ISO IEC 29115-2013 PDF

Полное наименование и описание

ISO/IEC 29115:2013 — Information technology — Security techniques — Entity authentication assurance framework. Международный стандарт, задающий рамки (framework) для управления уровнем гарантирования (assurance) аутентификации сущностей в заданном контексте; включает классификацию уровней доверия, критерии и рекомендации для достижения каждого уровня, рекомендации по отображению/сопоставлению и обмену результатами аутентификации, а также рекомендации по контролям для снижения угроз, связанных с аутентификацией.

Аннотация

Стандарт определяет четыре уровня гарантирования аутентификации (LoA1–LoA4) и даёт критерии для их достижения, описывает фазы жизненного цикла аутентификации (регистрация/идентификация, управление учётными данными, этап аутентификации), роли участников (сущность, провайдер учётных данных, регистратура, проверяющая сторона и т.д.), а также принципы сопоставления других схем гарантий с четырьмя уровнями и обмена результатами аутентификации между участниками экосистемы.

Общая информация

• Статус: Published (международный стандарт, к моменту публикации — действующий документ).
• Дата публикации: 2013-04 (издание 1, апрель 2013).
• Организация-издатель: ISO/IEC (ISO/IEC JTC 1/SC 27 — Security techniques).
• ICS / категории: 35.030 — IT security (информационная безопасность).
• Редакция / версия: Edition 1 (2013).
• Количество страниц: 36.

Область применения

Рамки и рекомендации стандарта применимы при проектировании и оценке механизмов аутентификации для веб-сервисов, федераций идентификации, электронных услуг, национальных и отраслевых схем аутентификации, а также для определения требований к провайдерам учётных данных и регистратурам. Стандарт носит технологически-нейтральный характер и ориентирован на оценку риска и сопоставление существующих и новых схем аутентификации с четырьмя уровнями гарантирования.

Ключевые темы и требования

• Определение и описание четырёх уровней гарантирования аутентификации (LoA1–LoA4) и критериев для каждого уровня.
• Фазы EAA (Entity Authentication Assurance): enrolment (идентификация/регистрация), credential management (управление учётными данными), authentication (проверка), включая процесс identity proofing и верификацию данных.
• Роли и обязанности участников: сущность, Credential Service Provider (CSP), Registration Authority (RA), Relying Party (RP), Verifier, Trusted Third Party (TTP).
• Критерии сопоставления (mapping) сторонних/национальных схем аутентификации с LoA для обеспечения интероперабельности.
• Рекомендации по обмену результатами аутентификации и мерам контроля для снижения угроз (например, противодействие фишингу, man-in-the-middle, управление жизненным циклом учётных данных).
• Указания по управленческим и организационным аспектам — полисы, процессы, требования к провайдеру услуг аутентификации и к сервисам доверия.

Применение и пользователи

Основные пользователи стандарта: проектировщики систем аутентификации, архитекторы безопасности, провайдеры учётных данных (CSP), регистратуры (RA), организации, принимающие решения о требуемом уровне аутентификации (Relying Parties), аудиторы и органы по сертификации, а также законодатели и специалисты по политике доверительных инфраструктур. Стандарт полезен при создании требований к сервисам аутентификации, при аудите и при формировании соглашений о межсистемном обмене результатами аутентификации.

Связанные стандарты

ISO/IEC 29115 дополняет и соотносится с рядом международных документов по безопасности и управлению идентичностью, в частности с ISO/IEC 27001/27002 (управление информационной безопасностью и кодекс практик), ISO/IEC 29146 (access management framework), ISO/IEC 24760 (framework for identity management) и другими стандартами по защите, криптографии и управлению доступом. При проектировании решений рекомендуется учитывать соответствие/взаимодействие с этими документами.

Ключевые слова

entity authentication, assurance level, LoA, identity proofing, credential management, registration authority, credential service provider, trust framework, federation, authentication lifecycle.

FAQ

В: Что это за стандарт?

О: Международный стандарт, задающий рамки для оценки и управления гарантированностью аутентификации сущностей (Entity Authentication Assurance Framework), включая четыре уровня LoA и связанные процессы и роли.

В: Что он регулирует?

О: Стандарт не «регулирует» законодательство, но задаёт структурированные рекомендации и критерии для определения уровней гарантирования аутентификации, процессов регистрации и управления учётными данными, а также мер снижения угроз и обмена результатами аутентификации между участниками.

В: Кто обычно использует?

О: Провайдеры учётных данных (CSP), регистратуры (RA), организации — принимающие стороны (Relying Parties), архитекторы безопасности, аудиторы, разработчики федераций идентификации и политики доверительных сетей.

В: Он актуален или заменён?

О: Исходная редакция ISO/IEC 29115 была опубликована в апреле 2013 года и подтверждена/проверена в последующие циклы ревью; документ остаётся опубликованным и актуальным. В то же время работа по подготовке новой редакции (комитетный проект ISO/IEC CD 29115) была инициирована — это означает, что стандарт сохраняет действие, но находится в процессе подготовки возможного пересмотра/обновления.

В: Это часть серии?

О: Да — ISO/IEC 29115 входит в более широкий набор стандартов по безопасности и управлению идентичностью, которые включают документы семейства ISO/IEC 27000 (ISMS), ISO/IEC 29100 и ISO/IEC 24760 и др.; все они интегрируются при проектировании политик аутентификации, управления идентичностью и доступа.

В: Какие ключевые слова?

О: LoA (Level of Assurance), entity authentication, identity proofing, credential lifecycle, CSP, RA, RP, verifier, trust framework, federation.