logo-LexDigital
logo-LexDigital
Cyberbezpieczeństwo

PN-ISO 29115:2013

Zespół LexDigital
Zespół LexDigital
20.12.2019
PN-ISO 29115:2013

PN-ISO 29115:2013 Technika Informatyczna – techniki bezpieczeństwa – Ramy uzasadnionej pewności poziomów uwierzytelniania to międzynarodowy standard, w którym określono rozwiązania zapewniające wiarygodność uwierzytelniania jednostki, odnosząc się przy tym do poziomów zaufania jakimi można obdarzyć wszystkie procesy, czynności oraz technologie użyte do opracowania i zarządzania tożsamością użytkowników. W przeciwieństwie do innych tego typu projektów, norma ma charakter uniwersalny i może być stosowana we wszystkich sektorach.

Standard wprowadza cztery poziomy wiarygodności (LoA1-LoA4), których wybór dla konkretnej aplikacji powinien być poprzedzony oceną ryzyka dla takiej transakcji czy usługi. Dodatkowo zawsze podczas wyboru wspomnianego poziomu powinno uwzględniać się wpływ czynników technicznych, prawnych, organizacyjnych oraz kompetencje osób obsługujących. Norma formułuje pewne zalecenia we wskazanych obszarach, w tym np. konieczność wdrożenia systemu bezpieczeństwa informacji (np. wg ISO/IEC 27001) czy też prowadzenia regularnych audytów bezpieczeństwa, pozwalających na weryfikację stosowanych zasad. Zachowanie zgodności ze standardem wymaga również ustanowienia, wdrożenia i utrzymywania określonych polityk i procedur określających procesy w organizacji.

Oprócz powyższych zaleceń w normie znajdziemy charakterystykę trzech faz w strukturze wiarygodności, w stosunku do których określono najbardziej prawdopodobne zagrożenia oraz rekomendowane środki bezpieczeństwa konieczne do wdrożenia dla danego poziomu wiarygodności.

Wspomniane powyżej trzy fazy to:

  • rejestracja, w tym procesy: założenie aplikacji i inicjalizacja, udowadnianie tożsamości, weryfikacja tożsamości, ewidencja i rejestracja; 
  •  zarządzanie danymi uwierzytelniającymi – procesy związane z zarządzaniem cyklem życia danych lub środków niezbędnych do ich wytworzenia (wytworzenia danych, ich wydanie, przechowywanie, aktywacja danych, unieważnienie, odnowienie, ewidencja czynności);
  • uwierzytelnianie – użycie danych przez podmiot w celu skorzystania z usługi.

Wśród obowiązkowych elementów, które wprowadza standard są także: informowanie użytkowników o procedurze rejestracji, opracowanie dokumentów jasno opisujących sposoby wytwarzania danych uwierzytelniających, wdrożenie odpowiednich standardów bezpieczeństwa w odniesieniu do wykorzystywanych narzędzi i baz danych, w tym ochrona przed atakami w sieci, stosowanie szyfrowania transmisji danych i metod kryptograficznych. Zalecane jest także stosowanie uwierzytelniania wieloczynnikowego, co daje wyższą gwarancję zapobiegania zagrożeniom.

Polecamy nasze inne artykuły:

NIS2 – sprawdź nowe wymagania dla firm

Incydenty i naruszenia ochrony danych osobowych w dni wolne od pracy i święta

Dane osobowe: Kompletny przewodnik po RODO na 2025 rok

Normy ISO – czyli to, co oczywiste a nieoczywiste

Inspektor Ochrony Danych
UODO kontroluje niezależność IODO – sprawdź wytyczne i uniknij kar!

UODO kontroluje niezależność IODO – sprawdź wytyczne i uniknij kar!

Włodzimierz Dola 29.08.2025
Zarządzanie ryzykiem
Czy wiesz, kto ma dane klientów? Kontrola dostępu do danych w firmie

Czy wiesz, kto ma dane klientów? Kontrola dostępu do danych w firmie

Zespół LexDigital 12.12.2025

Umów bezpłatną konsultację

Napisz, w czym możemy ci pomóc, a my skontaktujemy się z Tobą w ciągu 24 godzin.
Kontakt
Pierwszy taki newsletter o ochronie danych i cyberbezpieczeństwie.
Co miesiąc dawka wiedzy od naszych ekspertów.

Administratorem Twoich danych osobowych jest LexDigital spółka z ograniczoną odpowiedzialnością z siedzibą w Poznaniu, ul Grodziska 8, 60-363 Poznań. Dane osobowe przetwarzane będą w celu wysyłania informacji handlowych, w szczególności newslettera. Pełną informację o przetwarzaniu danych osobowych znajdziesz w naszej Polityce prywatności.