ГОСТ Р 70262.1-2022. Национальный стандарт Российской Федерации. Защита информации. Идентификация и аутентификация. Уровни доверия идентификации

5.2 Подтверждение идентификационных данных при первичной идентификации

5.2.1 Для формирования идентификационной информации субъекта (объекта) доступа в конкретной среде функционирования следует использовать подтвержденные идентификационные данные. В процессе подтверждения необходимо проверить существование заявленных идентификационных данных путем верификации и выполнить их привязку (установить или проверить связь) к субъекту (объекту) доступа.

5.2.2 Верификация заявленных идентификационных данных обеспечивает уверенность в том, что идентификационные данные действительно соответствуют (принадлежат) субъекту (объекту) доступа, который их заявил, при этом идентификационные атрибуты субъекта (объекта) доступа фактически существуют и их значения являются достоверными. Результатом верификации заявленных идентификационных данных являются свидетельства идентичности.

Примечание - Верификация может осуществляться как по запросам регистрирующей стороны непосредственно при подтверждении заявленных идентификационных данных, так и выполняться заблаговременно (вне условий, связанных с подтверждением), и ее результаты в виде свидетельств могут представляться субъектом (объектом) доступа при подтверждении.

 

Свидетельства идентичности могут представлять собой:

- подтверждающую информацию, предоставленную субъектом (объектом) доступа или другими источниками;

- документальное подтверждение, содержащее верифицированные идентификационные данные субъекта (объекта) доступа или подтверждающую информацию, связанную с ним;

- источники данных, содержащие подтверждающую информацию субъекта (объекта) доступа.

Примечания

1 В качестве свидетельства, представляющего собой подтверждающую информацию, может рассматриваться, например, номер телефона подвижной радиотелефонной связи физического лица или значение уникального идентификационного номера устройства, присвоенного его производителем.

2 В качестве свидетельства, представляющего собой документальное подтверждение, может рассматриваться, например, документ установленного образца, выданный полномочной стороной физическому лицу в порядке, определенном нормативными правовыми актами, или документ установленной формы, поставляемый производителем вместе с устройством.

3 В качестве свидетельства, представляющего собой источник данных, может рассматриваться, например, реестр органа исполнительной власти, в котором зафиксированы значения идентификационных атрибутов физического лица, устройства или программного средства.

 

5.2.3 При использовании свидетельств необходимо принимать во внимание, что не все свидетельства идентичности могут быть использованы для подтверждения идентификационных данных вне условий, для которых они предназначались. Кроме того, надо учитывать, что отдельные свидетельства могут основываться на результатах предыдущего подтверждения идентификационных данных. При рассмотрении данных свидетельств должна быть оценена возможность их принятия для текущего подтверждения в используемой среде функционирования, а при необходимости - и для последующих аналогичных подтверждений.

5.2.4 При рассмотрении свидетельств и определении возможности их применения в конкретной среде функционирования необходимо, как минимум, учитывать:

- исходную подтвержденность и действительность идентификационных данных: при подтверждении следует использовать свидетельства, базирующиеся на реальных исходных фактах и событиях (или биометрических данных физических лиц), а идентификационные данные на момент применения должны являться актуальными (действительными);

- достоверность идентификационных данных и подлинность носителей, используемых при документальном подтверждении: при рассмотрении свидетельств необходимо учитывать вероятность наличия ошибок и возможность подделки носителей или фальсификации значений идентификационных атрибутов <1>;

--------------------------------

<1> Наиболее актуально в отношении свидетельств, представляемых субъектом доступа, ассоциированным с физическим лицом.

 

- процесс передачи свидетельств. При анализе свидетельств необходимо учитывать возможность внесения изменений во время передачи, а также возможность отказа от факта предоставления подтверждающей информации.

5.2.5 Для некоторых идентификационных атрибутов в конкретной среде функционирования могут быть доступны официальные свидетельства. Подтверждающая информация в данных свидетельствах, при условии их подлинности и корректности передачи свидетельств, должна рассматриваться как достоверная.

5.2.6 При невозможности или при отсутствии необходимости <2> использования при подтверждении идентификационных данных официальных свидетельств следует использовать подтверждающие свидетельства.

--------------------------------

<2> Если необходимость получения официальных свидетельств не определена требованиями к первичной идентификации.

 

Примечание - Если подтверждающие свидетельства содержат подтверждающую информацию из общеизвестных официальных свидетельств, то она не может считаться идентичной (равносильной) подтверждающей информации официальных свидетельств.

 

5.2.7 Реализации процесса первичной идентификации, используемые в конкретных средах функционирования, могут отличаться как требованиями, предъявляемыми к первичной идентификации, так и составом и содержанием свидетельств идентичности.

5.2.8 Получение положительных результатов проверки существования идентификационных данных не означает, что заявленные идентификационные данные действительно соответствуют (принадлежат) субъекту (объекту) доступа или могут быть связаны с ним определенным образом. Для достоверного установления соответствия необходимо осуществить привязку идентификационных данных к субъекту (объекту) доступа. При привязке должны использоваться следующие факторы <3>:

--------------------------------

<3> Общая характеристика факторов идентификации - по ГОСТ Р 58833.

 

- фактор знания. Привязка устанавливается с использованием информации, которая известна (свойственна) субъекту (объекту) доступа;

- фактор владения. Привязка устанавливается с использованием идентификационных данных, которые имеет (которыми обладает) субъект (объект) доступа. При этом идентификационные данные могут быть свойственны субъекту (объекту) доступа или содержаться в его свидетельствах, представляющих собой документальное подтверждение. Субъект (объект) доступа должен правомочно обладать данными свидетельствами;

- биометрический фактор. Привязка устанавливается по результатам верификации биометрических характеристик, которые свойственны субъекту доступа - физическому лицу. При этом принимается, что эталонные характеристики субъекта доступа действительно принадлежат ему.

Примечания

1 Условно считается, что при привязке для субъектов доступа и объектов доступа, которые являются информационными и вычислительными ресурсами [средствами вычислительной техники, автоматизированными (информационными) системами и т.п.], используется один фактор. По решению оператора и при выполнении условий, определенных требованиями к первичной идентификации, может считаться, что при привязке субъектов доступа и объектов доступа, которые являются информационными и вычислительными ресурсами, используется более одного фактора.

2 Привязка с использованием биометрического фактора применяется для субъектов доступа, ассоциированных с физическими лицами. Порядок и правила применения биометрического фактора определяются соответствующими нормативными правовыми документами и документами по стандартизации.