Электронный фонд правовой
и нормативно-технической документации
ГОСТ Р 70262.2-2025 Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации
ГОСТ Р 70262.2-2025
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ
Information protection. Identification and authentication. Authentication assurance levels
ОКС 35.030
Дата введения 2025-10-01
Предисловие
1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России") и Акционерным обществом "Аладдин РД." (АО "Аладдин Р.Д.")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 мая 2025 г. № 503-ст
4 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
Одной из главных задач защиты информации при ее автоматизированной (автоматической) обработке является управление доступом. Решение о предоставлении доступа для использования информационных и вычислительных ресурсов средств вычислительной техники, а также ресурсов автоматизированных (информационных) систем основывается на результатах идентификации и аутентификации.
Физическое лицо при использовании информационных и вычислительных ресурсов средств вычислительной техники, как правило, выполняет операции по обработке данных через вычислительные процессы. Аналогично осуществляется обработка информации и при использовании ресурсов автоматизированных (информационных) систем другими ("внешними") автоматизированными (информационными) системами или средствами вычислительной техники. Это порождает риски неоднозначного сопоставления конкретного вычислительного процесса определенному физическому лицу и/или конкретному "внешнему" ресурсу средств вычислительной техники. Устанавливая для пользователей правила управления доступом к защищаемой информации и сервисам, обеспечивающим ее обработку, необходимо учитывать не только ее конфиденциальность, но и указанные риски. Основой для их снижения является установление точного соответствия как между физическим лицом (ресурсом) и вычислительными процессами, которыми оно представлено при выполнении операций, так и между вычислительными процессами и ресурсами средств вычислительной техники, которые выполняют данные операции. Данное соответствие, как правило, устанавливается при регистрации ресурса как объекта или субъекта доступа и физического лица как пользователя (субъекта доступа), проверяется при опознавании субъекта доступа (ресурса или физического лица) по предъявленному идентификатору доступа, подтверждается при проверке его подлинности и обеспечивает определенную уверенность в том, что обработка данных вычислительными процессами действительно инициирована физическим лицом или ресурсом, имеющим на это право.
При разработке настоящего стандарта учитывались нормы, определенные ГОСТ Р 58833, а также правила аутентификации, рекомендованные ГОСТ Р 59383 с учетом [1*], [2], [3].
________________
* Поз. [1]-[5] см. раздел Библиография, здесь и далее по тексту. - Примечание изготовителя базы данных.
Для понимания положений настоящего стандарта необходимы знания основ информационных технологий и методов (способов) защиты информации.
1 Область применения
Настоящий стандарт устанавливает единообразную организацию процесса аутентификации субъектов и объектов доступа в средствах защиты информации, в том числе реализующих криптографическую защиту, средствах вычислительной техники и автоматизированных (информационных) системах, а также определяет общие правила аутентификации, которые обеспечивают необходимую уверенность в ее результатах.
Положения настоящего стандарта не исключают применение криптографических и биометрических методов (алгоритмов) при аутентификации, но не устанавливают требования по их реализации.
Настоящий стандарт определяет основное содержание процесса аутентификации, состав участников, их ролей и действий при аутентификации, которые рекомендуются к реализации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. Стандарт устанавливает уровни доверия аутентификации, а также виды аутентификации и перечень средств аутентификации, необходимых к применению на каждом из уровней доверия.
Чтобы получить полный доступ к этому и другим документам, приобретайте доступ к Информационной сети «Техэксперт» - лидеру в области комплексного обеспечения предприятий нормативно-технической документацией.
доступны в системах «Техэксперт» и «Кодекс»