Обсуждения

Публичное обсуждение проекта продлится до 30 августа 2022 г.

Одной из главных задач защиты информации при ее автоматизированной (автоматической) обработке является управление доступом. Решение о предоставлении доступа для использования информационных и вычислительных ресурсов средств вычислительной техники, а также ресурсов автоматизированных (информационных) систем основывается на результатах идентификации и аутентификации.

В автоматизированной (информационной) системе физическое лицо, являющееся пользователем, при использовании информационных и вычислительных ресурсов выполняет операции по обработке данных через вычислительные процессы, что порождает риски неоднозначного сопоставления конкретного вычислительного процесса определенному физическому лицу и конкретному ресурсу. Устанавливая для пользователей правила управления доступом к защищаемой информации и сервисам, обеспечивающим ее обработку, необходимо учитывать не только ее конфиденциальность, но и указанные риски. Основой для их снижения является установление соответствия как между физическим лицом и вычислительными процессами, которыми оно представлено при выполнении операций, так и между вычислительными процессами и ресурсами средств вычислительной техники.

Данное соответствие, как правило, устанавливается при регистрации ресурса как объекта или субъекта доступа и физического лица как пользователя (субъекта доступа), проверяется при опознавании субъекта доступа по предъявленному идентификатору доступа, подтверждается при проверке его подлинности и обеспечивает определенную уверенность в том, что обработка данных вычислительными процессами действительно инициирована физическим лицом или ресурсом, имеющим на это право.

Положения настоящего стандарта могут использоваться при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.