ГОСТ Р 70262.1-2022. Национальный стандарт Российской Федерации. Защита информации. Идентификация и аутентификация. Уровни доверия идентификации

7 Уровни доверия идентификации

 

7.1 Уровень доверия идентификации определяется уровнем доверия первичной идентификации и зависит от результатов вторичной идентификации.

7.2 Устанавливаются три уровня доверия идентификации:

- низкий уровень доверия. На данном уровне доверия идентификации имеется некоторая уверенность в том, что субъект доступа, успешно прошедший идентификацию, действительно соответствует зарегистрированной идентификационной информации, которая однозначно определяется соотнесенным с ней предъявленным идентификатором доступа. Низкий уровень доверия идентификации соответствует низкому уровню доверия первичной идентификации при условии успешной вторичной идентификации;

- средний уровень доверия. На данном уровне доверия идентификации появляется умеренная уверенность в том, что субъект доступа, успешно прошедший идентификацию, действительно соответствует зарегистрированной идентификационной информации, которая однозначно определяется соотнесенным с ней предъявленным идентификатором доступа. Средний уровень доверия идентификации соответствует среднему уровню доверия первичной идентификации при условии успешной вторичной идентификации;

- высокий уровень доверия. На данном уровне доверия идентификации существует значительная уверенность в том, что субъект доступа, успешно прошедший идентификацию, действительно соответствует зарегистрированной идентификационной информации, которая однозначно определяется соотнесенным с ней предъявленным идентификатором доступа. Высокий уровень доверия идентификации соответствует высокому уровню доверия первичной идентификации при условии успешной вторичной идентификации.

Общая характеристика уровней доверия идентификации приведена в приложении А.

7.3 Уровень доверия идентификации, который необходимо реализовать в конкретной среде функционирования, должен устанавливаться в соответствии с нормативными правовыми документами и/или на основе результатов анализа рисков информационной безопасности, выполняемого в соответствии с ГОСТ Р ИСО/МЭК 27005, а также с учетом положений ГОСТ Р 58833.