ГОСТ Р 58833-2020. Национальный стандарт Российской Федерации. Защита информации. Идентификация и аутентификация. Общие положения
6 Основы аутентификации
6.1 Процесс аутентификации при доступе субъекта доступа к объекту доступа должен включать в себя действия по проверке подлинности субъекта доступа, а также принадлежности субъекту доступа предъявленного идентификатора и аутентификационной информации.
Примечание - Действия по проверке подлинности, а также принадлежности предъявленного идентификатора и аутентификационной информации осуществляются доверяющей и проверяющей сторонами.
6.2 Целью аутентификации является формирование необходимой уверенности в том, что субъект (объект) доступа действительно является тем зарегистрированным субъектом (объектом) доступа, за кого себя выдает предъявленным идентификатором доступа.
6.3 При доступе доказательство подлинности субъекта доступа должно основываться на проверке соответствия аутентификационной информации, предъявленной субъектом доступа, аутентификационной информации, которая ассоциирована с предъявленным идентификатором доступа у доверяющей стороны. Доказательство принадлежности субъекту идентификатора и аутентификационной информации должно основываться на проверке актуальности (действительности) аутентификационной информации и проверке связи идентификатора и аутентификационной информации с субъектом доступа.
Общая характеристика типового процесса аутентификации приведена в приложении Б.
6.4 При доступе должна обеспечиваться неизменность субъекта доступа и объекта доступа. В процессе аутентификации (до ее завершения) и субъект доступа, и объект доступа (и третья доверенная сторона, при необходимости) должны иметь возможность удостовериться (убедиться) в их неизменности.
6.5 В процессе аутентификации применяются следующие факторы:
- фактор знания: субъект доступа должен знать определенную информацию.
Примечание - При аутентификации с применением фактора знания может использоваться как аутентификационная информация, непосредственно известная пользователю, например пароль, графический пароль, изображение, так и информация, позволяющая получить доступ к аутентификационной информации, например одноразовый пароль или PIN-код <1>;
--------------------------------
<1> PIN-код (Personal Identification Number) - персональный идентификационный номер.
- фактор владения: субъект доступа должен обладать определенным предметом, содержащим аутентификационную информацию.
Примечание - При аутентификации с применением фактора владения может использоваться, например, устройство аутентификации или механизм, приспособление, вещь, которые содержат аутентификационную информацию;
- биометрический фактор: субъекту доступа должен быть свойственен определенный признак (характеристика), информация о котором (которой) используется при аутентификации.
Примечания
1 Биометрический фактор применяется при аутентификации субъектов доступа, ассоциированных с физическими лицами.
2 При аутентификации с применением биометрического фактора могут использоваться, например, биометрические данные физического лица или шаблон его поведения.
6.6 При доступе к объекту доступа для аутентификации субъекта доступа необходимо использовать один фактор (однофакторная аутентификация) или несколько факторов (многофакторная аутентификация). При многофакторной аутентификации должны совместно применяться не менее двух различных факторов. Доступ к объекту доступа при многофакторной аутентификации должен предоставляться после успешной вторичной идентификации субъекта доступа и положительного результата проверки аутентификационной информации, соответствующей всем совместно используемым факторам, без доведения субъекту доступа результатов проверки по каждому фактору.
Примечания
1 Примером однофакторной аутентификации пользователя является использование для аутентификации фактора знания с применением в качестве аутентификационной информации пароля, PIN-кода или ответа на вопрос, которые знает пользователь.
2 Примером многофакторной аутентификации пользователя является совместное применение для аутентификации фактора владения (например, пользователь владеет аутентификационной информацией, хранящейся в устройстве аутентификации) и фактора знания (например, пользователь знает пароль, позволяющий использовать аутентификационную информацию, содержащуюся в устройстве аутентификации). Доступ к ресурсам автоматизированной (информационной) системы предоставляется пользователю после его успешной вторичной идентификации и положительного результата проверки аутентификационной информации, соответствующей и фактору владения, и фактору знания.
3 При многошаговой идентификации и аутентификации в рамках отдельных процессов ("шагов") идентификации и аутентификации могут использоваться как однофакторная, так и многофакторная аутентификации.
4 Аутентификация условно считается многофакторной при информационном взаимодействии между субъектом доступа и объектом доступа, которые соответствуют вычислительным процессам [средствам вычислительной техники, автоматизированным (информационным) системам и т.п.], функционирующим в автоматическом режиме. При этом данные вычислительные процессы не ассоциируются с физическим лицом.
6.7 Биометрический фактор должен использоваться только совместно с другими факторами, в том числе для подтверждения фактора владения. При этом применение биометрического фактора в качестве единственного фактора при однофакторной аутентификации не допускается.
Примечание - Порядок и правила применения биометрического фактора при аутентификации определяются соответствующими нормативными правовыми документами и документами по стандартизации.
6.8 В общем случае при аутентификации обмен аутентификационной информацией и другими данными, необходимыми для аутентификации, осуществляется между субъектом доступа, доверенной третьей стороной и объектом доступа с учетом их функциональных ролей. В зависимости от организации обмена аутентификационной информацией и используемых при этом протоколов аутентификации необходимо различать одностороннюю и взаимную аутентификации.
В односторонней аутентификации участвуют субъект доступа и объект доступа, который считается доверяющей стороной (при необходимости - доверяющей и проверяющей). Односторонняя аутентификация обеспечивает уверенность в подлинности субъекта доступа только у доверяющей стороны. При этом субъект доступа полагает, что доверяющая сторона является подлинной.
В процессе взаимной аутентификации субъект доступа и объект доступа попеременно выполняют функциональную роль доверяющей стороны (при необходимости - доверяющей и проверяющей). При этом взаимная аутентификация обеспечивает уверенность в подлинности другой стороны и у субъекта доступа, и у объекта доступа.
6.9 Процесс аутентификации может быть организован как с участием доверенной третьей стороны, так и без нее. При односторонней однофакторной аутентификации по паролю услуги доверенной третьей стороны не используются, а регистрирующая, проверяющая и доверяющая стороны объединены в доверяющую сторону и ее функции выполняет объект доступа (см. рисунок 1).
Рисунок 1 - Организация передачи аутентификационной
информации при односторонней однофакторной аутентификации
по паролю
6.10 При использовании услуг доверенной третьей стороны процесс аутентификации может включать в себя одну доверенную третью сторону или их цепочку. Введение дополнительных единиц доверенных третьих сторон обеспечивает аутентификацию в среде, включающей большое число субъектов доступа, где каждая из доверенных третьих сторон обслуживает только часть субъектов доступа.
При обмене аутентификационной информацией доверенная третья сторона, как проверяющая сторона, может быть посредником между субъектом доступа и объектом доступа (см. рисунок 2).
Рисунок 2 - Организация обмена аутентификационной
информацией с доверенной третьей стороной в качестве
посредника
Доверенная третья сторона, как проверяющая сторона, может не являться прямым участником обмена между субъектом доступа и объектом доступа, но обеспечивать их данными, необходимыми для аутентификации (см. рисунок 3).
Рисунок 3 - Организация обмена аутентификационной
информацией и другими данными, необходимыми
для аутентификации, без прямого участия доверенной третьей
стороны
При аутентификации в условиях временного отсутствия взаимодействия с доверенной третьей стороной (см. рисунок 4), как проверяющей стороной, объект доступа, как доверяющая сторона, может использовать списки действительных и аннулированных электронных удостоверений или другие методы проверки аутентификационной информации.
Рисунок 4 - Организация обмена аутентификационной
информацией и другими данными, необходимыми
для аутентификации, в условиях временного отсутствия
взаимодействия объекта доступа с доверенной третьей стороной
6.11 Процесс аутентификации, с учетом действий, выполняемых при идентификации, в общем виде должен включать:
- формирование и регистрацию аутентификационной информации субъекта (объекта) доступа при первичной идентификации. При этом аутентификационная информация может назначаться регистрирующей стороной или самостоятельно формироваться субъектом доступа в соответствии с установленными правилами;
- хранение и поддержание в актуальном состоянии (обновление) аутентификационной информации регистрирующей стороной и субъектом доступа;
- предъявление субъектом доступа доверяющей стороне идентификатора и аутентификационной информации при запросе доступа к объекту доступа;
- проверку подлинности субъекта доступа доверяющей стороной в рамках обмена аутентификационной информацией и другими данными, необходимыми для аутентификации;
- проверку принадлежности субъекту доступа предъявленных идентификатора и аутентификационной информации проверяющей стороной, включая проверку актуальности (действительности) аутентификационной информации и проверку связи идентификатора и аутентификационной информации с субъектом доступа;
- принятие доверяющей стороной решения о результате аутентификации и последующем проведении авторизации.
6.12 При организации доступа должен использоваться один из видов аутентификации: простая, усиленная или строгая. Каждый из видов аутентификации определяется используемым методом аутентификации.
6.13 При простой аутентификации должна применяться однофакторная односторонняя аутентификация с организацией передачи аутентификационной информации от субъекта доступа к объекту доступа. В процессе простой аутентификации необходимо использовать протоколы аутентификации, соответствующие данной организации передачи аутентификационной информации, в том числе и криптографические.
Примечание - Примером простой аутентификации является использование в качестве аутентификационной информации пароля, который знает пользователь.
6.14 При усиленной аутентификации должна применяться многофакторная односторонняя аутентификация с организацией передачи аутентификационной информации от субъекта доступа к объекту доступа или многофакторная взаимная аутентификация с организацией обмена аутентификационной информацией между субъектом доступа и объектом доступа. В процессе усиленной аутентификации необходимо использовать протоколы аутентификации, соответствующие данной организации передачи (обмена) аутентификационной информации, в том числе и криптографические.
Примечание
1 Примером усиленной аутентификации является использование при многофакторной односторонней аутентификации пользователя пароля, который знает пользователь, и одноразового пароля, создаваемого с применением устройства аутентификации, находящегося во владении данного пользователя.
2 Примером усиленной аутентификации является использование аутентификационной информации при многофакторной взаимной аутентификации вычислительных процессов, ресурсов и т.п.
6.15 При строгой аутентификации должна применяться многофакторная взаимная аутентификация с организацией двухстороннего, между субъектом доступа и объектом доступа, или многостороннего (при использовании третьей доверенной стороны) обмена аутентификационной информацией. В процессе строгой аутентификации должны использоваться криптографические протоколы аутентификации, соответствующие данной организации обмена и включающие различные последовательности обмена сообщениями (двух- и многопроходные) между участниками процесса аутентификации.
Примечание - Примером строгой аутентификации является совместное использование при аутентификации закрытого ключа и соответствующего ему электронного удостоверения, содержащего открытый ключ. Электронное удостоверение может формироваться доверенной третьей стороной. Закрытый ключ и соответствующее ему электронное удостоверение, содержащее открытый ключ, хранятся, как правило, с применением устройства аутентификации, находящегося во владении пользователя. При этом пользователь знает пароль или PIN-код, позволяющий использовать данную аутентификационную информацию.
6.16 Аутентификация любого вида, используемая для подтверждения подлинности субъекта доступа, который идентифицирован как анонимный субъект доступа (аноним), считается анонимной аутентификацией.
Примечание - Как правило, при аутентификации анонимного субъекта доступа используется простая аутентификация.
6.17 При выборе вида аутентификации, применяемого в конкретной среде функционирования, должны учитываться риски информационной безопасности, связанные как со средой обмена аутентификационными сообщениями (или средой функционирования), так и с допустимым характером действий субъекта доступа, следующих за положительным результатом его аутентификации.
6.18 В зависимости от используемого метода аутентификации для формирования и/или хранения аутентификационной информации могут применяться соответствующие технические (аппаратные) или виртуальные устройства. При этом используемые устройства аутентификации не должны входить в состав объекта доступа.
Примечание - В качестве устройств аутентификации могут применяться, например, токены, отделенные от автоматизированной (информационной) системы, к которой осуществляется доступ.
Для хранения электронного удостоверения, которое используется для идентификации, и формирования соответствующего закрытого ключа, который используется при аутентификации, рекомендуется применять устройства аутентификации с неизвлекаемым закрытым ключом.
Примеры устройств, применяемых при различных видах аутентификации, приведены в приложении В.
Подписаться на обновления