воскресенье, 14 июня 2020 г.

ГОСТы на сайте Росстандарта: ГОСТ Р 58833-2020 «Идентификация и аутентификация. Общие положения»


На сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/ ) в июньском 2020 года разделе ( http://protect.gost.ru/default.aspx?control=6&month=6&year=2020 ) выложен стандарт ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения» объёмом 32 страницы, который официально вступил в силу с 1 мая 2020 года. Его текст доступен по адресу http://protect.gost.ru/v.aspx?control=8&baseC=6&id=227676

Стандарт разработан Федеральной службой по техническому и экспортному контролю (ФСТЭК России), ЗАО «Аладдин Р.Д и ООО «НПФ «КРИСТАЛЛ»»; внесён Техническими комитетами по стандартизации ТК362 «Защита информации» и ТК26 «Криптографическая защита информации».

Во вводной части о назначении стандарта сказано следующее:
«Настоящий стандарт устанавливает единообразную организацию процессов идентификации и аутентификации в средствах защиты информации, в том числе реализующих криптографическую защиту, средствах вычислительной техники и автоматизированных (информационных) системах, а также определяет общие правила применения методов идентификации и аутентификации, обеспечивающих необходимую уверенность в результатах.

Положения настоящего стандарта не исключают применение криптографических и биометрических методов (алгоритмов) при идентификации и аутентификации, но не устанавливают требования по их реализации.

Настоящий стандарт определяет состав участников и основное содержание процессов идентификации и аутентификации, рекомендуемое к реализации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. Положения настоящего стандарта могут использоваться при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.»
Для тех, кто, как я, не является специалистом по защите информации, наибольший интерес представляют определения ключевых понятий:
3.4 Аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.

Примечание: Аутентификация рассматривается применительно к конкретному субъекту доступа и^или конкретному объекту доступа.

3.24 Идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Не могу не отметить, что некоторые «переводные» термины переведены на русский язык не лучшим образом:
3.16 Доверие (assurance): Выполнение соответствующих действий или процедур для обеспечения уверенности в том, что оцениваемый объект соответствует своим целям безопасности.

Мой комментарий: Я бы не стала переводить assurance как «доверие», это скорее «гарантия». Определение как-то не соответствует общепринятому представлению о доверии :)

3.42 Подлинность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичен заявленному.

Мой комментарий: Иногда наилучшая практика перевода – переводить слово в слово, без фантазий. В данном случае, с моей точки зрения, наиболее адекватным переводом является «аутентичность». Далее, само определение переведено с английского без понимания его смысла – просто вчитайтесь в него и попробуйте сообразить, о чём идёт речь :) Подумайте, например, о том, как быть в ситуации, когда предъявляется уникальный объект – с чем его тогда сравнивать?:)

Общую пёстроту картины попыток перевода данного термина и его определения можно оценить здесь: http://www.ciscra.org/mat/mat/term/2098 и здесь:  http://www.ciscra.org/mat/mat/term/2089 .

Для примера скажу, что проведённое нечестным бухгалтером подложное платежное поручение является вполне себе аутентичным – это правильно оформленный документ, действительно являющийся, как заявлено, «платежным поручением», и банк ничего не нарушает, исполняя его - но оно не является подлинным. Иными словами, аутентичность обычно подразумевает соответствие формальным проверяемым правилам и не охватывает, в случае документов, точность изложенных в них фактов.

Тем, кому интересно покопаться в различиях подлинности и аутентичности, могу порекомендовать статью М.П.Бобылёвой «К вопросу о целостности и аутентичности управленческих электронных документов в процессе их хранения», см. https://www.top-personal.ru/officeworkissue.html?568
Содержание стандарта следующее:
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Общие положения
5. Основы идентификации
6. Основы аутентификации
7. Уровни доверия к результатам идентификации и аутентификации
Приложение А (справочное) Взаимосвязь терминов, входящих 8 группы, относящиеся к понятиям «идентификация» и «аутентификация»
Приложение Б (справочное) Общая характеристика типовых процессов идентификации и аутентификации
Приложение В (справочное) Примеры устройств, применяемых при различных видах аутентификации
Приложение Г (справочное) Общая характеристика уровней доверия к результатам идентификации и аутентификации
Библиография
Источник: сайт Росстандарта
http://www.gost.ru/

Комментариев нет:

Отправить комментарий