Федеральное агентство по техническому регулированию и метрологии (Росстандарт) утвердило новый национальный стандарт ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».
Очевидно, что с развитием информационных систем и повышением их значимости, как для предприятий, так и для государства, и для обычных граждан, возрастает значимость безопасности при работе в этих системах, в том числе для снижения риска мошенничества при доступе в системы, для чего и необходимы правила идентификации и аутентификации.
Новый стандарт устанавливает единообразную организацию процесса идентификацию субъектов и объектов доступа в средствах защиты информации, средствах вычислительной техники и автоматизированных системах, независимо от сферы их применения. Документ определяет состав участников и основное содержание процесса идентификации, порядок и правила первичной и вторичной идентификации, представлены рекомендуемые к реализации при разработке, внедрении, совершенствовании правил, механизмов и технологий управления доступом.
На основе норм, устанавливаемых стандартом, могут осуществляться разработки новых продуктов и решений для автоматизированных систем, а также формироваться отраслевые документы.
Напомним, что система стандартов, регламентирующая процессы идентификации и аутентификации, начала разрабатываться в Российской Федерации с 2015 года, а в 2020 году был принят ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения», ставший базовым документом в этой сфере. Новый национальный стандарт развивает требования к идентификации и аутентификации. По мнению отечественных экспертов, стандарты данной серии необходимы, чтобы через установление общей терминологии, единого порядка прохождения идентификации и аутентификации, единых требований к различным уровням доверия реализовать системы, взаимодействующие с людьми и друг с другом по единым правилам, существенно снижающим риски неверной идентификации, и, как следствие, мошенничества или ошибок.
Новый стандарт разработан рабочей группой под руководством крупнейшего отечественного разработчика решений для обеспечения кибербезопасности компании «Аладдин Р.Д.» в рамках деятельности технического комитета по стандартизации №362 (ТК 362) «Защита информации» и вводятся в действие с 1 января 2023 года.