

2 Идентификация и аутентификация могут осуществляться, например, в границах одной автоматизированной (информационной) системы (области действия правил управления доступом); в границах нескольких автоматизированных (информационных) систем, находящихся под управлением одного оператора, при условии распространения на них единых правил управления доступом, или в границах нескольких автоматизированных (информационных) систем, находящихся под управлением различных операторов, при условии согласования правил управления доступом операторами данных автоматизированных (информационных) систем.

3 Для идентификации и аутентификации могут использоваться внешние по отношению к области действия единых правил управления доступом сервисы, предоставляемые, например, доверенной третьей стороной.

 

4.4 При доступе к объекту доступа идентификация и аутентификация субъекта доступа может осуществляться как в рамках одного процесса идентификации и аутентификации, так и выполняться в рамках последовательности процессов идентификации и аутентификации (многошаговая идентификация и аутентификация).

Примечания

1 При многошаговой идентификации и аутентификации после положительного результата проверки идентификатора доступа и аутентификационной информации на одном "шаге" предоставляется доступ к проверке идентификатора доступа и аутентификационной информации следующего "шага". Результат проверки на каждом "шаге" доводится субъекту доступа, а после положительного результата проверки на последнем "шаге" предоставляется доступ к объекту доступа. При отрицательном результате проверки на любом из "шагов" дальнейшая последовательность процессов идентификации и аутентификации не выполняется.

2 При многошаговой идентификации и аутентификации для проверки идентификатора доступа и аутентификационной информации в рамках последовательно осуществляемых процессов идентификации и аутентификации ("шагов") могут использоваться различные устройства, средства вычислительной техники и/или автоматизированные (информационные) системы, а также сервисы, внешние по отношению к участникам идентификации и аутентификации.

 

4.5 При доступе участники процессов идентификации и аутентификации имеют следующее функциональное назначение (функциональные роли):

- сторона, инициирующая доступ. Основной задачей стороны, инициирующей доступ, является запрос доступа и последующее предоставление информации, необходимой другим сторонам;

- регистрирующая сторона. Основной задачей регистрирующей стороны является присвоение субъекту (объекту) доступа идентификатора доступа и, при необходимости, аутентификационной информации, их регистрация и поддержание в актуальном состоянии (обновление), а также фиксация связи идентификатора и аутентификационной информации с конкретным субъектом (объектом) доступа;

- доверяющая сторона. Основной задачей доверяющей стороны является опознавание субъекта доступа по предъявленному идентификатору и проверка его подлинности;

- проверяющая сторона. Основной задачей проверяющей стороны является проверка принадлежности субъекту доступа идентификатора доступа и аутентификационной информации, которые зафиксированы за ним регистрирующей стороной.

4.6 Отдельные функциональные роли могут быть объединены и/или назначены участникам процессов идентификации и аутентификации.

Примечание - Доверенная третья сторона, например, может объединять (выполнять) функциональные роли регистрирующей и проверяющей сторон, объект доступа - функциональные роли регистрирующей, проверяющей и доверяющей сторон, а субъект доступа - функциональные роли стороны, инициирующей доступ, проверяющей и доверяющей сторон (при взаимной аутентификации).

 

4.7 Участники процессов идентификации и аутентификации должны обеспечивать безопасность используемой идентификационной и аутентификационной информации. При этом состав и содержание мер защиты в конкретной среде функционирования должны определяться в соответствии с нормативными правовыми актами и документами по стандартизации.