ГОСТ Р 70262.1-2022. Национальный стандарт Российской Федерации. Защита информации. Идентификация и аутентификация. Уровни доверия идентификации

5.4 Общий порядок первичной идентификации

5.4.1 В общем случае первичная идентификация включает:

а) получение регистрирующей стороной запроса на регистрацию субъекта (объекта) доступа;

б) получение от субъекта (объекта) доступа идентификационных данных, требуемых для первичной идентификации. Одновременно от субъекта (объекта) доступа могут быть получены свидетельства, подтверждающие, как минимум, идентификационные данные, наличие которых обязательно для успешной первичной идентификации;

в) установление регистрирующей стороной соответствия между субъектом (объектом) доступа и заявленными им идентификационными данными, в том числе:

1) проверку уникальности идентификационной информации, основанной на заявленных идентификационных данных;

2) сбор подтверждающей информации;

3) проверку существования заявленных идентификационных данных субъекта (объекта) доступа путем их верификации и получения свидетельств от верифицирующей стороны (полномочной верифицирующей стороны);

4) привязку верифицированных идентификационных данных к субъекту (объекту) доступа;

5) принятие решения о соответствии между субъектом (объектом) доступа и заявленными им идентификационными данными;

г) принятие решения регистрирующей стороной о результатах первичной идентификации субъекта (объекта) доступа, в том числе:

1) оценка соответствия уровня доверия, достигнутого при первичной идентификации субъекта (объекта) доступа, уровню доверия, который установлен требованиями к первичной идентификации;

2) формирование идентификационной информации на основе подтвержденных идентификационных данных и назначение идентификатора субъекту (объекту) доступа.

Примечание - Идентификатор доступа может назначаться субъекту (объекту) доступа регистрирующей стороной или самостоятельно создаваться субъектом доступа в соответствии с установленными правилами;

 

3) регистрация идентификационной информации и присвоенного субъекту (объекту) доступа идентификатора или обоснованный отказ в его регистрации.

5.4.2 Регистрирующая сторона в соответствии с требованиями к первичной идентификации должна обеспечить сбор и анализ подтверждающей информации таким образом, чтобы установить и подтвердить соответствие (принадлежность) заявленных идентификационных данных субъекту доступа в соответствии с устанавливаемыми требованиями к первичной идентификации.

5.4.3 Проверка регистрирующей стороной идентификационных данных на уникальность в конкретной среде функционирования должна выполняться, как минимум, для идентификационных атрибутов, обязательность представления которых определена требованиями к первичной идентификации.

5.4.4 Регистрирующая сторона может принять заявленные идентификационные данные (например, на низком уровне доверия первичной идентификации) или провести верификацию идентификационных данных при выявлении несоответствий в них. Верификация заявленных идентификационных данных должна проводиться в обязательном порядке на среднем и высоком уровнях доверия первичной идентификации.

Регистрирующая сторона может выполнять верификацию самостоятельно и/или может использовать услуги верифицирующей стороны.

Примечание - В качестве верифицирующей стороны может рассматриваться субъект (объект) доступа, если он имеет возможность представить свидетельство идентичности.

 

Ответ верифицирующей стороны может представлять собой:

- свидетельство идентичности, содержащее верифицированные идентификационные данные или верифицированную подтверждающую информацию для идентификационных данных;

- подтверждающую информацию, в том числе из источников данных, которая может быть использована регистрирующей стороной для установления соответствия между субъектом (объектом) доступа и заявленными им идентификационными данными.

5.4.5 При получении ответа регистрирующая сторона полагается на точность и достоверность полученной подтверждающей информации, но при необходимости может выполнить верификацию заявленных идентификационных данных и у другой верифицирующей стороны. Регистрирующая сторона может использовать любое количество свидетельств, которое необходимо для подтверждения идентификационных данных.

Примечание - При большом количестве свидетельств можно достигнуть большей уверенности, применяя свидетельства, относящиеся ко всему периоду существования субъекта (объекта) доступа.

 

5.4.6 В процессе передачи подтверждающей информации между верифицирующей и регистрирующей стороной должны быть реализованы меры, обеспечивающие ее конфиденциальность и целостность, а также неизменность свидетельств и неотказуемость от внесенной в них подтверждающей информации. Кроме того, при рассмотрении свидетельств, полученных регистрирующей стороной на носителях, должны проверяться присущие носителям признаки защиты от подделки, а также учитываться процессы, используемые для их выпуска.

5.4.7 Привязка заявленных идентификационных данных к субъекту доступа, который является физическим лицом, должна выполняться при его личном контакте с регистрирующей стороной. Биометрический фактор должен использоваться только совместно с другими факторами, в том числе для подтверждения фактора владения. Применение биометрического фактора в качестве единственного фактора привязки не допускается.

Примечание - Условия (правила) привязки заявленных идентификационных данных к субъекту доступа, который является физическим лицом, могут быть изменены в случаях, определенных нормативными правовыми актами, документами по стандартизации или в случаях, определенных оператором для конкретной среды функционирования в требованиях к первичной идентификации.

 

Подтверждающая информация, полученная в результате привязки от субъекта (объекта) доступа, при необходимости, должна быть верифицирована регистрирующей стороной относительно свидетельств, полученных от верифицирующей стороны, либо направлена ей на верификацию.

5.4.8 Уровень доверия первичной идентификации должен определяться на основе подтверждающей информации, которая соответствует требованиям к первичной идентификации и обоснованно удостоверяет (доказывает) соответствие (принадлежность) заявленных идентификационных данных субъекту (объекту) доступа.

На основе результатов оценки соответствия достигнутого уровня доверия уровню доверия, который установлен требованиями к первичной идентификации, регистрирующей стороной принимается решение о регистрации идентификационной информации, сформированной на основе подтвержденных идентификационных данных, о присвоении и регистрации идентификатора субъекта (объекта) доступа в перечне(ях) идентификаторов доступа, или решение об обоснованном отказе в регистрации.