Разработчик
Федеральная служба по техническому и экспортному контролю
Другие разработчики
Акционерное общество «Аладдин Р.Д.»
Технический комитет
ОКС/МКС/ISO
ОКС 35.030
Описание
Настоящий стандарт устанавливает единообразную организацию процесса аутентификации субъектов и объектов доступа в средствах защиты информации, в том числе реализующих криптографическую защиту, средствах вычислительной техники и автоматизированных (информационных) системах, а также определяет общие правила аутентификации, обеспечивающие необходимую уверенность в ее результатах.
Настоящий стандарт определяет состав участников и основное содержание процесса аутентификации, рекомендуемые к реализации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. Стандарт устанавливает уровни доверия аутентификации для используемых видов аутентификации и применяемых при аутентификации средств.
1 обсуждение
Публичное обсуждение проекта продлится до 30 августа 2022 г.
Одной из главных задач защиты информации при ее автоматизированной (автоматической) обработке является управление доступом. Решение о предоставлении доступа для использования информационных и вычислительных ресурсов средств вычислительной техники, а также ресурсов автоматизированных (информационных) систем основывается на результатах идентификации и аутентификации.
В автоматизированной (информационной) системе физическое лицо, являющееся пользователем, при использовании информационных и вычислительных ресурсов выполняет операции по обработке данных через вычислительные процессы, что порождает риски неоднозначного сопоставления конкретного вычислительного процесса определенному физическому лицу и конкретному ресурсу. Устанавливая для пользователей правила управления доступом к защищаемой информации и сервисам, обеспечивающим ее обработку, необходимо учитывать не только ее конфиденциальность, но и указанные риски. Основой для их снижения является установление соответствия как между физическим лицом и вычислительными процессами, которыми оно представлено при выполнении операций, так и между вычислительными процессами и ресурсами средств вычислительной техники.
Данное соответствие, как правило, устанавливается при регистрации ресурса как объекта или субъекта доступа и физического лица как пользователя (субъекта доступа), проверяется при опознавании субъекта доступа по предъявленному идентификатору доступа, подтверждается при проверке его подлинности и обеспечивает определенную уверенность в том, что обработка данных вычислительными процессами действительно инициирована физическим лицом или ресурсом, имеющим на это право.
Положения настоящего стандарта могут использоваться при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.