США: Национальный институт стандартов и технологий NIST готовится пересматривать «Руководство по цифровой идентичности» и собирает мнения

9 июня 2020 года американский Национальный институт стандартов и технологий (NIST) объявил о начале сбора замечаний и предложений по набору из 4 документов в составе «Руководства по цифровой идентичности» (Digital Identity Guideline), в число которых входят

• специальная публикация NIST SP 800-63-3 «Руководствj по цифровой идентичности» (Digital Identity Guidelines), https://csrc.nist.gov/publications/detail/sp/800-63/3/final ,


• специальная публикация NIST SP 800-63A «Регистрация и проверка личности» (Enrollment and Identity Proofing), https://csrc.nist.gov/publications/detail/sp/800-63a/final ,


• специальная публикация NIST SP 800-63B «Аутентификация и управление жизненным циклом» (Authentication and Lifecycle Management), https://csrc.nist.gov/publications/detail/sp/800-63b/final , и


• специальная публикация NIST SP 800-63C «Объединение и заверения» (Federation and Assertions), https://csrc.nist.gov/publications/detail/sp/800-63c/final .

В новости говорится: «В этом наборе документов описаны меры контроля и управления, а также технические требования, которые нужно выполнить для соответствия уровням уверенности в управлении цифровыми идентификационными профилями, специфицированном в каждом документе.»

«Период общественного обсуждения заканчивается 10 августа 2020 года. См. ниже «Извещение о сборе замечаний и предложений», в котором описана предыстория этого обсуждения, и раздел «К сведению рецензентов» (Note to Reviewers), в котором обозначен ряд конкретных тем, по которым NIST запрашивает Ваши отзывы. Пожалуйста, направляйте Ваши замечании и предложения по адресу dig-comments-RFC@nist.gov .»

«Извещение о сборе замечаний и предложений» (Call for Comments on Digital Identity Guidelines) доступно по адресу: https://csrc.nist.gov/publications/detail/sp/800-63/4/draft

NIST особенно заинтересован в комментариях и рекомендациях по следующим вопросам:

• Усиление защиты неприкосновенности частной жизни и аспекты проверки личности, аутентификации и объединения (федерации) идентификационных профилей, включая новые разработки методов ограничения возможности установления связей и наблюдаемости такого объединения;


• Продолжение использования СМС-сообщений и телефонных сетей общего пользования в качестве ограниченных каналов аутентификации вне пределов охвата основной сети;


• Способность обеспечивать безопасность и эффективность (например, детектирование презентационных атак / проверка реального присутствия) при сборе биометрических характеристик для поддержки удаленного подтверждения личности на уровне уверенности (Identity Assurance Level 2), в области верификации подтверждающих личность доказательств (физическое / биометрическое сравнение) или привязки аутентификаторов;


• Возможности и инновационные подходы к удаленной проверке личности с целью достижения такой же степени уверенности, как и при личной проверке;


• Вопросы безопасности и неприкосновенности частной жизни; и метрики выполнения действий для использования поведенческих характеристик в качестве фактора аутентификации.


• Использование динамической, основанной на знаниях информации проверки личности;


• Способность обеспечить соответствие федеральному уровню уверенности 3;


• Возможности и соображения безопасности по противодействию имитации  устройства проверки (verifier impersonation resistance);


• Дополнительные меры и средства контроля / управления и смягчения последствий для борьбы с постоянно эволюционирующими угрозами, такими, как фишинг и автоматизированные атаки.

Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-63/4/draft