ČESKÁ TECHNICKÁ NORMA

ICS 35.030                                                                                                                                   Listopad 2022

Bezpečnost IT a soukromí – Rámec pro řízení identit –
Část 1: Terminologie a pojmy

ČSN
EN ISO/IEC 24760-1

36 9716

idt ISO/IEC 24760-1:2019

IT Security and Privacy – A framework for identity management –
Part 1: Terminology and concepts

Sécurité IT et confidentialité – Cadre pour la gestion de l’identité –
Partie 1: Terminologie et
concepts

Informationstechnik – Sicherheitsverfahren – Rahmenwerk für Identitätsmanagement –
Teil 1: Terminologie und Konzept

Tato norma je českou verzí evropské normy EN ISO/IEC 24760-1:2022. Překlad byl zajištěn Českou agenturou pro standardizaci. Má stejný status jako oficiální verze.

This standard is the Czech version of the European Standard EN ISO/IEC 24760-1:2022. It was translated
by the
Czech Standardization Agency. It has the same status as the official version.

 


Národní předmluva

Informace o citovaných dokumentech

ISO/IEC 24760-2:2015 dosud nezavedena

Souvisící ČSN

ČSN EN ISO 9001 (01 0321) Systémy managementu kvality – Požadavky

ČSN EN ISO/IEC 27007 (36 9790) Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí – Směrnice pro audit systémů řízení bezpečnosti informací

ČSN ISO 19092:2009 (97 9123) Finanční služby – Biometrika – Struktura bezpečnosti

ČSN ISO/IEC 9798-1 (36 9743) Informační technologie – Bezpečnostní techniky – Autentizace entit – Část 1: Všeobecně

ČSN ISO/IEC 9798-4 (36 9743) Informační technologie – Bezpečnostní techniky – Autentizace entit – Část 4: Mechanismy používající kryptografickou kontrolní funkci

ČSN ISO/IEC 9798-5 (36 9743) Informační technologie – Bezpečnostní techniky – Autentizace entit – Část 5: Mechanismy používající techniku nulových znalostí

ČSN ISO/IEC 9798-6 (36 9743) Informační technologie – Bezpečnostní techniky – Autentizace entit – Část 6: Mechanismy využívající manuální přenos dat

ČSN EN ISO/IEC 29100 (36 9705) Informační technologie – Bezpečnostní techniky – Rámec soukromí

ČSN EN ISO/IEC 29101 (36 9708) Informační technologie – Bezpečnostní techniky – Rámec architektury soukromí

Vysvětlivky k textu této normy

V případě nedatovaných odkazů na evropské/mezinárodní normy jsou ČSN uvedené v článku „Souvisící ČSN“ nejnovějšími vydáními, platnými v době schválení této normy. Při používání této normy je třeba vždy použít taková vydání ČSN, která přejímají nejnovější vydání nedatovaných evropských/mezinárodních norem (včetně všech změn).

Vypracování normy

Zpracovatel: Ing. Vladimír Pračke, IČO 40654419

Technická normalizační komise: TNK 20 Informační technologie

Pracovník České agentury pro standardizaci: Ing. Miroslav Škop

Česká agentura pro standardizaci je státní příspěvková organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.


 

EVROPSKÁ NORMA                                                                                         EN ISO/IEC 24760-1
EUROPEAN STANDARD
NORME EUROPÉENNE
EUROPÄISCHE NORM                                                                                     Červen 2022

ICS 35.030                                                                                                                                                     

Bezpečnost IT a soukromí – Rámec pro řízení identit –
Část 1: Terminologie a pojmy
(ISO/IEC 24760-1:2019)

IT Security and Privacy – A framework for identity management –
Part 1: Terminology and concepts
(ISO/IEC 24760-1:2019)

Sécurité IT et confidentialité – Cadre pour
la gestion de l’identité
Partie 1: Terminologie et concepts
(ISO/IEC 24760-1:2019)

Informationstechnik – Sicherheitsverfahren – Rahmenwerk für Identitätsmanagement –
Teil 1: Terminologie und Konzept
(ISO/IEC 24760-1:2019)

Tato evropská norma byla schválena CEN dne 2022-06-06.

Členové CEN a CENELEC jsou povinni splnit vnitřní předpisy CEN/CENELEC, v nichž jsou stanoveny podmínky, za kterých se této evropské normě bez jakýchkoliv modifikací uděluje status národní normy. Aktualizované
seznamy a bibliografické citace týkající se těchto národních norem lze obdržet na vyžádání v Řídicím centru CEN-CENELEC nebo u kteréhokoliv člena CEN a CENELEC.

Tato evropská norma existuje ve třech oficiálních verzích (anglické, francouzské, německé). Verze v každém jiném jazyce přeložená členem CEN a CENELEC do jeho vlastního jazyka, za kterou zodpovídá a kterou notifikuje Řídicímu centru CEN-CENELEC, má stejný status jako oficiální verze.

Členy CEN a CENELEC jsou národní normalizační orgány a národní elektrotechnické komise Belgie, Bulharska, České republiky, Dánska, Estonska, Finska, Francie, Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska, Lucemburska, Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska, Republiky
Severní Makedonie, Rumunska, Řecka, Slovenska, Slovinska, Spojeného království, Srbska, Španělska, Švédska, Švýcarska a Turecka.

        

Řídicí centrum CEN-CENELEC
Rue de la Science 23, B-1040 Brusel

© 2022 CEN/CENELEC          Veškerá práva pro využití v jakékoliv formě                          Ref. č. EN ISO/IEC 24760-1:2022 E
a jakýmikoliv prostředky jsou celosvětově vyhrazena
národním členům CEN a členům CENELEC.


 

Evropská předmluva

Text ISO/IEC 24760-1:2019 vypracovala technická komise ISO/IEC JTC 1 Informační technologie Mezinárodní organizace pro normalizaci (ISO) a byl převzat jako EN ISO/IEC 24760-1:2022 technickou komisí CEN-CENELEC/JTC 13 Kybernetická bezpečnost a ochrana dat, jejímž sekretariátem je DIN.

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. CEN-CENELEC nelze činit odpovědným za identifikaci jakéhokoliv nebo všech patentových práv.

Jakákoli zpětná vazba a otázky týkající se tohoto dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný seznam těchto orgánů lze nalézt na webových stránkách CEN a CENELEC.

Podle vnitřních předpisů CEN-CENELEC jsou tuto evropskou normu povinny zavést národní normalizační organizace následujících zemí: Belgie, Bulharska, České republiky, Dánska, Estonska, Finska, Francie, Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska, Lucemburska, Maďarska, Malty, Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska, Republiky Severní Makedonie, Rumunska, Řecka, Slovenska, Slovinska, Spojeného království, Srbska, Španělska, Švédska, Švýcarska a Turecka.

Oznámení o schválení

Text ISO/IEC 24760-1:2019 byl schválen CEN-CENELEC jako EN ISO/IEC 24760-1:2022 bez jakýchkoliv modifikací.


 

Obsah

Strana

Evropská předmluva.................................................................................................................................................................................... 4

Předmluva..................................................................................................................................................................................................... 7

Úvod................................................................................................................................................................................................................ 8

1......... Předmět normy................................................................................................................................................................................ 9

2......... Citované dokumenty....................................................................................................................................................................... 9

3......... Termíny a definice........................................................................................................................................................................... 9

3.1...... Obecné termíny................................................................................................................................................................................ 9

3.2...... Identifikace..................................................................................................................................................................................... 10

3.3...... Autentizace informací o identitě................................................................................................................................................. 11

3.4...... Management identit...................................................................................................................................................................... 12

3.5...... Federace......................................................................................................................................................................................... 14

3.6...... Ochrana soukromí......................................................................................................................................................................... 14

4......... Zkratky a zkrácené termíny.......................................................................................................................................................... 15

5......... Identita............................................................................................................................................................................................. 15

5.1...... Obecně............................................................................................................................................................................................ 15

5.2...... Informace o identitě...................................................................................................................................................................... 16

5.3...... Identifikátor..................................................................................................................................................................................... 16

5.4...... Průkazní informace....................................................................................................................................................................... 17

5.4.1... Obecně............................................................................................................................................................................................ 17

5.4.2... Management průkazní informace.............................................................................................................................................. 18

6......... Atributy............................................................................................................................................................................................. 18

6.1...... Obecně............................................................................................................................................................................................ 18

6.2...... Typy atributů................................................................................................................................................................................... 18

6.3...... Doména původu............................................................................................................................................................................ 19

7......... Řízení informací o identitě........................................................................................................................................................... 19

7.1...... Obecně............................................................................................................................................................................................ 19

7.2...... Životní cyklus identity.................................................................................................................................................................... 20

8......... Identifikace..................................................................................................................................................................................... 21

8.1...... Obecně............................................................................................................................................................................................ 21

8.2...... Ověřování........................................................................................................................................................................................ 22

8.3...... Registrace....................................................................................................................................................................................... 22

8.4...... Zaznamenání................................................................................................................................................................................. 22

8.5...... Prokazování identity...................................................................................................................................................................... 23

8.5.1... Obecně............................................................................................................................................................................................ 23

8.5.2... Důkaz identity................................................................................................................................................................................. 23

9......... Autentizace..................................................................................................................................................................................... 23

10....... Údržba............................................................................................................................................................................................. 24

11....... Aspekty implementace................................................................................................................................................................. 24

12....... Soukromí......................................................................................................................................................................................... 24

Bibliografie.................................................................................................................................................................................................. 25

Rejstřík.......................................................................................................................................................................................................... 26

 

Logo0052b

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO/IEC 2019

Veškerá práva vyhrazena. Žádná část této publikace nesmí být, není-li specifikováno jinak nebo nepožaduje-li se to v souvislosti s její
implementací, reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým ani mechanickým, včetně
pořizování fotokopií nebo zveřejňování na internetu nebo intranetu, bez předchozího písemného souhlasu. O souhlas lze požádat buď ISO na níže uvedené adrese, nebo členskou organizaci ISO v zemi žadatele.

ISO copyright office

CP 401 · Ch. de Blandonnet 8

CH-1214 Vernier, Geneva

Tel.: + 41 22 749 01 11

E-mail: copyright@iso.org

Web: www.iso.org

Publikováno ve Švýcarsku

 

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace. Národní orgány, které jsou členy ISO nebo IEC, se podílejí na vypracování mezinárodních norem prostřednictvím svých technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk.

Postupy použité při tvorbě tohoto dokumentu a postupy určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1. Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro různé druhy dokumentů. Tento dokument byl vypracován v souladu s redakčními pravidly uvedenými ve směrnicích ISO/IEC, část 2 (viz www.iso.org/directives).

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv patentových právech identifikovaných během přípravy tohoto dokumentu budou uvedeny v úvodu a/nebo
v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents) nebo v seznamu patentových prohlášení obdržených IEC (viz http://patents.iec.ch).

Jakýkoliv obchodní název použitý v tomto dokumentu se uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.

Vysvětlení nezávazného charakteru technických norem, významu specifických termínů a výrazů ISO, které se vztahují k posuzování shody, jakož i informace o tom, jak ISO dodržuje principy Světové obchodní organizace (WTO) týkající se technických překážek obchodu (TBT), jsou uvedeny na www.iso.org/iso/foreword.html.

Tento dokument vypracovala společná technická komise ISO/IEC JTC 1 Informační technologie, subkomise SC 27 IT bezpečnostní techniky.

Toto druhé vydání zrušuje a nahrazuje první vydání (ISO/IEC 24760-1:2011), které bylo technicky zrevidováno. Hlavní změny proti předchozímu vydání jsou:

    do kapitoly 3 byly doplněny nové termíny;

    některé definice byly zjednodušeny a opraveny;

    některá terminologická hesla byla zrušena a některá byla nahrazena;

    úvodní odstavce článku 5.1 byly přeformulovány;

    byly vytvořeny nové články 5.4 a 8.5.

Seznam všech částí souboru ISO/IEC 24760 lze nalézt na webových stránkách ISO.

Jakákoli zpětná vazba nebo otázky týkající se tohoto dokumentu mají být adresovány národnímu normalizačnímu orgánu uživatele. Úplný seznam těchto orgánů lze nalézt na adrese www.iso.org/members.html.

Úvod

Systémy zpracování dat obvykle shromažďují řadu informací o svých uživatelích, ať už jde o osobu, část zařízení nebo část softwaru, které jsou k nim připojeny, a rozhodují se na základě získaných informací. Taková rozhodnutí založená na identitě se mohou týkat přístupu k aplikacím nebo jiným zdrojům.

Pro řešení potřeby účinně a efektivně implementovat systémy, které činí rozhodnutí založená na identitě, specifikuje soubor ISO/IEC 24760 rámec pro vydávání, správu a používání dat, která slouží k charakterizaci jednotlivců,
organizací nebo komponent informačních technologií, které fungují v zastoupení jednotlivců nebo organizací.

Pro mnoho organizací je řádné řízení informací o identitě zásadní pro zachování bezpečnosti organizačních procesů. Pro jednotlivce je řádné řízení identity důležité pro ochranu soukromí.

Soubor ISO/IEC 24760 specifikuje základní pojmy a provozní struktury řízení identit s cílem realizovat řízení infor-
mačních systémů tak, aby informační systémy mohly plnit podnikatelské, smluvní, regulatorní a právní závazky.

Cílem tohoto dokumentu je specifikovat terminologii a pojmy pro řízení identit, aby bylo možné podpořit společné porozumění v oblasti řízení identit.

1 Předmět normy

Tento dokument definuje termíny pro řízení identit a specifikuje základní pojmy identity a řízení identit a jejich vzájemné vztahy.

Je použitelný pro jakýkoli informační systém, který zpracovává informace o identitě.

 

 

Konec náhledu - text dále pokračuje v placené verzi ČSN.