• Текст документа
  • Статус
Действующий

ГОСТ Р 58833-2020


НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ

Общие положения

Information protection. Identification and authentication. General


ОКС 35.030

Дата введения 2020-05-01


Предисловие

1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Закрытым акционерным обществом "Аладдин Р.Д." (ЗАО "Аладдин Р.Д.") и Обществом с ограниченной ответственностью "Научно-производственная фирма "КРИСТАЛЛ" (ООО "НПФ "КРИСТАЛЛ")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации" и Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 10 апреля 2020 г. N 159-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Одной из главных задач защиты информации при ее автоматизированной (автоматической) обработке является управление доступом. Решение о предоставлении доступа для использования информационных и вычислительных ресурсов средств вычислительной техники, а также ресурсов автоматизированных (информационных) систем, основывается на результатах идентификации и аутентификации.

При автоматизированной обработке информации физическому лицу как субъекту доступа соответствуют вычислительные процессы, выполняющие операции с данными. Это создает риски неоднозначного сопоставления вычислительных процессов с конкретным физическим лицом. Аналогичные риски существуют и при автоматической обработке информации. Кроме того, удаленное информационное взаимодействие дополнительно порождает риск ошибочной идентификации удаленного субъекта доступа и, следовательно, риск предоставления доступа злоумышленнику. Наряду с этим существуют риски того, что вычислительный процесс, действующий в интересах злоумышленника, может имитировать объекты (субъекты) доступа, функционирующие как параллельно с легальными, так и существующие независимо от них.

Устанавливая правила управления доступом к информации и сервисам, обеспечивающим ее обработку, для различных категорий субъектов доступа необходимо учитывать не только конфиденциальность защищаемой информации, но и указанные риски. Для снижения рисков должны применяться соответствующие методы идентификации и аутентификации, которые обеспечивают уверенность в подлинности сторон, участвующих в информационном взаимодействии, включая и субъекты доступа, и объекты доступа. Это особенно востребовано в том случае, когда взаимодействующие стороны имеют дефицит взаимного доверия, обусловленный, например, использованием небезопасной среды функционирования.

Для понимания положений настоящего стандарта необходимы знания основ информационных технологий, а также способов защиты информации.

1 Область применения


Настоящий стандарт устанавливает единообразную организацию процессов идентификации и аутентификации в средствах защиты информации, в том числе реализующих криптографическую защиту, средствах вычислительной техники и автоматизированных (информационных) системах, а также определяет общие правила применения методов идентификации и аутентификации, обеспечивающих необходимую уверенность в результатах.

Положения настоящего стандарта не исключают применение криптографических и биометрических методов (алгоритмов) при идентификации и аутентификации, но не устанавливают требования по их реализации.

Настоящий стандарт определяет состав участников и основное содержание процессов идентификации и аутентификации, рекомендуемое к реализации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. Положения настоящего стандарта могут использоваться при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.

2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 50922 Защита информации. Основные термины и определения

ГОСТ Р 56939 Защита информации. Разработка безопасного программного обеспечения. Общие требования

ГОСТ Р ИСО 704 Терминологическая работа. Принципы и методы

ГОСТ Р ИСО 10241-1 Терминологические статьи в стандартах. Часть 1. Общие требования и примеры представления

ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения


В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:

3.1 анонимный субъект доступа (аноним): Субъект доступа, первичная идентификация которого выполнена в конкретной среде функционирования, но при этом его идентификационные данные не соответствуют требованиям к первичной идентификации или не подтверждались.

3.2 атрибут субъекта (объекта) доступа [атрибут]: Признак или свойство субъекта доступа или объекта доступа.

3.3 аутентификационная информация: Информация, используемая при аутентификации субъекта доступа или объекта доступа.

3.4

аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.

[Адаптировано из [1], статья 3.3.8]


Примечание - Аутентификация рассматривается применительно к конкретному субъекту доступа и/или конкретному объекту доступа.

3.5 аутентификация анонимного субъекта доступа, анонимная аутентификация: Аутентификация, используемая для подтверждения подлинности анонимного субъекта доступа.

3.6

биометрические персональные данные: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

[ [2], статья 11]

3.7 верификатор идентификации: Доверенный объект, выполняющий вторичную идентификацию субъекта доступа при доступе.

3.8 верификатор аутентификации: Доверенный объект, выполняющий аутентификацию субъекта доступа при доступе.

3.9 верификация: Процесс проверки информации путем сопоставления предоставленной информации с ранее подтвержденной информацией.

3.10 взаимная аутентификация: Обоюдная аутентификация, обеспечивающая для каждого из участников процесса аутентификации, и субъекту доступа, и объекту доступа, уверенность в том, что другой участник процесса аутентификации является тем, за кого себя выдает.

3.11

виртуальный: Определение, характеризующее процесс или устройство в системе обработки информации кажущихся реально существующими, поскольку все их функции реализуются какими-либо другими средствами.

[ГОСТ 33707-2016, статья 4.151]

3.12 вторичная идентификация: Действия по проверке существования (наличия) идентификатора, предъявленного субъектом доступа при доступе, в перечне идентификаторов доступа, которые были присвоены субъектам доступа и объектам доступа при первичной идентификации.

Примечание - Вторичная идентификация рассматривается применительно к конкретному субъекту доступа.

3.13

вычислительные ресурсы: Технические средства ЭВМ, в том числе процессор, объемы оперативной и внешней памяти, время, в течение которого программа занимает эти средства в ходе выполнения.

[ГОСТ 28195-89, приложение 1]

3.14 доверенный объект: Объект, который будет действовать в полном соответствии с ожиданиями и субъекта доступа, и объекта доступа или любого из них, при этом выполняя то, что он должен делать, и не выполняя то, что он не должен делать.

Примечание - Адаптировано из [3].
________________
* Поз.[3], [5], [8] см. раздел Библиография. - Примечание изготовителя базы данных.

3.15 доверенная третья сторона: Участник процесса аутентификации, предоставляющий один или более сервисов в области защиты информации, которому доверяют другие участники процесса аутентификации как поставщику данных услуг.

Примечания

1 При аутентификации доверенной третьей стороне доверяют и субъект доступа и объект доступа.

2 В качестве доверенной третьей стороны могут рассматриваться: организация (например, осуществляющая функции удостоверяющего центра), администратор автоматизированной (информационной) системы, устройство.

3 Доверенная третья сторона является доверенным объектом.

3.16

доверие (assurance): Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности.

[ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005, пункт 2.4]


Примечание - Результаты, получаемые в рамках обеспечения доверия, рассматриваются в качестве оснований для уверенности.

3.17 доступ: Получение одной стороной информационного взаимодействия возможности использования ресурсов другой стороны информационного взаимодействия.

Примечания

1 В качестве ресурсов стороны информационного взаимодействия, которые может использовать другая сторона информационного взаимодействия, рассматриваются информационные ресурсы, вычислительные ресурсы средств вычислительной техники и ресурсы автоматизированных (информационных) систем, а также средства вычислительной техники и автоматизированные (информационные) системы в целом.

2 Доступ к информации - возможность получения информации и ее использования (см. [4]).

3.18 закрытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который должен быть использован только этим объектом.

Примечания

1 Адаптировано из [5].

2 Закрытый ключ не является общедоступным (см. [5]).

3 Ключ электронной подписи является примером закрытого ключа (см. [6]).

3.19 закрытый ключ неизвлекаемый: Закрытый ключ, который при его формировании и хранении невозможно извлечь из устройства аутентификации, в котором он был создан.

Примечание - Неизвлекаемость закрытого ключа заключается в отсутствии возможности его извлечения из устройства аутентификации, в котором он был создан, штатными средствами, предоставляемыми данным устройством аутентификации. Неизвлекаемость закрытого ключа в устройствах аутентификации, как правило, обеспечивается применяемыми схемотехническими решениями и гарантируется производителями устройств.

3.20 идентификатор доступа [субъекта (объекта) доступа], [идентификатор]: Признак субъекта доступа или объекта доступа в виде строки знаков (символов), который используется при идентификации и однозначно определяет (указывает) соотнесенную с ними идентификационную информацию.

3.21 идентификационная информация: Совокупность значений идентификационных атрибутов, которая связана с конкретным субъектом доступа или конкретным объектом доступа.

3.22 идентификационные данные: Совокупность идентификационных атрибутов и их значений, которая связана с конкретным субъектом доступа или конкретным объектом доступа.

Примечание - При первичной идентификации идентификационные данные, как правило, предоставляются субъектом доступа, ассоциированным с физическим лицом, или получаются возможным (доступным) способом от субъекта доступа, ассоциированного с ресурсом, и объекта доступа. Указанные идентификационные данные считаются идентификационными данными, заявленными субъектом (объектом) доступа (заявленными идентификационными данными).

3.23 идентификационный атрибут: Атрибут, который характеризует субъект доступа или объект доступа и может быть использован для его распознавания.

3.24

идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.

[ [1], статья 3.3.9]

3.25

информационные ресурсы: Отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

[ГОСТ Р 43.0.2-2006, статья 11]

3.26

ключ (key): Изменяемый параметр в виде последовательности символов, определяющий криптографическое преобразование.

[ГОСТ Р 34.12-2015, пункт 2.1.8]

3.27 метод аутентификации: Реализуемое при аутентификации предопределенное сочетание факторов, организации обмена и обработки аутентификационной информации, а также соответствующих данному сочетанию протоколов аутентификации.

3.28

метод обеспечения доверия (assurance method): Общепризнанная спецификация получения воспроизводимых результатов обеспечения доверия.

[ГОСТ Р 54581-2011/ISO/IEC/TR 15443-1:2005, пункт 2.11]

3.29 многофакторная аутентификация: Аутентификация, при выполнении которой используется не менее двух различных факторов аутентификации.

3.30 многошаговая идентификация и аутентификация: Идентификация и аутентификация, осуществляемая при доступе субъекта доступа к объекту доступа и состоящая из последовательности процессов ("шагов") идентификации и аутентификации.

Примечания

1 В рамках последовательности процессов ("шагов") идентификации и аутентификации осуществляется вторичная идентификация субъекта доступа.

2 В рамках последовательности процессов ("шагов") идентификации и аутентификации могут использоваться различные или одинаковые виды аутентификации: простая аутентификация, усиленная аутентификация, строгая аутентификация.

3.31

несанкционированный доступ: Доступ субъекта доступа к объекту доступа, нарушающий правила управления доступом.

[Адаптировано из [1], статья 3.2.10]

3.32

обладатель информации: Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

[ [4], статья 2]

3.33 объект доступа: Одна из сторон информационного взаимодействия, предоставляющая доступ.

3.34

объективное свидетельство: Данные, подтверждающие наличие или истинность чего-либо.

Примечание - Объективное свидетельство может быть получено путем наблюдения, измерения, испытания или другим способом.


[Адаптировано из ГОСТ Р ИСО 9000-2015, пункт 3.8.3].

3.35 одноразовый пароль: Однократно используемый пароль.

Примечание - Возможность использования для аутентификации одноразового пароля прекращается (исключается) при наступлении события получения доступа субъектом доступа или события отказа субъектом доступа и получения доступа, или события отказа объектом доступа в предоставлении доступа.

3.36 односторонняя аутентификация: Аутентификация, обеспечивающая только лишь для одного из участников процесса аутентификации (объекта доступа) уверенность в том, что другой участник процесса аутентификации (субъект доступа) является тем, за кого себя выдает предъявленным идентификатором доступа.

3.37 однофакторная аутентификация: Аутентификация, при выполнении которой используется один фактор аутентификации.

3.38

оператор автоматизированной (информационной) системы, оператор: Физическое или юридическое лицо, осуществляющие деятельность по эксплуатации автоматизированной (информационной) системы, в том числе по обработке информации, содержащейся в ее базах данных.

[Адаптировано из [4], статья 2]

3.39 открытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который может быть общедоступным.

Примечания

1 Адаптировано из [5].

2 Ключ проверки электронной подписи является примером открытого ключа (см. [6]).

3.40

пароль: Конфиденциальная аутентификационная информация, обычно состоящая из строки знаков.

[ГОСТ Р ИСО 7498-2-99, пункт 3.3.39]

3.41 первичная идентификация: Действия по формированию и регистрации информации о субъекте доступа или объекте доступа, а также действия по присвоению идентификатора доступа субъекту доступа или объекту доступа и его регистрации в перечне присвоенных идентификаторов доступа.

Примечание - Первичная идентификация рассматривается применительно к конкретному субъекту доступа и/или конкретному объекту доступа.

3.42

подлинность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичен заявленному.

[ГОСТ Р ИСО/МЭК 27000-2012, пункт 2.6]

3.43 подтверждающая информация: Информация, собранная и использованная для подтверждения идентификационных данных в соответствии с установленными требованиями к первичной идентификации.

3.44 пользователь: Физическое лицо, первичная идентификация которого выполнена в конкретной среде функционирования.

Примечание - Например, пользователем автоматизированной (информационной) системы является физическое лицо, первичная идентификация которого выполнена в конкретной автоматизированной (информационной) системе. После успешной вторичной идентификации и аутентификации пользователь (вычислительный процесс от его имени) получает доступ к ресурсам автоматизированной (информационной) системы для их использования.

3.45

правила управления доступом: Правила, регламентирующие условия доступа субъектов доступа к объектам доступа на основе прав доступа.

[Адаптировано из [1], статья 3.3.7]


Примечания

1 Права доступа субъектов доступа определяют перечень возможных действий, которые субъекты доступа могут выполнять над объектами доступа в конкретной среде функционирования.

2 Условия доступа определяют перечень действующих прав доступа субъектов доступа (перечень разрешенных и запрещенных действий субъектов доступа над объектами доступа), в конкретной среде функционирования.

3 Правила управления доступом могут устанавливаться нормативными правовыми актами, обладателем информации или оператором.

3.46 простая аутентификация: Аутентификация с применением метода однофакторной односторонней аутентификации и соответствующих данному методу протоколов аутентификации.

3.47 протокол аутентификации: Протокол, позволяющий участникам процесса аутентификации осуществлять аутентификацию.

Примечание - Протокол реализует алгоритм (правила), в рамках которого субъект доступа и объект доступа последовательно выполняют определенные действия и обмениваются сообщениями.

3.48

процесс (process): Совокупность взаимосвязанных и/или взаимодействующих видов деятельности, использующих входы для получения намеченного результата.

[ГОСТ Р ИСО 9000-2015, пункт 3.4.1]

3.49

ресурсы (информационной системы): Средства, использующиеся в информационной системе, привлекаемые для обработки информации (например, информационные, программные, технические, лингвистические).

[ [7], пункт А.20]

3.50

санкционирование доступа, авторизация:

Доступ к полной версии этого документа ограничен

Ознакомиться с документом вы можете, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт».

Что вы получите:

После завершения процесса оплаты вы получите доступ к полному тексту документа, возможность сохранить его в формате .pdf, а также копию документа на свой e-mail. На мобильный телефон придет подтверждение оплаты.

При возникновении проблем свяжитесь с нами по адресу spp@kodeks.ru

ГОСТ Р 58833-2020 Защита информации. Идентификация и аутентификация. Общие положения

Название документа: ГОСТ Р 58833-2020 Защита информации. Идентификация и аутентификация. Общие положения

Номер документа: 58833-2020

Вид документа: ГОСТ Р

Принявший орган: Росстандарт

Статус: Действующий

Опубликован: Официальное издание. М.: Стандартинформ, 2020
Дата принятия: 10 апреля 2020

Дата начала действия: 01 мая 2020