استانداردهای مدیریت هویت و دسترسی

,
استانداردهای مدیریت هویت و دسترسی

استانداردهای مدیریت هویت و دسترسی برای قدرتمندی، پایداری و همکاری متقابل سیستم‌های مختلف از جمله سیستم‌های Identity and Access Management (IAM) بسیار حیاتی می‌باشند. استانداردهای فرآیند، استانداردهای داده و استانداردهای فنی سه نوع استاندارد مورد نیاز برای اطمینان از قابلیت همکاری متقابل در لایه‌های فنی، معنایی و سازمانی به شمار می‌روند. سری مقالاتی که در این بخش ارائه می‌شوند به دنبال شناسایی چارچوب‌ها و استانداردهای فنی بین‌المللی قابل اعمال در چرخه عمر هویت می‌باشند. فهرست استانداردهای فنی و ارائه‌دهندگان این استانداردها می‌تواند به عنوان مرجعی برای ذی‌نفعان اکوسیستم سیستم‌های تعیین هویت مورد استفاده قرار گیرد.

استانداردها با توجه ضبط، ذخیره‌سازی، انتقال و استفاده از داده‌های هویتی همچنین تعیین فرمت و ویژگی‌های اعتبارنامه‌های هویتی و پروتکل‌های احراز هویت باید در ایجاد پروتکل‌ها، روش‌های آزمون، ارزیابی کیفی و به‌روش‌های قابل درک و سازگار مدیریت هویت و دسترسی بکار ‌روند. بنابراین در هر مرحله از چرخه عمر هویت شامل ثبت‌نام، اعتبارسنجی، حذف نسخه‌های تکراری و احراز هویت حیاتی می‌باشند. استانداردها به کسب اطمینان از وجود قابلیت همکاری متقابل، آزمون‌پذیری و برآورده‌سازی اهداف کارایی توسط هر کدام از بلوک‌های سازنده سیستم‌های هویتی کمک می‌کنند. تضمین اثربخشی یک سیستم هویتی متصل و دارای همکاری متقابل بدون بهره‌گیری استانداردهای به سختی امکان‌پذیر است.

استانداردهای مورد استفاده برای سیستم‌های هویتی با توجه به نبود استانداردی واحد می‌توانند به شکل معنی‌داری در کشورها و مناطق اقتصادی یا بلوک‌های تجاری با یکدیگر تفاوت داشته باشند. این تنوع، چالش‌های قابل توجهی را در زمینه همکاری متقابل و سازگاری استانداردها در داخل کشورها و همکاری‌های فرامرزی ایجاد می‌کند. کشورها و سازمان‌های در حال توسعه سیستم‌های هویتی در نبود یک مجموعه مشترک از استانداردها در انتخاب استاندارد و/ یا فناوری‌های اختصاصی مناسب با مشکل مواجه خواهند شد.

هویت دیجیتال یک اصطلاح کلی است که تعاریف متعددی نیز حوزه‌های مختلف برای آن ارائه شده است. هویت دیجیتال در این مستند به عنوان مجموعه‌ای از خصیصه‌های ثبت شده، ذخیره‌سازی شده و اعتبارنامه‌هایی در نظر گرفته می‌شود که می‌توانند یک شخص را به صورت منحصر به فرد شناسایی کنند. سیستم‌های هویت دیجیتال نیز با توجه به استاندارد مورد استفاده با یکدیگر متفاوت خواهند بود. این مستند بر روی استانداردهای فنی تمرکز شده است و استانداردهای داده و فرآیند خارج از محدوده این استاندارد قرار می‌گیرند.

استاندارد مدیریت هویت و دسترسی

استانداردهای مدیریت هویت و دسترسی

استانداردهای فنی شامل مجموعه‌ای از جزییات و رویه‌هایی برای عملیات، نگهداری و قابلیت اطمینان مواد اولیه، محصولات، روش‌ها و سرویس‌های مورد استفاده توسط افراد یا سازمان‌ها می‌باشند. استانداردها از پیاده‌سازی پروتکل‌های پذیرفته شده جهانی برای عملیات، سازگاری و همکاری متقابل سیستم‌های هویت اطمینان حاصل می‌کنند. با وجود اینکه بکارگیری استانداردها می‌تواند تأثیر مثبتی بر روی تجارت بین‌المللی و افزایش نفوذ در بازار داشته باشد عدم توجه به استانداردها موجب ایجاد مشکلاتی در زمینه کارایی و قدرتمندی سیستم هویتی می‌شود.

با جایگزینی سیستم‌های کاغذی با شناسه‌های الکترونیک و افزایش استفاده از این سیستم‌ها، فناوری‌ها، تعاملات مابین دستگاه‌ها و الزامات امنیتی سیستم‌های هویتی بسیار پیچیده‌تر شده است. با این وجود، ظهور نوآوری‌های سریع در فناوری، تحولات فناورانه بزرگ، گوناگونی محصولات، تغییر در الزامات اتصال و همکاری متقابل و نیاز به بهبود و پیاده‌سازی استانداردها موجب بروز چالش‌هایی در انتخاب استانداردها شده است. بنابراین باید شناخت کاملی از استانداردها و سازمان‌های ارائه‌دهنده آن‌ها وجود داشته باشد تا امکان آگاهی از تغییرات و همگامی با آن‌ها فراهم شود.

نهادهای تهیه‌کننده استانداردهای مدیریت هویت و دسترسی

استانداردهای مدیریت هویت و دسترسی معمولاً توسط سازمان‌های تخصصی و مختص این کار تعریف می‌شوند. این سازمان‌ها در حوزه استانداردهای مرتبط با فناوری اطلاعات و ارتباطات وظیفه تنظیم، نظارت و به‌روزرسانی پیوسته استانداردهای فنی را بر عهده دارند تا طیف وسیعی از مسائل مرتبط به پروتکل‌های مورد استفاده برای اطمینان از عملکرد و سازگاری محصولات و همچنین تسهیل همکاری متقابل آن‌ها را برطرف نمایند. معمولاً این استانداردها و به‌روزرسانی‌های مرتبط با آن‌ها برای منفعت عمومی تهیه و منتشر می‌شوند.

سازمان‌های متعددی در زمینه تولید و به‌روزرسانی استانداردهای فنی سیستم‌های تعیین هویت دیجیتال فعالیت می‌کنند. این سازمان‌ها در سه دسته سازمان‌های بین‌المللی نظیر آژانس‌های تخصصی سازمان ملل، کنسرسیوم‌های صنعتی، سازمانی‌های ملی قرار می‌گیرند.

  • سازمان‌های بین‌المللی

    سازمان‌های بین‌المللی فعال در این حوزه عبارت‌اند از سازمان بین‌المللی استانداردسازی (ISO)، کمیسیون بین‌المللی الکتروتکنیک (IEC)، اتحادیه بین‌المللی مخابرات (ITU)، سازمان بین‌المللی هواپیمایی غیرنظامی (ICAO)، سازمان بین‌المللی کار (ILO)، کمیته اتحادیه اروپا برای استاندارد (CEN)، کنسرسیوم وب گسترده جهانی (W3C)، کارگروه مهندسی اینترنت (IETF)/ انجمن اینترنت

  • سازمانی‌های ملی

    در کنار سازمان‌های بین‌المللی، سازمان‌های ملی نیز استانداردهای مدیریت هویت و دسترسی را با دیدگاه فنی و بر مبنای نیاز خود و سیستم‌های اندازه‌گیری توسعه می‌دهند. تعدادی از مهم‌ترین سازمان‌‌‌های ملی توسعه‌دهنده استاندارد عبارت‌اند از مؤسسه ملی استاندارد آمریکا (ANSI)، مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST)، کمیته بین‌المللی استانداردهای فناوری اطلاعات در ایالات متحده (INCITS)، وزارت امنیت داخلی ایالات متحده (DHS)، وزارت دفاع آمریکا (DOD)، استاندارد استرالیا (SA)، مؤسسه استاندارد سوئد (SIS)، انجمن ملی بیومتریک سوئد (SNBA)، مؤسسه استانداردسازی آلمان (DIN)، سازمان نظام استاندارد فرانسه (AFNOR)، سازمان استاندارد هلند (NEN)، مرجع تعیین هویت واحد هند (UIDAI)

  • کنسرسیوم‌های صنعتی

    کنسرسیوم‌های صنعتی و سازمان‌های غیرانتفاعی نیز در زمینه توسعه استاندارد یا گسترش به‌روش‌هایی برای برآورده‌سازی نیازمندی‌های اعضای خود فعالیت می‌کنند. برجسته‌ترین نمونه‌های این دسته عبارت‌اند از کنسرسیوم بیومتریک تحت حمایت ایالات متحده، اتحادیه هویت امن (SIA)، مرکز تحقیقات فناوری تشخیص هویت (CITeR)، انجمن بیومتریک IEEE، مؤسسه بیومتریک استرالیا، اتحادیه کارت هوشمند، انجمن بین‌المللی بیومتریک و تشخیص هویت (IBIA)، شرکت کانتارا، تبادل هویت باز، تبادل امنیتی باز (Open Security Exchange)، انجمن کارت هوشمند آسیا و اقیانوسیه (APSCA)، سازمان ارتقاء اطلاعات ساختاری استاندارد (OASIS)، اتحادیه FIDO و بنیاد OpenI

یکی از استانداردهای عملی هویت دیجیتال در زمینه شناسایی هویت و احراز هویت قوی مشتری آیین‌نامه‌ای است که مؤسسه استانداردسازی بریتانیا منتشر کرده است.

آیین‌نامه عملی PAS 499

آیین‌نامه عملی (Code of Practice) PAS 499 در زمینه شناسایی هویت و احراز هویت قوی مشتری، مجموعه‌ای از معیارها برای کمک به دولت و کسب‌وکارها در طراحی، ساخت و خرید فناوری است که توسط مؤسسه استانداردسازی بریتانیا تهیه شده است. این آیین‌نامه به عنوان یک استاندارد توافق شده در فرآیند کنترل هزینه استفاده می‌شود.

 

PAS 499 با عنوان «آیین‌نامه عملی شناسایی هویت و احراز هویت قوی مشتری» راهنمایی‌های مورد نیاز در زمینه اجرای صحیح و استفاده از خدمات شناسایی و احراز هویت دیجیتال را در اختیار سازمان‌ها و شرکت‌ها قرار می‌دهد. PAS 499 که در ماه جولای 2019 منتشر شده است شامل مجموعه‌ای از توصیه‌ها است که به شرکت‌ها در تأمین نیازهای امنیتی، نظارتی و قابلیت استفاده در ارائه خدمات دیجیتال کمک می‌کند. این آیین‌نامه به شرکت‌ها کمک می‌کند تا:

  • تهدیدات در حال تکامل را درک کرده و اقدامات امنیتی خود را متناسب با آن توسعه دهند؛
  • ایمنی سیستم‌های خود را در مقابل ارائه اطلاعات نادرست یا جعلی از جانب افراد حقیقی و حقوقی افزایش دهند.

به طور کلی، PAS 499 در تلاش است تا اطمینان حاصل کند که هر شرکتی که از هویت دیجیتال یا خدمات احراز هویت پشتیبانی می‌کند، این کار را به روشی قوی و ایمن انجام دهد. این آیین‌نامه نه تنها برای دنیای پرداخت، بلکه برای سایر صنایع درگیر در تأیید هویت و راستی‌آزمایی مشتری (Due Diligence) نیز در یک زمان بسیار مهم ارائه می‌شود.

در حالی که اخیراً احراز هویت مشتری قوی به واسطه دستورالعمل دوم سرویس‌های پرداخت (PSD2) در کانون توجهات قرار گرفته است، مواردی در خارج از دنیای پرداخت نیز وجود دارد که به راستی‌آزمایی مشتری نیاز دارند که از آن جمله می‌توان به اعمال محدودیت سنی در ارائه محصولات، خدمات یا نمایش تبلیغات اشاره کرد. با توجه به نیاز روزافزون صنعت و برنامه‌های مداوم دولت برای ارائه خدمات مبتنی بر هویت دیجیتال، تدوین استاندارد منطبق بر الزامات مختلف قانونی مورد استقبال قرار می‌گیرد.

روند توسعه PAS

جزییات در دسترسی عموم  (PAS) در جلسات عمومی متعددی با حضور صدها ذی‌نفع تهیه شده و در کمیته‌های کوچک مربوط به قانون‌گذاری در مؤسسه استانداردسازی بریتانیا (BSI) تکمیل می‌شود. جلسات عمومی با حضور نمایندگان ارشد سهامداران از سراسر دولت، بخش‌های پرداخت، فناوری و جامعه مصرف‌کنندگان برگزار می‌شود. PAS 499 با همکاری اتحادیه، MIDAS (استاندارد احراز هویتِ هویت موبایل) را توسعه داده است.

این آیین‌نامه به گونه‌ای طراحی شده است که کلیه جنبه‌های کسب‌وکار درگیر در ارائه یا پشتیبانی از یک راه‌حل شناسایی یا تأیید هویت را پوشش می‌دهد. این امر نه تنها بخش‌های ارائه خدمات به مصرف‌کننده را پوشش می‌دهد بلکه شامل خدمات شخص ثالثی است که ممکن است محصول به آن متکی باشد.

جنبه‌های فنی مانند تعریف جلسات قابل قبول برای کاربر، شناسایی آسیب‌پذیری‌های خاص دستگاه و اصرار بر آزمایش‌های تشخیص زنده بودن به کاهش خطرات تهدیدات احتمالی ناشی از پیشرفت فناوری هوش مصنوعی کمک می‌کنند. از منظر عملیاتی، PAS 499 توصیه‌هایی برای ساختار سازمانی شرکت‌ها نیز دارد. این آیین‌نامه به شرکت‌ها توصیه می‌کند که کمیته‌ها و رویه‌هایی برای اطمینان از ارزیابی و کاهش مستمر تهدیدات سایبری در نظر بگیرند.

شناسایی هویت دیجیتال و نقش PAS

در دنیای آنلاین، فرآیند شناسایی هویت کاربران هنگام ثبت‌نام و متعاقباً تأیید اینکه کاربر واقعاً همان کاربر در حال بازگشت برای استفاده از سرویس است به یک نیاز اساسی تبدیل شده است که بسیاری از عملکردهای روزمره در زندگی عمومی و تجاری را تحت تأثیر قرار می‌دهد. این PAS توصیه‌های مورد نیاز برای پیاده‌سازی PSD2 را فراهم می‌نماید. برخی از این توصیه‌های ارائه شده ممکن است در زمینه‌های دیگر مانند دسترسی به خدمات آنلاین، ارائه رضایت صریح برای دسترسی به اطلاعات یا هر تعداد دیگر از سرویس‌ها اعمال شود. به عنوان مثال، کسب‌وکارها می‌توانند از آن برای بررسی حق کار کاربر یا برخورداری از حق اجاره محل اقامت استفاده کنند.

این PAS حاوی نمونه‌های موفقی از فرآیندهای شناسایی و احراز هویت است که با استفاده از تجربیات و تجزیه‌وتحلیل تهدیدات امنیت سایبری موجود و در حال ظهور مانند موارد مشخص شده در دستورالعمل سیستم‌های اطلاعات شبکه و استانداردهای امنیتی خاص حوزه پرداخت توسعه داده شده‌اند. PAS 499 بر مبنای موارد زیر ایجاد شده است:

o    استانداردها، دستورالعمل‌ها و مقررات موجود برای ارائه توصیه‌ها و راهنمایی‌های اضافی با در نظر گرفتن الزامات امنیتی جدید نظارتی برای رسیدگی به روند جرائم اینترنتی؛

o    تحولات موجود در مسیر حرکت به سمت هویت و احراز هویت ترکیبی مالی و دولتی [محدود به این حوزه نیست]؛ به عنوان مثال، ممکن است شامل برنامه‌های تجاری برای طرح‌های اعلام شده بر اساس مقررات شناسایی الکترونیکی، احراز هویت و خدمات اعتماد (eIDAS) باشد.

ملاحظات برای شرکت‌ها و کسب‌وکارها

جرائم اینترنتی و کلاهبرداری دارای سریع‌ترین نرخ رشد اقدامات جنایی و آسیب‎پذیری‌ها در حوزه شناسایی و احراز هویت کسب‌وکارها می‌باشند. اتخاذ فرآیندهای قوی برای به حداقل رساندن خطرات متوجه سازمان‌ها، کاربران، کارمندان و شرکای درگیر در معاملات و خدمات آنلاین ضروری است. PAS 499 بر روی اصول مدیریتی متمرکز است و با دید رگولاتوری به مسائل مربوط به شناسایی و احراز هویت می‌نگرد که شامل موارد زیر می‌باشد.

  • اعتبارسنجی هویت (Identity validation)
  • تأیید هویت (Identity verification)
  • ثبت‌نام (Enrolment)
  • احراز هویت (Authentication)
  • اختیار و مجوز تفویض شده
  • امنیت و قابلیت استفاده
  • مدل‌های ریسک برای احراز هویت

هر کدام از موارد فوق شامل چندین بند اصلی و بندهای مربوط به موارد استثنا است که باید در پیاده‌سازی و به کارگیری سیستم‌های شناسایی و احراز هویت در نظر گرفته شوند. همچنین نکاتی حیاتی مربوط به پیاده‌سازی و استفاده از هر کدام از بندها نیز در این سند ذکر شده است. PAS 499 شامل چندین پیوست است که مهم‌ترین موردهای کاربردی مربوط به استفاده از دستورالعمل‌های این سند در آن‌ها ذکر شده است.

PAS 499 همچنین بر روی فرآیندهای مدیریتی مورد استفاده برای ایجاد، دسترسی یا مدیریت دیجیتالی حساب‌های کاربری؛ انجام پرداخت با موبایل یا دستگاه‌های کامپیوتری؛ پرداخت بدون تماس با دستگاه‌های الکترونیکی؛ نقش‌های نهادهای ثالث؛ تفویض اختیار؛ بانک یا ارائه‌دهنده خدمات پرداخت تأمین‌کننده بستر معاملات، اعمال می‌شود. با این حال، PAS 499 پرداخت‌های بدون تماس با استفاده از کارت‌های پلاستیکی؛ تراکنش‌های مربوط به اینترنت چیزها؛ رمزارزها؛ دستگاه‌ها یا پایانه‌های پرداخت خاص را پوشش نمی‌دهد.

ملاحظات و دستورالعمل‌های این سند با توجه به بهره‌گیری از به‌روش‌ها و تجارب موفق جهانی می‌توانند درصد موفقیت سازمان در پیاده‌سازی سیستم‌های شناسایی و احراز هویت راه دور در ارائه خدمات آنلاین را به طرز چشم‌گیری افزایش دهد.

نویسنده: تورج اکبری