Стандарт разработан подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».
В России данный стандарт (в редакции 2016 года) был адаптирован как ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы», см. https://protect.gost.ru/document1.aspx?control=31&baseC=6&id=240682 .
Что представляет собой стандарт ISO/IEC 24760-3?
Стандарт ISO/IEC 24760-3:2025 содержит практические рекомендации и требования к управлению информацией идентификационных профилей и к обеспечению соответствия систем управления идентификационными профилями установленным концептуальным рамкам, - в частности, стандартам ISO/IEC 24760-1 (основные термины и понятия) и ISO/IEC 24760-2 (эталонная архитектура).
Основное внимание в части 3 стандарта ISO/IEC 24760 уделяется практической реализации, включая такие вопросы, как контроль и управление информацией идентификационных профилей, управление доступом на основе атрибутов идентификационных профилей и механизмы обеспечения уверенности, помогающие поддерживать безопасность и защиту персональных данных в системах, движимых идентификационными профилями.
Данная часть стандарта поддерживает управление идентификационными профилями, охватывающими людей, устройства, организации и программное обеспечение, - способствуя безопасной и дружественной защите персональных данных оперативной деятельности внутри и между системами.
Чем важен стандарт ISO/IEC 24760-3?
Идентификационные профили («идентичности») лежит в основе современных цифровых экосистем, - однако в отсутствие надлежащих практик даже самые лучшие концепции могут оказаться неэффективными. Стандарт ISO/IEC 24760-3 устраняет этот пробел, предоставляя конкретные операционные рекомендации по созданию и поддержке доверенных систем управления идентификационными профилями.
Проектируются ли решения для управления доступом, регистрации новых пользователей (onboarding), мобильной идентификации или федеративных систем, - данный стандарт предлагает основополагающие практики, поддерживающие безопасную, соответствующую законодательно-нормативным требованиям и эффективную обработку данных идентификационных профилей.
Преимущества стандарта
Стандарт ISO/IEC 24760-3:
- Обеспечивает соответствие систем концептуальным положениям стандартов ISO/IEC 24760-1 и ISO/IEC 24760-2
- Поддерживает реализацию систем управления идентификационными профилями, обеспечивающими сохранение неприкосновенности частной жизни (защиту персональных данных)
- Поддерживает основанные на оценке рисков меры и средства контроля и управления доступом и проверки личности
- Согласуется с имеющими более широкую область применения стандартам защиты персональных данных и кибербезопасности, такими как ISO/IEC 29100 и ISO/IEC 27001
- Обеспечивает уверенность и доверие в системах управления идентификационными профилями, у которых имеется множество заинтересованных сторон
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Смягчение рисков, связанных с идентичностью, при управлении информацией идентификационных профилей
6. Информация идентификационных профилей и идентификаторы
7. Аудит использования информации идентификационных профилей
8. Цели, меры и средства контроля и управления
Приложение A: Практика управления информацией идентификационных профилей в федерации систем управления идентификационными профилями
Приложение B: Практика управления идентификационными профилями с использованием содержащихся в атрибутах проверяемых утверждениях (credentials) для усиления защиты персональных данных
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/87486.html
https://www.iso.org/obp/ui/en/#!iso:std:87486:en
Комментариев нет:
Отправить комментарий