ДСТУ ISO/IEC 29115:2015 Інформаційні технології. Методи захисту. Структура гарантування автентифікації об`єктів (ISO/IEC 29115:2013, IDT)
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ДСТУ ISO/IEC 29115:2015
(ISO/IEC 29115:2013, IDТ)
Інформаційні технології
МЕТОДИ ЗАХИСТУ
Структура гарантування автентифікації об’єктів
Не є офіційним виданням.
Офіційне видання розповсюджує національний орган стандартизації
(ДП «УкрНДНЦ» http://uas.gov.ua)
ПЕРЕДМОВА
1 ВНЕСЕНО: Міжнародний науково-навчальний центр інформаційних технологій та систем НАН та МОН України; Технічний комітет зі стандартизації України «Інформаційні технології» (ТК 20)
ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: Ю. Рогушина, канд. фіз-мат. наук; Г. Снігир; А. Гладун, канд. техн. наук (науковий керівник); А. Гречко, канд. фіз-мат. наук
2 НАДАНО ЧИННОСТІ: наказ ДП «УкрНДНЦ» від 18 грудня 2015 р. № 193 з 2017-01-01 з урахуванням зміни, внесеної наказом ДП «УкрНДНЦ» від 06 квітня 2016 р. № 100
3 Національний стандарт відповідає ISO/IEC 29115:2013 Information technology — Secutity techniques — Entity authentication assurance framework (Інформаційні технології. Методи захисту. Структура гарантування автентифікації об’єктів)
Ступень відповідності — ідентичний (IDТ)
Переклад з англійської (en)
4 НА ЗАМІНУ ДСТУ ISO/IEC 29115:2014
ЗМІСТ
Національний вступ
Передмова до ISO/IEC 29115:2013
Вступ до ISO/IEC 29115:2013
1 Сфера застосування
2 Нормативні посилання
2.1 Ідентичні рекомендації та міжнародні стандарти
2.2 Парні рекомендації та міжнародні стандарти
2.3 Додаткові посилання
3 Терміни та визначення понять
4 Скорочення
5 Угоди
6 Рівні гарантування
6.1 Рівень гарантування 1 (LоА1)
6.2 Рівень гарантування 2 (LоА2)
6.3 Рівень гарантування 3 (LоА3)
6.4 Рівень гарантування 4 (LоА4)
6.5 Вибір відповідного рівня гарантування
6.6 Відображення та взаємодія рівнів гарантування
6.7 Обмін результатами автентифікації, оснований на чотирьох LoA
7 Актори
7.1 Об’єкт
7.2 Постачальник сервісу повноважень
7.3 Орган реєстрації
7.4 Довірча сторона
7.5 Верифікатор
7.6 Довірена третя сторона
8 Фази структури гарантування автентифікації об’єктів
8.1 Фаза реєстрації
8.2 Фаза керування повноваженнями
8.3 Фаза автентифікації об’єкта
9 Керування та організаційні рішення
9.1 Заснування сервісів
9.2 Правові та договірні положення
9.3 Фінансові положення
9.4 Аудит і керування інформаційною безпекою
9.5 Складові зовнішніх послуг
9.6 Операційна інфраструктура
9.7 Операційні можливості вимірювання
10 Загрози та керування
10.1 Загрози та керування для фази реєстрації
10.2 Загрози та керування для фази керування повноваженнями
10.3 Загрози та керування для фази автентифікації
11 Критерії гарантування сервісів
Додаток А Недоторканність приватного життя та захист даних, що ідентифікують особу
Додаток В Характерні ознаки повноважень
Бібліографія
Додаток НА Перелік національних стандартів України, ідентичних або модіфікованих з міжнародними стандартами, посилання на які є в цьому стандарті
НАЦІОНАЛЬНИЙ ВСТУП
Цей національний стандарт ДСТУ ISO/IEC 29115:2015 (ISO/IEC 29115:2013, IDТ) «Інформаційні технології. Методи захисту. Структура гарантування автентифікації об’єктів», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 29115:2013 (версія en) «Information technology — Secutity techniques — Entity authentication assurance framework».
Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».
Цей стандарт прийнято на заміну ДСТУ ISO/IEC 29115:2014 «Інформаційні технології. Методи забезпечення безпеки. Схема забезпечення автентифікації об’єкта», який прийнято методом підтвердження, оскільки неоднозначне тлумачення положень стандарту, викладене англійською мовою, ускладнило розуміння тексту користувачами, що зумовило прийняття цього стандарту методом перекладу.
У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.
До стандарту внесено такі редакційні зміни:
— слова «цей міжнародний стандарт», «цей документ» замінено на «цей стандарт», крім «Передмови до ISO/IEC 29115:2013» та «Вступу до ISO/IEC 29115:2013»;
— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять», «Бібліографію» та «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України;
— до розділу «Скорочення» долучено «Національну примітку», виділену в тексті рамкою;
— долучено довідковий додаток НА (Перелік національних стандартів України, ідентичних або модифікованих з міжнародними стандартами, посилання на які є в цьому стандарті)
ПЕРЕДМОВА до ISO/IEC 29115:2013
ISO (Міжнародна організація зі стандартизації) і МЕК (Міжнародна електротехнічна комісія) утворюють спеціалізовану систему міжнародної стандартизації. Національні органи, які є членами ISO або ІЕС, беруть участь у розробленні міжнародних стандартів через технічні комітети, створені відповідною організацією для стандартизації в конкретних сферах технічної діяльності. Технічні комітети ISO та ІЕС співпрацюють у галузях, що становлять взаємний інтерес. Інші міжнародні організації, урядові та неурядові, разом з ISO та ІЕС, також беруть участь у роботі. В області інформаційних технологій ISO та ІЕС створили об’єднаний технічний комітет ISO/IEC JTC 1.
Міжнародні стандарти розробляють відповідно до правил, наведених у частині 2 Директив ISO/IEC. Основним завданням спільного технічного комітету є підготовка міжнародних стандартів. Проекти міжнародних стандартів, прийняті об’єднаним технічним комітетом, розсилають національним органам для голосування. Опублікування документа міжнародного стандарту вимагає схвалення щонайменше 75 % національних органів, які беруть участь у голосуванні.
Важливо, що деякі з елементів цього документа можуть бути об’єктом патентних прав. ISO та ІЕС не відповідають за ідентифікацію будь-якого чи всіх цих патентних прав.
ISO/IEC 29115 підготовлено Об’єднаним технічним комітетом ISO/IEC JTC 1 «Інформаційні технології», Підкомітетом SC 27 «Методи захисту ІТ».
Подібний текст опубліковано в рекомендації ITU-T Х.1254. Він відрізняється від цього тексту трьома положеннями:
1) 3.8: визначення ISO/IEC містить ствердження ідентичності;
2) таблиця 10-1: ISO/IEC наведено приклад для уособлення, який передбачає використання ідентичності для об’єкта, якого нема;
3) 10.2.2.1: ISO/IEC описує SSL як приклад захищеного каналу.
ВСТУП до ISO/IEC 29115:2013
Багато електронних транзакцій у системах інформаційно-комунікаційних технологій або під час обміну даними між ними потребують вимог щодо їхнього захисту, які залежать від обумовленого угодою або певного рівня довіри до ідентичності об’єктів, які беруть у них участь. Такі вимоги можуть враховувати захист активів і ресурсів від несанкціонованого доступу, до яких може бути застосовано механізм контролю доступу, та/або забезпечення дотримання підзвітності веденням журналів аудіту відповідних заходів, а також обліку і тарифікації цілей.
Цей міжнародний стандарт описує структуру гарантування автентифікації об’єкта. А також забезпечення в межах цього міжнародного стандарту довіри до всіх процесів діяльності щодо керування захистом і технологій, які застосовують для створення і керування ідентичністю об’єкта в транзакціях автентифікації.
Забезпечуючи чотири специфіковані рівні гарантування (Levels of Assurance, LoA), цей міжнародний стандарт надає настанови щодо керування технологіями, процесами та діяльності з керування, а також установлює критерії гарантування, які має бути застосовано для зниження загрози автентифікації з метою реалізації чотирьох рівнів гарантування захисту — LoA. Стандарт також надає настанову щодо розроблення плану для інших схем забезпечення автентифікації в зазначених чотирьох рівнях, а також настанову щодо обміну результатами транзакції автентифікації. і врешті, цей міжнародний стандарт надає інформаційні вказівки про захист особистої інформації (PH), пов’язаної з процесом автентифікації.
Цей міжнародний стандарт призначено для використання постачальниками сервісу повноважень (CSP) та іншими учасниками, які зацікавлені в цих послугах (наприклад, довірчими сторонами, експертами й аудиторами цих послуг). Ця структура гарантування автентифікації об’єкта (EAAF) визначає мінімальну кількість технічних вимог, вимог керування і вимог до технологічного процесу для чотирьох рівнів LoA, щоб забезпечити відповідність облікових даних між різними постачальниками сервісу повноважень. Структура також забезпечує деякі додаткові функції керування та організаційні рішення, які впливають на гарантування автентифікації об’єкта, але критерії для цих рішень конкретно не визначено. Довірчі сторони (Relying Parties, RP) та інші користувачі можуть вважати цей міжнародний стандарт корисним для отримання уявлення про те, що забезпечує кожен з рівнів LoA. Крім того, він може бути адаптований для використання в довірчій структурі щодо питань визначення технічних вимог до LoA. EAAF призначено для випадків використання, орієнтованих на сеанс і роботу з документами, використовуючи різні технології автентифікації, але не тільки для цього. Як безпосередні, так і з посередниками, довірені сценарії можливі або як двосторонні зв’язки, або в межах правових груп.
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
МЕТОДИ ЗАХИСТУ
СТРУКТУРА ГАРАНТУВАННЯ АВТЕНТИФІКАЦІЇ ОБ’ЄКТІВ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
МЕТОДЫ ЗАЩИТЫ
СТРУКТУРА ГАРАНТИРОВАНИЯ АУТЕНТИФИКАЦИИ ОБЪЕКТОВ
INFORMATION TECHNOLOGY
SECUTITY TECHNIQUES
ENTITY AUTHENTICATION ASSURANCE FRAMEWORK
Чинний від 2017-01-01
1 СФЕРА ЗАСТОСУВАННЯ
Цей стандарт забезпечує структуру для керування гарантуванням автентифікацією об’єкта в різних напрямках. Зокрема:
— визначає чотири рівні гарантування автентифікації об’єкта;
— визначає критерії та керівні принципи для досягнення кожного з чотирьох рівнів гарантування автентифікації об’єкта;
— надає настанову щодо розроблення плану для інших схем гарантування автентифікації об’єкта для чотирьох рівнів гарантування (LoA);
— надає керівні принципи щодо обміну результатами автентифікацїї, які базуються на чотирьох LoA;
— надає керівні принципи щодо керування, які мають бути забезпечені для зниження загроз автентифікації.
2 НОРМАТИВНІ ПОСИЛАННЯ
У наведених нижче нормативних документах зазначено положення, які через посилання в цьому тексті становлять положення цього стандарту. У разі датованих посилань застосовують тільки на ведені видання. У разі недатованих посилань треба користуватися останнім виданням нормативних документів (разом зі змінами).
2.1 Ідентичні рекомендації та міжнародні стандарти
Немає.
2.2 Парні рекомендації та міжнародні стандарти
Немає.
2.3 Додаткові посилання
Немає.
Повна версія документа доступна в тарифі «ВСЕ ВРАХОВАНО».