БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ Р 58833-2020. Национальный стандарт Российской Федерации. Защита информации. Идентификация и аутентификация. Общие положения

5 Основы идентификации

 

5.1 Процесс идентификации должен включать в себя действия по подготовке, формированию идентификационной информации субъекта (объекта) доступа, присвоению субъекту (объекту) доступа идентификатора и их последующей регистрации, а при доступе субъекта доступа к объекту доступа - действия по проверке существования (наличия) идентификатора, предъявленного субъектом доступа, в перечне присвоенных идентификаторов.

5.2 Идентификация разделяется на первичную идентификацию, осуществляемую при регистрации регистрирующей стороной нового субъекта (объекта) доступа, и вторичную идентификацию, регулярно повторяющуюся при каждом запросе субъекта доступа на доступ.

Для поддержания актуального состояния (обновления) идентификационной информации зарегистрированного субъекта (объекта) доступа первичная идентификация может повторяться с установленной периодичностью или по мере необходимости, а также выполняться по запросу субъекта (объекта) доступа. Вторичная идентификация субъекта доступа может выполняться однократно или, при необходимости, с установленной периодичностью в течение всего информационного взаимодействия между субъектом доступа и объектом доступа.

Общая характеристика типового процесса идентификации приведена в приложении Б.

5.3 Целью первичной идентификации является распознавание субъекта (объекта) доступа путем установления (подтверждения) соответствия между субъектом (объектом) доступа и заявленными им идентификационными данными.

5.4 До первичной идентификации регистрирующей стороной должны быть установлены требования к первичной идентификации, которые, в общем случае, определяют объем, состав и обязательность идентификационных атрибутов субъекта (объекта) доступа, используемых для формирования идентификационной информации, а также устанавливают необходимость, порядок и правила подтверждения заявленных субъектом (объектом) доступа идентификационных данных.

В конкретной среде функционирования каждый субъект (объект) доступа должен иметь единственный набор значений идентификационных атрибутов, связанный с идентификатором доступа, что обеспечивает однозначную идентификацию данного субъекта (объекта) доступа.

5.5 При первичной идентификации регистрирующей стороне необходимо подготовить и оценить идентификационные данные, заявленные субъектом (объектом) доступа, на соответствие установленным требованиям, а также установить и подтвердить соответствие между субъектом (объектом) доступа и его идентификационными данными. Для этого:

- при оценке заявленных идентификационных данных, как минимум, надлежит проверить наличие у регистрирующей стороны идентификационной информации, связанной с субъектом (объектом) доступа, ее уникальность и актуальность, а также определить, достаточно ли предъявлено идентификационных атрибутов для однозначного распознавания субъекта (объекта) доступа;

- при подтверждении заявленных идентификационных данных, как минимум, надлежит проверить их существование путем верификации и получения свидетельств, а также установить связь (осуществить привязку) между субъектом (объектом) доступа и заявленными идентификационными данными.

Примечания

1 При верификации регистрирующая сторона может использовать собственную подтверждающую информацию, подтверждающую информацию, которая предоставлена субъектом (объектом) доступа, а также может использовать внешние (по отношению к регистрирующей стороне) сервисы, предоставляемые, например, доверенной третьей стороной.

2 Свидетельства являются результатом верификации заявленных идентификационных данных с использованием, как правило (но не только), внешних сервисов, в том числе имеющих возможность официального подтверждения идентификационных данных.

 

5.6 По результатам первичной идентификации субъекту (объекту) доступа должен присваиваться уникальный идентификатор доступа, определяющий соотнесенную с ним идентификационную информацию субъекта (объекта) доступа. Уникальность идентификатора доступа должна обеспечиваться в области действия единых правил управления доступом.

Идентификатор доступа может назначаться субъекту (объекту) доступа регистрирующей стороной или самостоятельно создаваться субъектом доступа в соответствии с установленными правилами.

5.7 Минимально достаточный объем и уникальность идентификационной информации, связанной с субъектом (объектом) доступа, а также оценка и подтверждение регистрирующей стороной идентификационных данных по установленным правилам должны обеспечить необходимую уверенность в том, что заявленные идентификационные данные действительно соответствуют (принадлежат) данному субъекту (объекту) доступа.

5.8 Первичная идентификация субъекта (объекта) доступа должна завершаться регистрацией идентификационной информации и присвоенного субъекту (объекту) доступа уникального идентификатора доступа или обоснованным отказом. Основанием для отказа в регистрации может быть несоответствие заявленных идентификационных данных требованиям к первичной идентификации или невозможность их подтверждения в установленном порядке.

Примечание - В качестве оснований для отказа, например, могут рассматриваться недостаточный объем идентификационных данных, представленных субъектом (объектом) доступа, отрицательный результат их верификации или отсутствие необходимой подтверждающей информации.

 

По решению регистрирующей стороны возможна регистрация субъекта доступа, идентификационные данные которого не соответствуют требованиям к первичной идентификации или не были подтверждены. При этом субъекту доступа присваивается уникальный идентификатор, субъект доступа определяется как анонимный субъект доступа (аноним) и нет никакой уверенности том, что заявленные идентификационные данные действительно соответствуют (принадлежат) данному субъекту доступа.

5.9 Первичная идентификация должна являться неотъемлемой частью как процесса идентификации, не предусматривающего последующий доступ субъекта доступа, так и частью процесса идентификации, предполагающего последующий доступ субъекта доступа и, соответственно, его аутентификацию.

Примечание - Примером первичной идентификации, не предусматривающей последующий доступ, может считаться внесение идентификационной информации физических лиц в автоматизированную (информационную) систему, которая используется для предоставления данной идентификационной информации другим автоматизированным (информационным) системам. Физические лица не являются пользователями данной автоматизированной (информационной) системы.

 

5.10 Целью вторичной идентификации является опознавание субъекта доступа, запросившего доступ к объекту доступа. При этом должна выполняться проверка существования идентификатора доступа, предъявленного субъектом доступа, в перечне присвоенных идентификаторов. При наличии предъявленного идентификатора доступа в перечне присвоенных идентификаторов процесс вторичной идентификации должен считаться успешно пройденным.

Примечание - Проверка существования (наличия) идентификатора доступа, предъявленного субъектом доступа, в перечне присвоенных идентификаторов осуществляется по предопределенному алгоритму и может выполняться, в том числе, путем сравнения.

 

5.11 Процесс идентификации, не предусматривающий последующий доступ, в общем виде должен включать:

- представление физическим лицом или получение от ресурса идентификационных данных, необходимых для первичной идентификации;

- оценку возможности регистрации идентификационной информации регистрирующей стороной и подтверждение соответствия между физическим лицом (ресурсом) и его идентификационными данными;

- принятие регистрирующей стороной решения о результате первичной идентификации, в том числе регистрация идентификационной информации и присвоенного физическому лицу (ресурсу) идентификатора, или обоснованный отказ в регистрации;

- хранение и поддержание идентификационной информации в актуальном состоянии (обновление) регистрирующей стороной и, при необходимости, предоставление ее по запросам.

5.12 Процесс идентификации, предусматривающий последующие аутентификацию, авторизацию и доступ, в общем виде должен включать:

- формирование запроса на регистрацию субъекта (объекта) доступа и последующее представление идентификационных данных, необходимых для первичной идентификации;

- оценку регистрирующей стороной возможности регистрации идентификационной информации и подтверждение соответствия между субъектом (объектом) доступа и его идентификационными данными;

- принятие регистрирующей стороной решения о результате первичной идентификации, в том числе регистрация идентификационной информации и присвоенного субъекту (объекту) доступа идентификатора доступа или обоснованный отказ в регистрации;

- хранение и поддержание в актуальном состоянии (обновление) идентификатора доступа и идентификационной информации регистрирующей стороной;

- предъявление доверяющей стороне субъектом доступа идентификатора для вторичной идентификации при запросе доступа к объекту доступа;

- проверку доверяющей стороной существования (наличия) идентификатора, предъявленного субъектом доступа, в перечне присвоенных идентификаторов;

- контроль проверяющей стороной принадлежности субъекту доступа идентификатора доступа, включая проверку актуальности (действительности) и проверку связи идентификатора доступа с субъектом доступа;

- принятие решения доверяющей стороной о результате вторичной идентификации и последующем проведении аутентификации.

TelegramПодписаться на обновления
Реклама. ООО ЛИТРЕС
Реклама. ООО ЛИТРЕС, ИНН 7719571260, erid: 2VfnxyNkZrY
TOC