ГОСТ Р ИСО ТО 13569— 2007
Традиционно каждая информационная система имеетсобственный процессидентификации пользова
теля. Из-за быстрого расширения систем появилась необходимость в процессе идентификации, общем для
всех и удовлетворяющим многие системы. Может также потребоваться для услуг по идентификации при
влечение внешних ресурсов. Приведенные ниже рекомендации должны применяться независимо от того,
кто предоставляет услуги по идентификации.
Для обеспечения большей уверенности в тождестве личности пользователя организация должна
создавать и осуществлять политику, требующую подтверждения личности пользователя перед выдачей
идентификатора пользователя. Целесообразная бизнес-практика требует интегрирования требований «знай
своего клиента» и «знай своих служащих» в мероприятия по выдаче идентификатора пользователя. Более
того, организациядолжна выполнять процедуры выдачи идентификатора и контролировать ихдля гарантии
того, что каждый идентификатор нового пользователя являлся уникальным и может быть отслежен до иден
тифицированного сотрудника и сотрудника, выдавшего идентификатор.
9.3.3 Санкционирование
Санкционирование является действием по предоставлению пользователю возможности выполнения
конкретных действий в системе на основе аутентификации его личности. Организациядолжна определить
права доступа каждого пользователя. Без специальной санкции ни одному пользователю не разрешается
доступ к какой-либо информации или приложению.
Существует несколько принципов сохранения записей средств контролядоступа, основанных на ро
лях (должностях). Одним из традиционных принципов является поддержка централизованного списка при
вилегий для каждого пользователя.Администраторы безопасности информационныхсистем, обычно рабо
тающие поддвойным контролем, отслеживают и сохраняют такие записи. Программные средства защиты
данныхдолжны сопоставлять идентификатор пользователя с записями и разрешать пользователямдоступ
к информации или приложениям в соответствии с записями.
Другой принцип предназначен для распределенного сохранения записей с листингом управления
доступом по каждой системе или отдельным доступом для различных видов приложений (например «тон
кий» клиент, «толстый» клиент, сеть, многозвенное приложение, веб-сервесы и т. д.).
9.3.4 Аутентификация пользователей
9.3.4.1 Механизмы аутентификации
Аутентификация пользователей относится к процессу (например, процедурному, физическому или
выполняемомус помощьюаппаратныхУпрограммныхсредств), посредством которого идентификатор пользо
вателя проверяется системой. Пользователи могут принадлежать к организации или внешним организаци
ям, и неспособность аутентифицировать личность пользователя снижает возможностьданной организации
обеспечить подотчетность действий отдельного лица и можетдопустить несанкционированный доступ к
данным и компьютерным ресурсам.
Существует несколько типов механизмов аутентификации. Ихдействие основывается наодной или
нескольких следующих характеристиках:
- что-то. что пользователь знает (например пароли);
- нечто, известное пользователю (например смарт-карта);
- какие-либо физические характеристики пользователя (например отпечатки пальцев илидругие био
метрические данные). Комбинация разнообразных механизмов аутентификации может обеспечить более
высокий уровень аутентификации.
9.3.4.2 Цифровые сертификаты
Цифровые сертификаты могут использоваться для подписания или шифрования информации и обес
печения аутентификации пользователя, кода программы или устройства. Цифровые подписи, основанные
на сертификатах, могут использоватьсядля аутентификации источника информации, целостностиданных и
услуг по обеспечению свойства неотказуемости. Основанные на сертификатах услуги по защите данных
могут быть предоставлены с помощью шифрования. Меры управления и синтаксис, необходимый для
управления сертификатами Х.509 всфере финансовых услуг, определены в (3). Подробная информация об
управлении информацией о политике безопасности сертификатов ворганизации и необходимыхэлементах
формулировок практики, связанной с сертификатами, предоставлена в ИСО 21188 [22].
9.3.4.3 Пароли
В настоящее время наиболее распространенным методом аутентификации являются пароли. Пароль
представляет собой строку символов, составленную из любой комбинации букв, цифр и специальных сим
волов клавиатуры. Знание пароля, ассоциирующегося с пользователем, является подтверждением санк
ционирования использования возможностей, связанныхс этим пользователем (напримердоступ к опреде
ленным программам, возможностям и файлам системы).
7—2590
21