воскресенье, 16 января 2022 г.

ИСО и МЭК: Опубликован стандарт ISO/IEC 27551:2021 «Требования к основанной на атрибутах несвязываемой аутентификации объектов»

Как сообщил сайт Международной организации по стандартизации (ИСО), в сентябре 2021 года был опубликован новый стандарт ISO/IEC 27551:2021 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Требования к основанной на атрибутах несвязываемой аутентификации объектов» (ISO/IEC 27551:2021 Information security, cybersecurity and privacy protection - Requirements for attribute-based unlinkable entity authentication) объёмом 42 страницы, см. https://www.iso.org/standard/72018.html и https://www.iso.org/obp/ui/#!iso:std:72018:en .

Документ подготовлен техническим подкомитетом SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии». О работе над ним я упоминала здесь: https://rusrim.blogspot.com/2017/12/2_13.html .

Во вводной части документа, в частности, отмечается:

«Стандарт ISO/IEC 29100 устанавливает одиннадцать принципов обеспечения неприкосновенности частной жизни, которые применяются ко всем действующим лицам, которые могут быть вовлечены в обработку персональных данных (ПДн). Второй из этих принципов – принцип ограничение сбора персональных данных. Несмотря на эту рекомендацию, текущее положение дел таково, что интернет-сайты во время доступа субъекта персональных данных к сервису собирают больше информации, чем это необходимо. Например, если сайту требуется лишь подтверждение того, что субъект ПДн старше определенного возраста, только эта информация и должна быть необходима для получения услуги. Однако часто бывает так, что предоставляется иная информация, - такая как постоянный идентификатор пользователя, - что позволяет объединить сведения о посещении одним и тем же субъектом ПДн различных сайтов или же сведения о нескольких посещениях им одного и того же сайта.

Мой комментарий: Здесь упомянут международный стандарт ISO/IEC 29100:2011 «Информационная технология. Методы и средства обеспечения безопасности. Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework, см. http://standards.iso.org/ittf/PubliclyAvailableStandards/c045123_ISO_IEC_29100_2011.zip ). В России данный стандарт адаптирован дважды, как:

  • ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230564

  • ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307

Чтобы соответствовать принципу ограничения сбора персональных данных, сайт в приведенном выше примере должен вместо этого использовать тип идентификатора объекта, который не позволяет ему связать друг с другом два или более посещения сайта субъектом ПДн. Это означает, что при выполнении двух транзакций трудно различить, были ли транзакции выполнены одним и тем же пользователем или двумя разными пользователями. Это один из видов несвязываемости (unlinkability). Несколько других типов несвязываемости также могут быть приняты во внимание и могут быть желательны в приложениях.

Основанная на атрибутах несвязываемая аутентификация объектов (attribute-based unlinkable entity authentication, ABUEA) предоставляет субъектам ПДн средства для установления аутентичности избранного подмножества атрибутов из их идентификационного профиля, без раскрытия большего подмножества. Особое внимание уделяется обеспечению несвязываемости, и вводится метрика, которая измеряет силу этого свойства в реализациях ABUEA. В данном документе особое внимание обращается на ситуации, когда как минимум бы один атрибут подтверждается третьей стороной. В данном документе также выделяются свойства безопасности, которые необходимо реализовать для обеспечения защиты различного рода, а также свойства несвязываемости.

Разработанная в данном документе методология может быть адаптирована и применена в отношении других принципов обеспечения неприкосновенности частной жизни. Сформулированные в данном документе требования применяются на уровне информационного обмена с приложением (application communication layer). Однако некоторые свойства, реализованные в протоколе прикладного уровня, могут быть нарушены протоколом более низкого уровня (например, сетевого), - и это означает, что свойства протоколов нижних уровней, связанные с обеспечением безопасности и неприкосновенности частной жизни, также должны быть приняты во внимание для того, чтобы обеспечить, чтобы свойства реализованные на уровне информационного обмена с приложением сохранялись при рассмотрении характеристик нижележащих коммуникационных уровней, касающихся обеспечения безопасности и неприкосновенности частной жизни.

Данный документ описывает концепцию и устанавливает требования к основанной на атрибутах несвязываемой аутентификации объектов (attribute-based unlinkable entity authentication, ABUEA).»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Общие цели аутентификации объектов на основе атрибутов
6. Свойства протоколов аутентификации объектов на основе атрибутов
7. Свойства несвязываемости протоколов аутентификации объектов на основе атрибутов
8. Атрибуты
9. Требования к основанной на атрибутах несвязываемой аутентификации объектов уровня N
Приложение A: Формальные определения понятий безопасности и несвязываемости
Приложение B: Примеры протоколов аутентификации объектов на основе атрибутов
Приложение C: Реализация основанной на атрибутах несвязываемой аутентификации объектов (ABUEA) в протоколах OpenID Connect и FIDO
Приложение D: Варианты использования для основанной на атрибутах несвязываемой аутентификации объектов
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/72018.html
https://www.iso.org/obp/ui/#!iso:std:72018:en

Комментариев нет:

Отправить комментарий