ГОСТ Р 70262.1-2022. Национальный стандарт Российской Федерации. Защита информации. Идентификация и аутентификация. Уровни доверия идентификации

5 Первичная идентификация

 

5.1 Общие требования к первичной идентификации

5.1.1 Целью первичной идентификации является распознавание субъекта (объекта) доступа посредством установления (подтверждения) соответствия между субъектом (объектом) доступа и заявленными им идентификационными данными.

5.1.2 В результате первичной идентификации субъекту (объекту) доступа присваивается уникальный идентификатор доступа, который однозначно определяет соотнесенную с ним зарегистрированную идентификационную информацию. При этом уникальность идентификатора доступа должна обеспечиваться в области действия единых правил управления доступом. При необходимости в конкретной среде функционирования субъект (объект) доступа может иметь несколько идентификаторов доступа, каждый из которых должен быть уникальным для конкретных условий их использования.

5.1.3 Первичная идентификация должна осуществляться на основании минимально необходимого объема идентификационных атрибутов субъекта (объекта) доступа в соответствии с требованиями к первичной идентификации, устанавливаемыми для области действия единых правил управления доступом.

Примечания

1 В качестве идентификационных атрибутов субъекта доступа, ассоциированного с физическим лицом, могут использоваться, например, фамилия, имя, отчество; дата рождения; адрес места рождения (место рождения); фамилии, имена, отчества родителей; биометрические характеристики; адрес проживания (нахождения); номера телефонов; идентификационные номера, присвоенные организациями, которые являются полномочными сторонами, и т.п. В качестве вспомогательных атрибутов физического лица могут использоваться, например, данные об участии в общественных организациях, номера, являющиеся ссылками на подтверждающие свидетельства, данные из автоматизированных систем, в которых субъект доступа имеет регистрацию, и т.п.

2 В качестве идентификационных атрибутов объекта доступа и субъекта доступа, не ассоциированного с физическим лицом, могут рассматриваться, например, номер сессии, имя пути, унифицированное имя вычислительного ресурса, унифицированный указатель информационного ресурса и т.п., а также использоваться уникальные идентификационные номера, присвоенные производителями устройств.

3 Правила управления доступом (единые правила управления доступом) могут быть реализованы в рамках конкретной среды функционирования, например, в границах: одного или нескольких вычислительных процессов; одного или нескольких средств вычислительной техники; одной или нескольких автоматизированных (информационных) систем. В общем случае единые правила управления доступом и определяют границы конкретной среды функционирования.

 

5.1.4 Требования к первичной идентификации субъектов (объектов) доступа должны устанавливаться обладателем информации или оператором на основе положений нормативных правовых актов, нормативных документов и документов по стандартизации с учетом особенностей конкретной среды функционирования. При этом состав и содержание устанавливаемых требований должны обеспечить первичную идентификацию субъекта (объекта) доступа с уверенностью, необходимой в данной среде функционирования.

Примечание - Требования к первичной идентификации субъектов (объектов) доступа допускается оформлять в виде отдельных документированных процедур (политик) и/или включать в политику информационной безопасности организации.

 

5.1.5 Требования к первичной идентификации должны содержать:

- уровень доверия, который должен быть реализован при первичной идентификации;

- характеристику среды функционирования, для которой осуществляется первичная идентификация субъекта доступа, результаты которой признаются правильными (достоверными);

- объем, состав и обязательность идентификационных атрибутов субъекта (объекта) доступа. Объем идентификационных атрибутов, при котором обеспечивается выполнение требований к первичной идентификации и однозначная идентификация субъекта (объекта) доступа, должен быть минимально необходимым [6];

- объем, состав и необходимость использования вспомогательных атрибутов субъекта (объекта) доступа;

- состав значений идентификационных атрибутов, для которых должна быть обеспечена уникальность, порядок действий при ее нарушении, а также возможность использования значений вспомогательных атрибутов для обеспечения уникальности идентификационной информации;

- состав, содержание и порядок сбора подтверждающей информации, а также действия регистрирующей стороны при ее недостаточности;

- порядок и правила верификации заявленных идентификационных данных или идентификационной информации, которая получена из свидетельств, имеющихся у субъекта (объекта) доступа;

- состав необходимых свидетельств идентичности, порядок и правила их представления, рассмотрения, проверки и использования регистрирующей стороной, а также порядок действий при выявлении несоответствий;

- порядок и правила привязки заявленных идентификационных данных к субъекту (объекту) доступа, а также особенности привязки субъектов доступа и объектов доступа в конкретной среде функционирования;

- правила хранения и поддержания актуального состояния (обновление) идентификационной информации субъекта (объекта) доступа;

- возможность и порядок регистрации субъектов доступа, идентификационные данные которых не соответствуют установленным требованиям.

5.1.6 При первичной идентификации субъект (объект) доступа для различных сред функционирования может заявлять различные идентификационные данные, которые должны отвечать требованиям к первичной идентификации, установленным для соответствующей среды функционирования.

5.1.7 При первичной идентификации следует выполнять проверку уникальности значений отдельных идентификационных атрибутов или всей идентификационной информации. Проверка на уникальность обеспечивает уверенность в том, что каждый субъект (объект) доступа будет идентифицирован и внесен в перечень субъектов (объектов) доступа только один раз, то есть в конкретной среде функционирования каждый субъект (объект) доступа будет иметь единственный набор значений идентификационных атрибутов, связанный с идентификатором доступа.

Примечание - Для обеспечения уникальности идентификационной информации физических лиц могут использоваться идентификационные атрибуты, значения которых общеизвестно считаются единственными для физического лица, например, номер документа, удостоверяющего личность его владельца, или страховой номер индивидуального лицевого счета физического лица.

 

5.1.8 Состав идентификационных атрибутов, для которых в конкретной среде функционирования должна обеспечиваться уникальность значений, устанавливается требованиями к первичной идентификации.