Публикация американским Национальным институтом стандартов и технологий (National Institute of Standards and Technology, NIST) в 2025 году 5-й редакции (Revision 4) специальной публикации NIST SP 800-63-4 знаменует собой кардинальный сдвиг в подходе организаций к цифровым идентификационным профилям (digital identity).
Мой комментарий: Речь идёт о комплекте документов под названием NIST SP 800-63-4 «Руководство по цифровой идентичности» (Digital Identity Guidelines).О работе над данной редакцией я уже упоминала на блоге, см. http://rusrim.blogspot.com/2020/07/nist.html
Данная редакция выходит далеко за рамки уточнения технических мер и средств контроля и управления. В неё переосмысливается, каким образом обеспечение уверенности, риск, защита персональных данных и удобство использования могут гармонично сочетаться во всё более сложных и чувствительных (в плане конфиденциальности информации – Н.Х.) цифровых средах. В связи с растущей важностью онлайн-взаимодействия, данное руководство закладывает основу для построения жизнестойких и ориентированных на пользователя экосистем управления идентификационными профилями.
В специальной публикации представлена всесторонняя концепция «Управления рисками цифровой идентификации» (Digital Identity Risk Management, DIRM). Она позволяет организациям оценивать специфические риски, связанные выполнением их миссии, выбирать подходящие уровни обеспечения уверенности (IAL, AAL, FAL) и настраивать меры безопасности в соответствии с реальными потребностями. Она также продвигает модели хранимых подписчиками удостоверенных атрибутов, такие как «цифровые кошельки» (digital wallets); включает значимые показатели производительности и обеспечивает стратегическое управление ИИ в соответствии с Концепцией NIST управления рисками ИИ (NIST AI Risk Management Framework). Эти обновления в совокупности делают возможной более гибкую и подотчётную инфраструктуру управления идентификационными профилями.
В специальной публикации SP 800-63-4 подчёркивается важная истина: цифровая идентификация - это уже не просто техническая мера контроля и управления; это ключевой элемент доверия. Крайне важна прозрачность в системах управления идентификационными профилями, использующих технологии искусственного интеллекта и машинного обучения, - особенно по мере того, как эти инструменты всё чаще становятся движущей силой решений, связанные с подтверждением личности и выявлением мошенничества. Федеративные модели идентификации должны эволюционировать с тем, чтобы предоставить пользователям больший контроль, сохраняя при этом целостность и проверяемость. В то же время многие организации по-прежнему рассматривают уровни обеспечения уверенности как фиксированные ярлыки, а не как адаптируемые показатели риска. В отсутствие динамичных стратегий системы идентификации не будут соответствовать реалиям оперативной деятельности. Данное руководство призывает к действию - к разработке гибких, прозрачных и заслуживающих доверия систем управления идентификационными профилями.
Юсуф Пурна (Yusuf Purna)
Мой комментарий: Как отмечается в информации на сайте NIST, в июле 2025 года NIST выпустил окончательную версию SP 800-63 4-й ревизии (т.е. 5-й редакции). Данная редакция специальной публикации SP 800-63 «Руководство по цифровой идентичности» (Digital Identity Guidelines), ставшая результатом почти четырехлетних усилий, включавших фундаментальные исследования, проведение двух публичных обсуждений текста проекта и обработку почти 6000 отдельных замечаний и предложений, полученных от общественности, призвана отреагировать на изменения в цифровом ландшафте, произошедшие с момента публикации последней крупной редакции этого пакета документов в 2017 году. В руководстве описаны процесс и технические требования для достижения уровней уверенности в цифровой идентификации при проверке личности, аутентификации и федерации, включая требования к обеспечению безопасности и защите персональных данных, а также соображения по повышению удобства для пользователей при использовании решений и технологий цифровой идентификации.
Онлайн-версии четырёх частей руководства SP 800-63-4 доступны по ссылкам:
- SP 800-63-4 «Руководство по цифровой идентичности» (Digital Identity Guidelines) объёмом 96 страниц, см. https://csrc.nist.gov/pubs/sp/800/63/4/final (прямая ссылка на PDF-файл: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-4.pdf )
«Настоящие руководство охватывает вопросы подтверждения личности, аутентификации и объединения (федерации) пользователей (например, сотрудников, подрядчиков или частных лиц), взаимодействующих по сетям с государственными информационными системами. Оно определяет технические требования в каждой из таких областей, как подтверждение личности, регистрация, аутентификаторы, процессы управления, протоколы аутентификации, объединение (включая связанные с этим заверения (assertions)). В руководстве также содержатся технические рекомендации и другие справочные информационные материалы в качестве полезных предложений. Настоящее руководство не намерено ограничивать разработку или использование стандартов, выходящих за рамки данной области. Настоящая публикация заменяет специальную публикацию NIST (SP) 800-63-3.»
- SP 800-63A-4 «Регистрация и проверка личности» (Identity Proofing & Enrollment), см. https://csrc.nist.gov/pubs/sp/800/63/A/4/final (прямая ссылка на PDF-файл: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63a-4.pdf )
- SP 800-63B-4 «Аутентификация и управление аутентификатором» (Authentication & Authenticator Management), см. https://csrc.nist.gov/pubs/sp/800/63/B/4/final (прямая ссылка на PDF-файл: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b-4.pdf )
- SP 800-63C-4 «Объединение и заверения» (Federation & Assertions), см. https://csrc.nist.gov/pubs/sp/800/63/C/4/final (прямая ссылка на PDF-файл: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63c-4.pdf )
Источник: сайт LinkedIn
https://www.linkedin.com/feed/update/urn:li:activity:7357939712054972417
https://pages.nist.gov/800-63-4/
https://csrc.nist.gov/pubs/sp/800/63/4/final
