30 ноября вступили в силу 63 новых стандарта. Среди них серия введённых впервые документов на информационные технологии. Остановимся на некоторых их них подробнее.
Для функционирования автоматизированных (информационных) систем необходимо собирать и формировать информацию о пользователях, связанными с ними программном обеспечении или оборудовании и принимать решения на основе данной информации. Такие решения, основанные на данных пользователей, могут касаться доступа к приложениям или другим ресурсам.
Для многих организаций управление идентификационными данными является критичным для обеспечения безопасности процессов организации. Одновременно надлежащее управление важно для защиты персональных данных пользователей.
ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции» определяет основные термины, связанные с процессом управления идентичностью.
Среди них – «атрибут», обозначающий характеристику, признак или свойство сущности. Возможными атрибутами являются вид сущности, адрес, номер телефона, привилегия, MAC-адрес, имя домена. Домены применения (домен) – это среда, в которой сущность может использовать набор атрибутов для идентификации и других целей. Например, развернутая организацией ИТ-система, позволяющая пользователям регистрироваться, является доменом для зарегистрированного пользовательского имени.
Домен, в котором было создано значение идентификационного атрибута или которому было присвоено (повторно) его значение называется доменом происхождения. В качестве поясняющего примера, стандарт приводит номер членства в клубе. Для него домен происхождения — это конкретный клуб, присвоивший этот номер.
Под идентичностью понимается представление сущности в виде одного или нескольких атрибутов, которые позволяют сущностям быть различными в домене.
Цель домена, обслуживаемого системой — определить, какие атрибуты, описывающие сущность, должны использоваться в ее идентичности.
Управление идентичностью охватывает жизненный цикл идентификационной информации от первоначального внесения в реестр идентичностей до архивирования или удаления.
ГОСТ Р 59515-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности» содержит рекомендации по подтверждению идентичности субъектов, определяет уровни подтверждения их идентификационных данных, а также требования для их достижения.
Подтверждение идентичности – процесс верификации идентификационных атрибутов, вводимых в систему управления данными, а также установления того, что атрибуты относятся к субъекту, который будет внесен в реестр.
Каждый случай подтверждения идентичности включает в себя этапы, направленные на: сбор подтверждающей информации; определение достоверности собранных идентификационных атрибутов и соответствие необходимому уровню подтверждения идентичности, который должен быть достигнут; а также привязку заявленных идентификационных атрибутов к субъекту.
Подтверждение идентификационных данных требует, чтобы они были уникальными в своем домене в соответствии с данными, указанными в стандарте. А именно: определяются в соответствии с привязкой идентификационных данных и их существованием.
ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы»
Практические приемы управления идентичностью охватывают обеспечение доверия к структуре управления идентичностью, включающей в себя доступ к идентификационным данным и другим ресурсам на их основе, политике доступа, сторонам взаимодействия и способам обмена идентификационными данными, а также управлению целями, которые должны быть реализованы при создании и поддержке системы управления данными.
Среди них: оценка риска; уверенность в достоверности идентификационной информации и другие.
Организации должны обеспечивать уверенность в реализации адекватных мер защиты информации для уменьшения рисков и последствий утечки, порчи и потери доступности идентификационной информации при ее сборе, хранении, использовании, передаче и утилизации.