ДСТУ ISO/IEC 29115:2015 Інформаційні технології. Методи захисту. Структура гарантування автентифікації об`єктів (ISO/IEC 29115:2013, IDT)

Даний документ доступний у тарифі «ВСЕ ВРАХОВАНО»

Увійти в Особистий кабінет

Увійти Реєстрація

У Вас є питання стосовно документа? Ми раді на них відповісти!

Помітили помилку в документі або на сайті? Будь ласка, напишіть нам про це!

Сервіс містить 21217 безкоштовних документів. Реєструйтеся безкоштовно >>>

Інформація про документ
Посилання на документи

Найменування документа:

ДСТУ ISO/IEC 29115:2015 Інформаційні технології. Методи захисту. Структура гарантування автентифікації об`єктів (ISO/IEC 29115:2013, IDT)

Статус:

Діючий

Мова документа

Українська

Дата початку дії:

01.01.2017

Дата прийняття:

18.12.2015

Затверджуючий документ:

Наказ від 18.12.2015 № 193 Про прийняття нормативних документів України, гармонізованих з міжнародними та європейськими нормативними документами, скасування національних стандартів України

На заміну:

ДСТУ ISO/IEC 29115:2014

Вид документа:

ДСТУ (Державний Стандарт України)

Шифр документа:

ДСТУ ISO/IEC 29115:2015

Розробник:

Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20)

Документ відповідає офіційному тексту.
З питань придбання офіційного видання звертайтесь до національного органу стандартизації (ДП «УкрНДНЦ»)

У даному документі є посилання на інші нормативні документи:

ДСТУ ISO/IEC 27001:2015 Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2013/Cor 2:2015, IDT). Поправка № 2:2019

Постанова від 18.06.2014 № 10-1 Про затвердження Положення про реєстр застрахованих осіб Державного реєстру загальнообов`язкового державного соціального страхування

ДСТУ ISO/IEC 27001:2015 Інформаційні технології. Методи захисту системи управління інформаційною безпекою. Вимоги. Поправка (ISO/IEC 27001:2013; Сог 1:2014, IDТ)

ДСТУ ISO/IEC 9798-6:2015 Інформаційні технології. Методи захисту. Автентифікація об`єктів. Частина 6. Механізми, що використовують ручне передавання даних (ISO/IEC 9798-6:2010, IDT)

ДСТУ ISO/IEC 9798-5:2015 Інформаційні технології. Методи захисту. Автентифікація об`єктів. Частина 5. Механізми, що використовують методи нульової обізнаності (ISO/IEC 9798-5:2009, IDT)

ДСТУ ISO/IEC 9798-4:2015 Інформаційні технології. Методи захисту. Автентифікація об’єктів. Частина 4. Механізми, що використовують криптографічну перевірочну функцію (ISO/IEC 9798-4:1999, Соr 1:2009, Сог 2:2012, IDT)

ДСТУ ISO/IEC 9798-2:2015 Інформаційні технології. Методи захисту. Автентифікація об’єктів. Частина 2. Механізми, що використовують симетричні алгоритми шифрування (ISO/IEC 9798-2:2008; Сог 3:2013, IDТ)

ДСТУ ISO/IEC 9798-1:2015 Інформаційні технології. Методи захисту. АВтентифікація об’єктів. Частина 1. Загальні положення (ISO/IEC 9798-1:2010, IDТ)

ДСТУ ISO/IEC 27001:2015 Інформаційні технології. Методи захисту cистеми управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2013; Cor 1:2014, IDT)

ДСТУ ISO/IEC 19790:2015 Інформаційні технології. Методи захисту. Вимоги безпеки до криптографічних модулів (ISO/IEC 19790:2012, IDT)

ДСТУ 7731:2015 Інформаційні технології. Методи захисту. Основні положення щодо забезпечення невтручання в особисте життя (ISO/IEC 29100:2011, MOD)

Інформація про документ

Найменування документа:

Статус:

Діючий

Мова документа

Українська

Дата початку дії:

01.01.2017

Дата прийняття:

18.12.2015

Затверджуючий документ:

На заміну:

ДСТУ ISO/IEC 29115:2014

Вид документа:

ДСТУ (Державний Стандарт України)

Шифр документа:

ДСТУ ISO/IEC 29115:2015

Розробник:

Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20)

Посилання на документи

У даному документі є посилання на інші нормативні документи:

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ДСТУ ISO/IEC 29115:2015
(ISO/IEC 29115:2013, IDТ)

Інформаційні технології

МЕТОДИ ЗАХИСТУ

Структура гарантування автентифікації об’єктів

Відповідає офіційному тексту

З питань придбання офіційного видання звертайтесь
до національного органу стандартизації
(ДП «УкрНДНЦ» http://uas.gov.ua)

ПЕРЕДМОВА

1 ВНЕСЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем НАН та МОН України; Технічний комітет зі стандартизації України «Інформаційні технології» (ТК 20)

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: Ю. Рогушина, канд. фіз-мат. наук; Г. Снігир; А. Гладун, канд. техн. наук (науковий керівник); А. Гречко, канд. фіз-мат. наук

2 НАДАНО ЧИННОСТІ: наказ ДП «УкрНДНЦ» від 18 грудня 2015 р. № 193 з 2017-01-01 з урахуванням зміни, внесеної наказом ДП «УкрНДНЦ» від 06 квітня 2016 р. № 100

3 Національний стандарт відповідає ISO/IEC 29115:2013 Information technology — Secutity techniques — Entity authentication assurance framework (Інформаційні технології. Методи захисту. Структура гарантування автентифікації об’єктів)

Ступень відповідності — ідентичний (IDТ)

Переклад з англійської (en)

4 НА ЗАМІНУ ДСТУ ISO/IEC 29115:2014

ЗМІСТ

Національний вступ

Передмова до ISO/IEC 29115:2013

Вступ до ISO/IEC 29115:2013

1 Сфера застосування

2 Нормативні посилання

2.1 Ідентичні рекомендації та міжнародні стандарти

2.2 Парні рекомендації та міжнародні стандарти

2.3 Додаткові посилання

3 Терміни та визначення понять

4 Скорочення

5 Угоди

6 Рівні гарантування

6.1 Рівень гарантування 1 (LоА1)

6.2 Рівень гарантування 2 (LоА2)

6.3 Рівень гарантування 3 (LоА3)

6.4 Рівень гарантування 4 (LоА4)

6.5 Вибір відповідного рівня гарантування

6.6 Відображення та взаємодія рівнів гарантування

6.7 Обмін результатами автентифікації, оснований на чотирьох LoA

7 Актори

7.1 Об’єкт

7.2 Постачальник сервісу повноважень

7.3 Орган реєстрації

7.4 Довірча сторона

7.5 Верифікатор

7.6 Довірена третя сторона

8 Фази структури гарантування автентифікації об’єктів

8.1 Фаза реєстрації

8.2 Фаза керування повноваженнями

8.3 Фаза автентифікації об’єкта

9 Керування та організаційні рішення

9.1 Заснування сервісів

9.2 Правові та договірні положення

9.3 Фінансові положення

9.4 Аудит і керування інформаційною безпекою

9.5 Складові зовнішніх послуг

9.6 Операційна інфраструктура

9.7 Операційні можливості вимірювання

10 Загрози та керування

10.1 Загрози та керування для фази реєстрації

10.2 Загрози та керування для фази керування повноваженнями

10.3 Загрози та керування для фази автентифікації

11 Критерії гарантування сервісів

Додаток А Недоторканність приватного життя та захист даних, що ідентифікують особу

Додаток В Характерні ознаки повноважень

Бібліографія

Додаток НА Перелік національних стандартів України, ідентичних або модіфікованих з міжнародними стандартами, посилання на які є в цьому стандарті

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 29115:2015 (ISO/IEC 29115:2013, IDТ) «Інформаційні технології. Методи захисту. Структура гарантування автентифікації об’єктів», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 29115:2013 (версія en) «Information technology — Secutity techniques — Entity authentication assurance framework».

Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».

Цей стандарт прийнято на заміну ДСТУ ISO/IEC 29115:2014 «Інформаційні технології. Методи забезпечення безпеки. Схема забезпечення автентифікації об’єкта», який прийнято методом підтвердження, оскільки неоднозначне тлумачення положень стандарту, викладене англійською мовою, ускладнило розуміння тексту користувачами, що зумовило прийняття цього стандарту методом перекладу.

У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.

До стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт», «цей документ» замінено на «цей стандарт», крім «Передмови до ISO/IEC 29115:2013» та «Вступу до ISO/IEC 29115:2013»;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять», «Бібліографію» та «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;

— до розділу «Скорочення» долучено «Національну примітку», виділену в тексті рамкою;

— долучено довідковий додаток НА (Перелік національних стандартів України, ідентичних або модифікованих з міжнародними стандартами, посилання на які є в цьому стандарті)

ПЕРЕДМОВА до ISO/IEC 29115:2013

ISO (Міжнародна організація зі стандартизації) і МЕК (Міжнародна електротехнічна комісія) утворюють спеціалізовану систему міжнародної стандартизації. Національні органи, які є членами ISO або ІЕС, беруть участь у розробленні міжнародних стандартів через технічні комітети, створені відповідною організацією для стандартизації в конкретних сферах технічної діяльності. Технічні комітети ISO та ІЕС співпрацюють у галузях, що становлять взаємний інтерес. Інші міжнародні організації, урядові та неурядові, разом з ISO та ІЕС, також беруть участь у роботі. В області інформаційних технологій ISO та ІЕС створили об’єднаний технічний комітет ISO/IEC JTC 1.

Міжнародні стандарти розробляють відповідно до правил, наведених у частині 2 Директив ISO/IEC. Основним завданням спільного технічного комітету є підготовка міжнародних стандартів. Проекти міжнародних стандартів, прийняті об’єднаним технічним комітетом, розсилають національним органам для голосування. Опублікування документа міжнародного стандарту вимагає схвалення щонайменше 75 % національних органів, які беруть участь у голосуванні.

Важливо, що деякі з елементів цього документа можуть бути об’єктом патентних прав. ISO та ІЕС не відповідають за ідентифікацію будь-якого чи всіх цих патентних прав.

ISO/IEC 29115 підготовлено Об’єднаним технічним комітетом ISO/IEC JTC 1 «Інформаційні технології», Підкомітетом SC 27 «Методи захисту ІТ».

Подібний текст опубліковано в рекомендації ITU-T Х.1254. Він відрізняється від цього тексту трьома положеннями:

1) 3.8: визначення ISO/IEC містить ствердження ідентичності;

2) таблиця 10-1: ISO/IEC наведено приклад для уособлення, який передбачає використання ідентичності для об’єкта, якого нема;

3) 10.2.2.1: ISO/IEC описує SSL як приклад захищеного каналу.

ВСТУП до ISO/IEC 29115:2013

Багато електронних транзакцій у системах інформаційно-комунікаційних технологій або під час обміну даними між ними потребують вимог щодо їхнього захисту, які залежать від обумовленого угодою або певного рівня довіри до ідентичності об’єктів, які беруть у них участь. Такі вимоги можуть враховувати захист активів і ресурсів від несанкціонованого доступу, до яких може бути застосовано механізм контролю доступу, та/або забезпечення дотримання підзвітності веденням журналів аудіту відповідних заходів, а також обліку і тарифікації цілей.

Цей міжнародний стандарт описує структуру гарантування автентифікації об’єкта. А також забезпечення в межах цього міжнародного стандарту довіри до всіх процесів діяльності щодо керування захистом і технологій, які застосовують для створення і керування ідентичністю об’єкта в транзакціях автентифікації.

Забезпечуючи чотири специфіковані рівні гарантування (Levels of Assurance, LoA), цей міжнародний стандарт надає настанови щодо керування технологіями, процесами та діяльності з керування, а також установлює критерії гарантування, які має бути застосовано для зниження загрози автентифікації з метою реалізації чотирьох рівнів гарантування захисту — LoA. Стандарт також надає настанову щодо розроблення плану для інших схем забезпечення автентифікації в зазначених чотирьох рівнях, а також настанову щодо обміну результатами транзакції автентифікації. і врешті, цей міжнародний стандарт надає інформаційні вказівки про захист особистої інформації (PH), пов’язаної з процесом автентифікації.

Цей міжнародний стандарт призначено для використання постачальниками сервісу повноважень (CSP) та іншими учасниками, які зацікавлені в цих послугах (наприклад, довірчими сторонами, експертами й аудиторами цих послуг). Ця структура гарантування автентифікації об’єкта (EAAF) визначає мінімальну кількість технічних вимог, вимог керування і вимог до технологічного процесу для чотирьох рівнів LoA, щоб забезпечити відповідність облікових даних між різними постачальниками сервісу повноважень. Структура також забезпечує деякі додаткові функції керування та організаційні рішення, які впливають на гарантування автентифікації об’єкта, але критерії для цих рішень конкретно не визначено. Довірчі сторони (Relying Parties, RP) та інші користувачі можуть вважати цей міжнародний стандарт корисним для отримання уявлення про те, що забезпечує кожен з рівнів LoA. Крім того, він може бути адаптований для використання в довірчій структурі щодо питань визначення технічних вимог до LoA. EAAF призначено для випадків використання, орієнтованих на сеанс і роботу з документами, використовуючи різні технології автентифікації, але не тільки для цього. Як безпосередні, так і з посередниками, довірені сценарії можливі або як двосторонні зв’язки, або в межах правових груп.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
СТРУКТУРА ГАРАНТУВАННЯ АВТЕНТИФІКАЦІЇ ОБ’ЄКТІВ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ
СТРУКТУРА ГАРАНТИРОВАНИЯ АУТЕНТИФИКАЦИИ ОБЪЕКТОВ

INFORMATION TECHNOLOGY
SECUTITY TECHNIQUES
ENTITY AUTHENTICATION ASSURANCE FRAMEWORK

Чинний від 2017-01-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт забезпечує структуру для керування гарантуванням автентифікацією об’єкта в різних напрямках. Зокрема:

— визначає чотири рівні гарантування автентифікації об’єкта;

— визначає критерії та керівні принципи для досягнення кожного з чотирьох рівнів гарантування автентифікації об’єкта;

— надає настанову щодо розроблення плану для інших схем гарантування автентифікації об’єкта для чотирьох рівнів гарантування (LoA);

— надає керівні принципи щодо обміну результатами автентифікацїї, які базуються на чотирьох LoA;

— надає керівні принципи щодо керування, які мають бути забезпечені для зниження загроз автентифікації.

2 НОРМАТИВНІ ПОСИЛАННЯ

У наведених нижче нормативних документах зазначено положення, які через посилання в цьому тексті становлять положення цього стандарту. У разі датованих посилань застосовують тільки на ведені видання. У разі недатованих посилань треба користуватися останнім виданням нормативних документів (разом зі змінами).

2.1 Ідентичні рекомендації та міжнародні стандарти

Немає.

2.2 Парні рекомендації та міжнародні стандарти

Немає.

2.3 Додаткові посилання

Немає.