От паролей к цифровым двойникам: NIST открывает ящик Пандоры

Национальный институт стандартов и технологий США (NIST) объявил о публикации второго проекта четвертой редакции руководства по цифровой идентификации (Special Publication 800-63) из четырех томов.

Документ NIST.SP.800-63-4.2 представляет собой комплексное руководство по процессам и техническим требованиям для обеспечения различных уровней доверия в управлении цифровой идентичностью. Кроме того, новая редакция уделяет особое внимание аспектам, связанным с повышением конфиденциальности, справедливости и удобства использования решений и технологий в области цифровой идентификации.

Первоначальный проект четвертой редакции SP 800-63 был выпущен в декабре 2022 года. За период обсуждения авторы получили почти 4000 комментариев от различных организаций и частных лиц, которые помогли значительно усовершенствовать документ, обеспечив соответствие требованиям безопасности, конфиденциальности и справедливости в цифровых системах идентификации.

На основе полученной обратной связи были внесены значительные изменения во все тома руководства. В числе ключевых изменений - обновление текста и контекста управления рисками, включая добавление этапа определения и анализа онлайн-сервиса, который организация намеревается защищать с помощью системы идентификации. Также расширены требования по управлению мошенничеством, что позволяет лучше учитывать вызовы, возникающие при реализации проверок. Введена новая структура для управления подтверждением личности, основанная на типах предоставления доказательств (дистанционное, с личным присутствием и т.д.).

NIST также выделил несколько ключевых вопросов, по которым ожидаются комментарии и рекомендации от рецензентов:

1. Управление рисками и модели идентичности:
• Описание модели «кошелек с контролем пользователя» должно быть достаточно подробным, чтобы позволить организациям понять, как она соотносится с реальными примерами таких решений, как мобильные водительские удостоверения и проверяемые учетные данные.
• Обновленный процесс управления рисками должен быть достаточно четко определен, чтобы поддерживать эффективное и повторяемое внедрение решений для защиты онлайн-сервисов и систем.
2. Подтверждение личности и регистрация:
• Структура требований по типам подтверждения личности должна быть достаточно ясной. Важно, чтобы различные типы подтверждения были подробно описаны.
• Дополнительные требования к программам по борьбе с мошенничеством, которые могут стать общей базой для всех поставщиков удостоверяющих услуг и других организаций, должны быть введены по мере необходимости.
• Требования к проверке подлинности и валидности доказательств идентичности, а также метрики их производительности, должны быть реалистичными и достижимыми с использованием существующих технологий.
3. Аутентификация и управление аутентификаторами:
• Требования к синхронизируемым аутентификаторам должны быть четко определены, чтобы обеспечить разумное принятие решений на основе рисков для публичного и корпоративного использования.
• Необходимо рассмотреть возможность добавления дополнительных контрольных мер. Важно также учесть специфические рекомендации или соображения по реализации.
4. Федерация и аттестации:
• Концепция «кошельков с контролем пользователя» и «наборов атрибутов» должна быть достаточно ясно описана, чтобы поддерживать их реальное внедрение. Следует рассмотреть возможность добавления дополнительных требований или соображений для улучшения безопасности, удобства использования и конфиденциальности этих технологий.
5. Общие вопросы:
• Дополнительные рекомендации по внедрению, архитектурные схемы, метрики или другие вспомогательные ресурсы могли бы ускорить принятие и внедрение этих и будущих версий руководства по цифровой идентификации.
• Следует определить направления прикладных исследований и измерений, которые могут оказать наибольшее влияние на рынок идентификации и способствовать развитию этих рекомендаций.

NIST приглашает всех заинтересованных сторон принять участие в обсуждении проекта и представить свои комментарии до 7 октября 2024 года.

Четвертая редакция руководства SP 800-63 направлена на адаптацию к изменяющемуся цифровому ландшафту и предоставляет организациям комплексные рекомендации для обеспечения безопасности, конфиденциальности и доступности цифровых систем идентификации. Внимание к этим аспектам особенно важно в условиях растущей зависимости от онлайн-сервисов и возрастающих угроз в цифровой среде.