СТ РК ИСО/МЭК TO 14516-2007
Технологии информационные
Методы обеспечения защиты
Использование и управление услугами доверенной третьей стороны
Общие требования
ISO/IEC TR 14516:2002(Е) Information technology. Security techniques.
Guidelines for the use and management of trusted third party services (IDT)
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины
4. Общие положения
5. Аспекты управления и функционирования ДТС
6. Организация межсетевого взаимодействия
7. Главные виды сервисов ДТС
Приложение А. Требования безопасности для управления ДТС
Приложение В. Сведения о соответствии ссылочных международных стандартов государственным стандартам
Приложение. Библиография
Введение
Достижение адекватных уровней конфиденциальности при работе систем информационных технологий (ИТ) основывается на соответствующем практическом, юридическом и техническом управлении. Бизнесу необходима такая конфиденциальность, при которой проявляются положительные преимущества систем ИТ, позволяющие с их помощью выполнять деловые обязательства и создавать деловые возможности.
Обмен информацией между двумя сторонами включает в себя элемент доверия. Получатель должен быть уверен в том, что идентифицированный отправитель на самом деле им является, а отправитель, в свою очередь, должен быть уверен, что идентифицированный получатель является фактическим получателем, для которого предназначается информация. Такая степень доверия может оказаться недостаточной, может потребоваться привлечение третьей стороны, чтобы облегчить доверие при обмене информацией.
Роль доверенной третьей стороны (ДТС) заключается в обеспечении доверия, чтобы деловые и другие ценные (например, правительственные) сообщения и транзакции передавались предназначенному получателю в нужное место, чтобы сообщения и обмен информацией между сторонами происходил вовремя, аккуратно, и чтобы для любого делового спора, который может возникнуть, существовали соответствующие методы для создания и доставки документа, необходимого для фактического подтверждения того, что именно произошло. Сервис, обеспечиваемый ДТС, может включать всё необходимое для: управления ключом, управления сертификатом, поддержания идентификации и аутентификации, обслуживания атрибута привилегии, удостоверения авторства, услуги фиксации (штампа) времени, электронного заверения, а так же сервис каталогизации. ДТС могут обеспечивать некоторые или все из перечисленных сервисов.
ДТС должны быть сконструированы, настроены и работать так, чтобы обеспечить доверие услугам безопасности, которые они предоставляют, и полностью соответствовать законодательным и другим нормативным требованиям. Типы и уровни требуемой и подходящей защиты могут изменяться в зависимости от вида предоставляемого сервиса, а также от конкретных условий, в которых осуществляется бизнес.
Целями настоящего стандарта (данной рекомендации, технического отчёта) являются:
