この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。情報技術の分野では、ISO と IEC が合同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
適合性評価に関連する ISO 固有の用語と表現の意味に関する説明、および技術的貿易障壁 (TBT) における WTO 原則への ISO の準拠に関する情報については、次の URL を参照してください: 序文 — 補足情報 .
この文書を担当する委員会は、ISO/IEC JTC 1, 情報技術、小委員会、SC 27, セキュリティ技術です。
ISO/IEC 24760 は、次の部分で構成され、一般的なタイトルは「情報技術 - セキュリティ技術 - アイデンティティ管理のフレームワーク」です。
- Part 1: 用語と概念
- Part 2: リファレンス アーキテクチャと要件
次の部分は準備中です。
- Part 3: 練習
さらなる部分が続くかもしれません。
序章
データ処理システムは一般に、ユーザー、接続されている機器、またはソフトウェアに関するさまざまな情報を収集し、収集した情報に基づいて決定を下します。このような ID ベースの決定は、アプリケーションやその他のリソースへのアクセスに関係する場合があります。
ID ベースの意思決定を行うシステムを効率的かつ効果的に実装する必要性に対処するために、ISO/IEC 24760 のこの部分では、個人、組織、または情報技術コンポーネントを特徴付けるのに役立つデータの発行、管理、および使用のためのフレームワークを指定しています。個人または組織に代わって活動するもの。
多くの組織にとって、ID 情報の適切な管理は、組織プロセスのセキュリティを維持するために不可欠です。個人にとって、プライバシーを保護するためには、正しい ID 管理が重要です。
ISO/IEC 24760 は、情報システムがビジネス、契約、規制、および法的義務を満たすことができるように、情報システム管理を実現する目的で、ID 管理の基本的な概念と運用構造を指定します。
ISO/IEC 24760 のこの部分では、主要なアーキテクチャ要素とそれらの相互関係を含む ID 管理システムのリファレンス アーキテクチャを定義しています。これらのアーキテクチャ要素は、アイデンティティ管理の展開モデルに関して説明されています。 ISO/IEC 24760 のこの部分では、ID 管理システムの設計と実装の要件を指定して、そのシステムの展開と運用に関与する利害関係者の目的を満たせるようにします。
ISO/IEC 24760 のこの部分は、次のような ID 情報処理に関連する他の国際標準の実装の基礎を提供することを目的としています。
- ISO/IEC 29100, 情報技術 - セキュリティ技術 - プライバシー フレームワーク、
- ISO/IEC 29101, 情報技術 - セキュリティ技術 - プライバシー参照アーキテクチャ、
- ISO/IEC 29115, 情報技術 - セキュリティ技術 - エンティティ認証保証フレームワーク、および
- ISO/IEC 29146, 情報技術 - セキュリティ技術 - アクセス管理のフレームワーク。
1 スコープ
ISO/IEC 24760 のこの部分
- ID 情報を管理するためのシステムの実装に関するガイドラインを提供し、
- ID 管理のためのフレームワークの実装と運用の要件を指定します。
ISO/IEC 24760 のこの部分は、ID に関連する情報が処理または保存されるあらゆる情報システムに適用されます。
2 参考文献
以下の文書の全体または一部は、この文書で規範的に参照されており、その適用に不可欠です。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 24760-1, 情報技術 — セキュリティ技術 — ID 管理のフレームワーク — 1: 用語と概念
- ISO/IEC 29115, 情報技術 — セキュリティ技術 — エンティティ認証保証フレームワーク
3 用語と定義
このドキュメントの目的のために、ISO/IEC 24760-1 および以下に記載されている用語と定義が適用されます。
3.1
デザイン
構造的、機能的、および運用システムの側面に関する信頼できる説明
注記 1:文書化された設計は、ICT システムの実装のガイダンスとして役立つように作成された文書です。
注記 2:文書化された設計には、通常、ICT システムの具体的なアーキテクチャの説明が含まれます。
3.2
ID 管理機関
ID 管理システム (3.3) の運用ポリシーの設定と施行を担当するエンティティ。
注記 1: ID 管理機関は、通常、ID 管理システムの設計、実装、および展開を委託します。
例:
サービスをサポートするために ID 管理システムを導入している企業の経営陣。
3.3
アイデンティティ管理システム
メタデータを含む ID 情報を維持するためのポリシー、手順、テクノロジ、およびその他のリソースで構成されるメカニズム
注記 1アイデンティティ管理は通常、エンティティの識別または認証に使用されます。 ID 管理システムのアプリケーションのドメインで認識されたエンティティの ID 情報に基づいて、他の自動化された決定をサポートするために展開できます。
3.4
主要な
主題
アイデンティティ管理システム(3.3) のアイデンティティ情報が関係するエンティティ。
注記 1:プライバシー保護要件の文脈では、プリンシパルは個人を指す。
3.5
無効化
特定の属性が特定のエンティティに対して有効でなくなったときに、 ID 管理システム (3.3) で実行されるプロセスで、将来の使用のために属性を無効にするためのプロセス。
注記 1属性の無効化は、例えば、アドレスの変更による属性値の更新の一部である場合があります。
注記 2無効化は通常、以前に関連付けられていた有効期間が終了する前に有効でないと判断された属性に対して行われます。
注記 3: 「失効」という用語は、資格情報である属性の無効化に一般的に使用されます。
注記 4:無効化は通常、属性が特定のエンティティーに対してもはや有効でないと判断された直後に行われます。
3.6
規制機関
ID 管理システム (3.3) の運用を監督するために、法律、規制、または合意によって任務を与えられ、権限を与えられた機関。
3.7
利害関係者
システムに関心を持つ個人、チーム、組織、またはそれらのクラス
[出典: ISO/IEC 42010]
参考文献
| [1] | ISO/IEC 29146, 情報技術 — セキュリティ技術 — アクセス管理のフレームワーク |
| [2] | Rozanski N, Woods E ソフトウェア システム アーキテクチャ: 視点と視点を使用した利害関係者との連携 2011 |
| [3] | Fowler, Martin UML の蒸留: 標準オブジェクト モデリング言語の簡単なガイド。 Addison-Wesley プロフェッショナル、2004 |
| [4] | エリクソン H.-E.ら、UML 2 ツールキット。ジョン・ワイリー&サンズ、2003 |
| [5] | ISO/IEC 27002:2013, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| [6] | ISO/IEC 42010, システムおよびソフトウェア工学 — ソフトウェア集約型システムのアーキテクチャ記述の推奨プラクティス |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the WTO principles in the Technical Barriers to Trade (TBT), see the following URL: Foreword — Supplementary information .
The committee responsible for this document is ISO/IEC JTC 1, Information technology, Subcommittee, SC 27, Security techniques.
ISO/IEC 24760 consists of the following parts, under the general title Information technology — Security techniques — A framework for identity management:
- Part 1: Terminology and concepts
- Part 2: Reference architecture and requirements
The following part is under preparation:
- Part 3: Practice
Further parts may follow.
Introduction
Data processing systems commonly gather a range of information on its users be it a person, piece of equipment, or piece of software connected to it and make decisions based on the gathered information. Such identity-based decisions may concern access to applications or other resources.
To address the need to efficiently and effectively implement systems that make identity-based decisions, this part of ISO/IEC 24760 specifies a framework for the issuance, administration, and use of data that serves to characterize individuals, organizations, or information technology components, which operate on behalf of individuals or organizations.
For many organizations, the proper management of identity information is crucial to maintain security of the organizational processes. For individuals, correct identity management is important to protect privacy.
ISO/IEC 24760 specifies fundamental concepts and operational structures of identity management with the purpose to realize information system management so that information systems can meet business, contractual, regulatory, and legal obligations.
This part of ISO/IEC 24760 defines a reference architecture for an identity management system that includes key architectural elements and their interrelationships. These architectural elements are described in respect to identity management deployments models. This part of ISO/IEC 24760 specifies requirements for the design and implementation of an identity management system so that it can meet the objectives of stakeholders involved in the deployment and operation of that system.
This part of ISO/IEC 24760 is intended to provide a foundation for the implementation of other International Standards related to identity information processing such as
- ISO/IEC 29100, Information technology ─ Security techniques ─ Privacy framework,
- ISO/IEC 29101, Information technology ─ Security techniques ─ Privacy reference architecture,
- ISO/IEC 29115, Information technology ─ Security techniques ─ Entity authentication assurance framework, and
- ISO/IEC 29146, Information technology ─ Security techniques ─ A framework for access management.
1 Scope
This part of ISO/IEC 24760
- provides guidelines for the implementation of systems for the management of identity information, and
- specifies requirements for the implementation and operation of a framework for identity management.
This part of ISO/IEC 24760 is applicable to any information system where information relating to identity is processed or stored.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 24760-1, Information technology — Security techniques — A framework for identity management — 1: Terminology and concepts
- ISO/IEC 29115, Information technology — Security techniques — Entity authentication assurance framework
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 24760-1 and the following apply.
3.1
documented design
authoritative description of structural, functional, and operational system aspects
Note 1 to entry: A documented design is the documentation created to serve as guidance for the implementation of an ICT system.
Note 2 to entry: A documented design typically includes the description of a concrete architecture of the ICT system.
3.2
identity management authority
entity responsible for setting and enforcing operational policies for an identity management system (3.3)
Note 1 to entry: An identity management authority typically commissions the design, implementation, and deployment of an identity management system.
EXAMPLE:
The executive management of a company deploying an identity management system in support of its services.
3.3
identity management system
mechanism comprising policies, procedures, technology, and other resources for maintaining identity information including metadata
Note 1 to entry: An identity management is typically used for identification or authentication of entities. It can be deployed to support other automated decisions based on identity information for an entity recognized in the domain of application for the identity management system.
3.4
principal
subject
entity to which identity information in an identity management system (3.3) pertains
Note 1 to entry: In the context of privacy protection requirements, a principal refers to a person.
3.5
invalidation
process performed in an identity management system (3.3) when a particular attribute is no longer valid for a particular entity to mark the attribute invalid for future use
Note 1 to entry: Invalidation of attributes may be part of updating the attribute value, for instance, with a change of address.
Note 2 to entry: Invalidation typically takes place for an attribute that is determined as no longer valid before the end of a validity period that had previously been associated with it.
Note 3 to entry: The term “revocation” is commonly used for invalidation of attributes that are credentials.
Note 4 to entry: Invalidation typically happens immediately after the determination that an attribute is no longer valid for a particular entity.
3.6
regulatory body
body tasked and empowered by law, regulation, or agreement to supervise the operation of identity management systems (3.3)
3.7
stakeholder
individual, team, organization, or classes thereof having an interest in a system
[SOURCE: ISO/IEC 42010]
Bibliography
| [1] | ISO/IEC 29146, Information technology — Security techniques — A framework for access management |
| [2] | Rozanski N., Woods E., Software Systems Architecture: Working With Stakeholders Using Viewpoints and Perspectives, 2011 |
| [3] | Fowler, Martin UML distilled: a brief guide to the standard object modeling language. Addison-Wesley Professional, 2004 |
| [4] | Eriksson H.-E. et al., UML 2 toolkit. John Wiley & Sons, 2003 |
| [5] | ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls |
| [6] | ISO/IEC 42010, Systems and software engineering — Recommended practice for architectural description of software-intensive systems |