ГОСТ Р 70262.1-2022. Национальный стандарт Российской Федерации. Защита информации. Идентификация и аутентификация. Уровни доверия идентификации

4 Общие положения

 

4.1 Процесс идентификации должен включать действия по подготовке, формированию и регистрации идентификационной информации субъекта (объекта) доступа, а также присвоению и регистрации идентификатора субъекта (объекта) доступа в перечне(ях) идентификаторов доступа, а при доступе субъекта доступа к объекту доступа - действия по проверке существования (наличия) идентификатора, предъявленного субъектом доступа, в перечне присвоенных идентификаторов доступа.

4.2 В общем случае с учетом особенностей, определенных ГОСТ Р 58833, идентификация должна включать:

- первичную идентификацию субъекта (объекта) доступа, которая охватывает установление (подтверждение) соответствия между субъектом (объектом) доступа и заявленными им идентификационными данными, формирование идентификационной информации на основе подтвержденных идентификационных данных, присвоение идентификатора доступа субъекту (объекту) доступа и их регистрацию;

- хранение и поддержание актуального состояния (обновление) идентификационной информации субъекта (объекта) доступа в соответствии с установленными правилами;

- вторичную идентификацию, которая обеспечивает опознавание субъекта доступа, запросившего доступ к объекту доступа, по предъявленному идентификатору.

В общем случае первичная идентификация должна осуществляться однократно. Для поддержания актуального состояния (обновления) идентификационной информации зарегистрированного субъекта (объекта) доступа первичная идентификация может повторяться с установленной периодичностью или по мере необходимости, а также выполняться по запросу субъекта (объекта) доступа.

Вторичную идентификацию необходимо повторять при каждом запросе субъекта доступа на доступ к объекту доступа. В течение информационного взаимодействия между субъектом доступа и объектом доступа вторичная идентификация субъекта доступа может выполняться однократно или, при необходимости, с установленной периодичностью.

4.3 Состав участников процесса идентификации и их функциональные возможности (роли) определяются ГОСТ Р 58833. При идентификации, в общем случае, взаимодействуют субъект доступа, регистрирующая и доверяющая стороны. При этом регистрирующая сторона осуществляет первичную идентификацию и хранение идентификационной информации, а доверяющая сторона - вторичную идентификацию субъекта доступа. Дополнительно в первичной идентификации могут участвовать объект доступа и/или стороны, которые имеют следующие функциональные возможности (роли):

- верифицирующая сторона. Основной задачей данной стороны является верификация по запросам регистрирующей стороны заявленных идентификационных данных субъекта (объекта) доступа и их подтверждение свидетельствами;

- полномочная верифицирующая сторона (полномочная сторона). Основной задачей полномочной стороны является управление идентификационными данными, в том числе верификация заявленных идентификационных данных субъекта (объекта) доступа по запросам регистрирующей стороны и их подтверждение официальными свидетельствами.

4.4 Участники процесса идентификации должны обеспечивать защиту информации, используемой при идентификации. При этом состав и содержание мер защиты информации в конкретной среде функционирования следует определять в соответствии с нормативными правовыми актами и документами по стандартизации.

4.5 Необходимость идентификации устанавливается как для субъектов доступа, которые являются физическими лицами, так и для субъектов (объектов) доступа, которые представляют собой информационные и вычислительные ресурсы. Идентификация должна осуществляться с учетом данных особенностей субъектов (объектов) доступа, а также с учетом возможности использования и применимости положений настоящего стандарта в конкретной среде функционирования.

4.6 Для конкретной среды функционирования уверенность в том, что субъект доступа, осуществляющий доступ к объекту доступа, действительно соответствует зарегистрированной идентификационной информации, определяется уровнем доверия первичной идентификации субъекта (объекта) доступа и зависит от результатов вторичной идентификации субъекта доступа.