Стандарт разработан подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».
В России данный стандарт (в редакции 2019 года) был адаптирован как ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230278 , а также мой пост https://rusrim.blogspot.com/2021/06/blog-post_19.html .
В стандарте, в частности, определены следующие термины:
3.1.1. Сущность (entity) – явно существующий отдельно элемент, имеющий отношение к цели функционирования предметной области (домена)
Примечание: Сущность может иметь физическое или логическое воплощение.
Примеры: Лицо, организация, устройство и группа таких элементов, абонент-человек телекоммуникационной услуги, SIM-карта, паспорт, сетевая карта, программное приложение, услуга или веб-сайт.
3.1.2. Идентичность (идентификационный профиль - identity), частичная идентичность (partial identity) - набор атрибутов, относящихся к сущности.
Примечание 1: Сущность может иметь несколько идентификационных профилей (идентичностей).
Примечание 2: Несколько сущностей могут иметь один и тот же идентификационный
Примечание 3: В опубликованной Международным союзом электросвязи (МСЭ – ITU) Рекомендации ITU-T X.1252 (04/2021) «Базовые термины и определения управления идентификационными профилями» (Baseline identity management terms and definitions) делается акцент на использование идентификационных профилей для различения сущностей. В настоящем документе для этой цели используется термин «идентификатор» (identifier).
Для сравнения, в Рекомендации ITU-T X.1252 определение понятия «идентичность» следующее:
6.40. Идентичность (identity): представление сущности в форме одного или нескольких атрибутов, позволяющих достаточно точно различить сущность или сущности в данном контексте. Для целей управления идентификацией термин «идентичность» понимается как идентичность (подмножество атрибутов) в контексте, - т.е. разнообразие атрибутов ограничено концептуальными рамками, с определёнными граничными условиями (контекстом), в которых сущность существует и взаимодействует.
Примечание. Каждая сущность представляется одной всесторонней идентичностью (идентификационным профилем), которая включает в себя все возможные информационные элементы, характеризующие эту сущность (атрибуты). Однако такая всесторонняя идентичность является теоретическим понятием и не поддаётся описанию и практическому применению, поскольку число всех возможных атрибутов бесконечно.
Мой комментарий: Существует русская редакция стандарта МСЭ – Рекомендация МСЭ-Т «Базовые термины и определения в области управления определением идентичности», в которой переводы терминов отличаются от англоязычной редакции.
Что представляет собой стандарт ISO/IEC 24760-1?
Стандарт ISO/IEC 24760-1:2025 определяет основные термины и понятия, являющиеся необходимыми для управления идентификационными профилями (идентичностями) в контексте информационной безопасности, кибербезопасности и обеспечения неприкосновенности частной жизни (защиты персональных данных). Будучи основополагающей частью серии стандартов ISO/IEC 24760, данный документ предоставляет язык и структуру, необходимые для проектирования, внедрения и оценки систем управления идентификационными профилями во всех типах цифровых сред.
Независимо от того, управляете ли вы учетными записями пользователей в корпоративной системе или верифицируете компоненты во взаимосвязанной экосистеме, - данный стандарт разъясняет различия между «идентичностью» (identity), «идентификатором» (identifier), атрибутами и другими основными понятиями, способствуя тем самым согласованной и безопасной обработке идентификационных профилей.
Чем важен стандарт ISO/IEC 24760-1?
По мере того, как цифровые системы все больше полагаются на решения, основанные на данных идентификационных профилей – в вопросах от аутентификации до авторизации и управления доступом - единое понимание связанных с «идентификационными профилями» понятий становится критически важным. В отсутствие чёткой концептуальной структуры (концепции) управление идентификационными профилями может стать непоследовательным, ввиду чего у организаций могут возникнуть риски, связанные с защитой персональных данных, могут появиться проблемы исполнения законодательно-нормативных требований и угрозы безопасности.
Стандарт ISO/IEC 24760-1 устанавливает такую концептуальную структуру, упрощая для систем и заинтересованных сторон взаимодействие и интеграцию, а также обеспечивая возможность доверять связанным с идентификационными профилями процессам.
Стандарт также служит в качестве «горизонтального» документа, т.е. он поддерживает и связывает широкий спектр стандартов, таких как ISO/IEC 29100 (защита персональных данных), ISO/IEC 29115 (аутентификация сущностей) и др., - способствуя интероперабельности и исполнению законодательно-нормативных требований во всех секторах.
Преимущества стандарта
Стандарт ISO/IEC 24760-1:
- Способствует четкости и ясности при проектировании, интеграции и аудите систем
- Поддерживает запроектированную защиту персональных данных (privacy-by-design) благодаря точным определениям терминов, связанных с управлением идентификационными профилями
- Формирует основу для взаимосвязанных стандартов в области кибербезопасности и защиты персональных данных
- Помогает организациям оценивать возможность доверять системам управления идентификационными профилями и степень обеспечения ими защиты персональных данных
- Применим в отношении любой системы, обрабатывающей данные идентификационных профилей, включая ИТ-компоненты, отдельных лиц и/или организации
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Идентификационный профиль («идентичность»)
6. Атрибуты
7. Управление информацией идентификационных профилей
8. Идентификация
9. Аутентификация
10. Поддержание идентификационных профилей
11. Аспекты реализации
12. Неприкосновенность частной жизни (защита персональных данных)
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/87485.html
https://www.iso.org/obp/ui/en/#!iso:std:87485:en
