Все новости

30 ноября вступили в силу 63 новых стандарта. Среди них серия введённых впервые документов на информационные технологии. Остановимся на некоторых их них подробнее.

Для функционирования автоматизированных (информационных) систем необходимо собирать и формировать информацию о пользователях, связанными с ними программном обеспечении или обору­довании и принимать решения на основе данной информации. Такие решения, основанные на данных пользователей, могут касаться доступа к приложениям или другим ресурсам.

Для многих организаций управление идентификационными данными является критичным для обеспечения безопасности процессов организации. Одновременно надлежащее управление важно для защиты персональных данных пользователей.

ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции» определяет основные термины, связанные с процессом управления идентичностью.

Среди них – «атрибут», обозначающий характеристику, признак или свойство сущности. Возможными атрибутами являются вид сущности, адрес, номер телефона, привиле­гия, MAC-адрес, имя домена. Домены применения (домен) – это среда, в которой сущность может использовать набор атрибутов для идентификации и других целей. Например, развернутая организацией ИТ-система, позволяющая пользователям регистриро­ваться, является доменом для зарегистрированного пользовательского имени.

Домен, в котором было создано значение идентифи­кационного атрибута или которому было присвоено (повторно) его значение называется доменом происхождения. В качестве поясняющего примера, стандарт приводит номер членства в клубе. Для него домен происхождения — это конкретный клуб, присвоивший этот номер.

Под идентичностью понимается представление сущности в виде одного или нескольких атрибутов, которые позволяют сущностям быть различными в домене.

Цель домена, обслуживаемого системой — определить, какие атрибуты, описывающие сущность, должны использоваться в ее идентичности.

Управление идентичностью охватывает жизненный цикл идентификационной информации от первоначального внесения в реестр идентичностей до архивирования или удаления.

ГОСТ Р 59515-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности» содержит рекомендации по подтверждению идентичности субъектов, определяет уровни подтверждения их идентификационных данных, а также требования для их достижения.

Подтверждение идентичности – процесс верификации идентификационных атрибутов, вводимых в систему управления данными, а также установления того, что атрибуты относятся к субъекту, который будет внесен в реестр.

Каждый случай подтверждения идентичности включает в себя этапы, направленные на: сбор подтверждающей информации; определение достоверности собранных идентификационных атрибутов и соответствие необходимому уровню подтверждения идентичности, который должен быть достигнут; а также привязку заявленных идентификационных атрибутов к субъекту.

Подтверждение идентификационных данных требует, чтобы они были уникальными в своем домене в соответствии с данными, указанными в стандарте. А именно: определяются в соответствии с привязкой идентификационных данных и их существованием.

ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы»

Практические приемы управления идентичностью охватывают обеспечение доверия к структуре управления идентичностью, включающей в себя доступ к идентификационным данным и другим ресурсам на их основе, политике доступа, сторонам взаимодействия и способам обмена идентификационными данными, а также управлению целями, которые должны быть реализованы при создании и поддержке системы управления данными.

Среди них: оценка риска; уверенность в достоверности идентификационной информации и другие.

Организации должны обеспечивать уверенность в реализации адекватных мер защиты информации для уменьшения рисков и последствий утечки, порчи и потери доступности идентификационной информации при ее сборе, хранении, использовании, передаче и утилизации.

Источник:    https://www.gostinfo.ru/


Комментарии

Пожалуйста, зарегистрируйтесь или войдите на сайт, чтобы оставить комментарий.