agievich
commented
1 year ago Предлагается уточнить требование УА.5 (нумерация изменена, см. #30) и примечание к нему:
Требование УА.5 (2, 3). СИ должна приостанавливать действие токенов немедленно после уведомления от владельца о компрометации (пропаже или краже). СИ должна регистрировать уведомления и расследовать их. Если в результате расследования уведомления выясняется, что оно является ложным, то действие токенов должно быть возобновлено.
Примечание -- При приеме уведомления СИ следует провести аутентификацию пользователя с помощью сохранившихся (нескомпрометрированных) ТА, согласованных при регистрации. Уровень гарантий аутентификации при приеме уведомления может быть ниже, чем в обычной ситуации.
Структурный элемент стандарта: раздел 6, п. 6.2.2
В примечании к требованию УА.6 не приведены примеры механизмов аутентификации пользователя, утратившего токены аутентификации.
Предлагается указать, что для этого может быть использовано кодовое слово – отдельный метод аутентификации владельца токена, который может быть использован только для приостановки действия токена.