ГОСТ Р ИСО 16678-2017

ГОСТ Р ИСО 16678-2017

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМА ЗАЩИТЫ ОТ ФАЛЬСИФИКАЦИИ И КОНТРАФАКТА

Идентификация интероперабельных объектов и связанные системы проверки подлинности для противодействия фальсификациям и незаконной торговле

The system of protection against fraud and counterfeiting. Guidelines for interoperable object identification and related authentication systems to deter counterfeiting and illicit trade

ОКС 01.040.01, 13.310*

_____________________

* По данным официального сайта Росстандарт

 ОКС 13.310, здесь и далее по тексту. -

Примечание изготовителя базы данных.

Дата введения 2018-07-01

Предисловие

1 ПОДГОТОВЛЕН Международной ассоциацией организаций, осуществляющих деятельность по противодействию незаконному обороту контрафактной продукции "Антиконтрафакт", Федеральным государственным унитарным предприятием "Государственный научно-исследовательский институт авиационных систем" на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 124 "Средства и методы противодействия фальсификациям и контрафакту"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 7 ноября 2017 г. N 1668-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 16678:2014* "Руководство по идентификации интероперабельных объектов и связанных систем аутентификации для противодействия фальсификациям и незаконной торговле" (ISO 16678:2014 "Guidelines for interoperable object identification and related authentication systems to deter counterfeiting and illicit trade", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Август 2019 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт разработан с учетом трех основных положений. Первое - выявление фальсифицированных объектов является комплексной и часто сложной задачей, второе - точная идентифицирующая информация о рассматриваемом объекте упрощает процесс выявления фальсификаций, и третье - точную идентифицирующую информацию часто сложно получить.

Основной целью применения настоящего стандарта является упрощение и обеспечение доступа к точной идентифицирующей информации доверенным агентам (инспекторам) в процессе аутентификации объектов.

Для достижения этой цели настоящий стандарт содержит правила, направленные на облегчение задачи получения и использования идентифицирующей информации об объекте. Идентифицирующие данные и информация могут содержаться во многих местах хранения, в том числе в системах верификации и аутентификации.

Предоставление инспекторам доступа к идентифицирующей информации облегчает им задачу выявления фальсификатов. Из этого могут быть сделаны следующие заключения.

Улучшение интероперабельности объектов идентификации и связанных систем аутентификации должно упростить использование инспекторами этих систем. Улучшение в части облегчения использования расширит для инспекторов доступ к множеству систем, содержащих достоверную информацию, таким образом увеличит способности к выявлению фальсификатов и снизит потери, связанные с фальсификациями.

Настоящий стандарт определяет правила направления запросов на получение связанной с объектом информации от соответствующих уполномоченных служб и направления ответов на них к инспекторам.

Системы идентификации объектов, как правило, используют уникальные идентификаторы (УИД) для ссылок или получения доступа к информации об объекте. УИД может быть присвоен группе объектов или отдельному объекту. В обоих случаях применение УИД расширяет возможности выявления фальсификаций и контрафакта, хотя УИДы, присвоенные отдельным объектам, являются более эффективными. Настоящий стандарт включает шесть разделов:

- область применения: определяет ограничения в применении настоящего стандарта как содержащего только общие правила и рекомендации. Настоящий стандарт не содержит обязательных требований;

- термины: определяет смысловое содержание значимых терминов, применяемых в настоящем стандарте, таких как "инспектор", "семантическая интероперабельность";

- общие положения: содержит общее описание правил использования информации об объекте для выявления фальсификаций;

- ключевые принципы: содержит концепции и положения, влияющие на методические указания;

- методические указания: содержит описание методов, которые могут улучшить совместимость систем, способных предоставлять инспекторам информацию об объектах;

- информационные приложения: специальные примеры, поясняющие некоторые из концепций и положений, представленных в настоящем стандарте.

Ожидаемые результаты

Расширение области применения решений по валидации и аутентификации, повышение их эффективности в выявлении и противодействии правонарушениям, таким как фальсификации и незаконное использование объектов не по назначению. Настоящий стандарт предназначен для создания надежной и безопасной системы идентификации и аутентификации объектов для противодействия поступлению незаконных объектов на рынок.

Целью настоящего стандарта является представление схем взаимодействия, в которых обеспечивается совместимость различных решений по идентификации и аутентификации объектов и повышается уровень взаимного доверия участников оборота объектов на рынке. Представленные в стандарте схемы допускается использовать часто как типовые решения. Отдельные схемы могут также включать решения, которые позволяют выявлять фальсификации без аутентификации продукции. Помимо этого, схемы могут включать решения, которые позволяют получать оценки в отношении только отдельных элементов аутентификации.

Поскольку является вероятным, что системы идентификации и аутентификации объектов сами будут фальсифицироваться и копироваться, настоящий стандарт устанавливает метод формального подтверждения, что полученному из удаленного источника описанию объекта можно доверять. Участниками оборота объектов должны быть приняты меры к исключению несоответствий в данных, получаемых при различных независимых обращениях к указанным системам, обеспечению получения непротиворечивых данных об уникальной идентификации объектов при многократном обращении к системам и в различных приложениях.

В основе построения указанных систем стоит положение о том, что утрата взаимного доверия и утрата согласованности данных являются основными причинами противоречий между участниками оборота объектов. Для устранения этих противоречий необходимо обеспечить большую осведомленность участников оборота в данных об объектах и более широкую применимость систем, что позволит лучше выявлять и предотвращать правонарушения.

В настоящем стандарте внесены следующие редакционные изменения, не изменяющие техническое содержание и структуру аутентичного текста стандарта ISO 16678:2014. В таблице А.1 вместо обозначения конкретных географических информационных систем QGIS и QIIS приведена фраза о "географических информационных системах, применяемых в федеральных и муниципальных органах власти Российской Федерации", поскольку перечень применяемых в Российской Федерации таких систем включает и иные системы, в том числе и отечественной разработки. Из введения в перечислении "термины:" исключен термин "доверенный агент (trusted agent)", отсутствующий в разделе 2 и в тексте стандарта.

В тексте стандарта добавлены ссылки на документы, приведенные в структурном элементе "Библиография", отсутствующие в международном стандарте.

     1 Область применения

Настоящий стандарт устанавливает требования к построению систем идентификации и аутентификации объектов (далее - системы). Он содержит рекомендации и методы, составленные на основе наилучших практик, относящиеся к:

_______________

Здесь под объектами понимаются товары народного потребления и товары производственного назначения по ГОСТ Р 51303-2013, в отношении которых участники системы принимают меры по уникальной идентификации и аутентификации, выявлению и исключению из оборота фальсифицированных объектов.

- положениям о присвоении и верификации идентификаторов, физическом представлении идентификаторов, принятии мер должной осмотрительности участниками;

_______________

Здесь под идентификатором (уникальным идентификатором) понимается обозначение товара, присвоенное по ГОСТ Р ISO/IEC 15459-3-2016*, ГОСТ Р ISO/IEC 15459-4-2016*, ГОСТ Р ISO/IEC 15459-6-2016*.

* Вероятно, ошибка оригинала. Следует читать: ГОСТ ISO/IEC 15459-3-2016, ГОСТ ISO/IEC 15459-4-2016, ГОСТ ISO/IEC 15459-6-2016 соответственно, здесь и далее по тексту. - Примечание изготовителя базы данных.

- проверке всех участников системы в рамках применения системы;

- взаимосвязи между уникальными идентификаторами и возможными элементами аутентификации, относящимися к ним;

- запросам инспекторов, относящимся к идентификации и авторизованному доступу к привилегированной информации об объекте;

- истории получения инспектором доступа к данным (регистрационные журналы).

Настоящий стандарт устанавливает схему построения систем и определяет состав функциональных подсистем, применяемых для достижения надежности и интероперабельности работы таких систем.

_______________

Термин "интероперабельность" по ГОСТ Р 55062-2012 "Информационные технологии. Системы промышленной автоматизации и их интеграция. Интероперабельность. Основные положения".

Настоящий стандарт не определяет технические требования к реализации конкретной системы, но определяет общие требования к процессам, функциям и функциональным подсистемам, используя общую модель операций в рамках системы для пояснения вариантов применения системы. Системы идентификации и аутентификации объектов могут включать подсистемы, имеющие другие функции, такие как прослеживаемость цепи поставок, прослеживаемость характеристик качества, маркетинговая деятельность и др., но эти аспекты выходят за область применения настоящего стандарта.

Примечание - Настоящий стандарт не регламентирует специальные требования к идентификации промышленной продукции, такие как присвоение Глобального номера предмета торговли (Global Trade Item Number).

     2 Термины, определения и сокращения

2.1 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

2.1.1 система управления данными атрибутов (СУДА) (attribute data management system (ADMS)): Система, которая хранит данные, управляет данными и контролирует доступ к данным, относящимся к объектам.

2.1.2 аутентификация (authentication): Процесс подтверждения подлинности сущностей или атрибутов с установленным или известным уровнем гарантии.

[ISO/IEC 29115]

2.1.3 функция аутентификации (authentication function): Функция, выполняющая проверку подлинности (аутентификацию).

2.1.4 достоверный источник данных (authoritative source): Официально установленный источник данных атрибута, ответственный за поддержание достоверности данных атрибута.

2.1.5 копия хранителя (custodian сору): Дубликат данных, находящихся в распоряжении достоверного источника.

2.1.6 сущность (entity): Нечто, существующее отдельно и независимо и которое может быть охарактеризовано набором данных, связанных с контекстом (средой, в которой находится сущность).

Примечание - Сущность может быть человеком, организацией, физическим объектом, классом объектов, нематериальным объектом.

[ISO/IEC 29115]

2.1.7 идентификация (identification): Процесс распознавания признаков, идентифицирующих объект.

[ISO/IEC 29115]

2.1.8 идентификатор (identifier): Установленный набор признаков, присвоенный сущности с целью идентификации.

2.1.9 идентичность (identity): Набор атрибутов, относящихся к сущности.

Примечания

1 Идентичность может иметь уникальные атрибуты, позволяющие отличить объект от всех других.

2 Идентичность может рассматриваться в отношении человека, организации, объекта (физического или нематериального).

2.1.10 инспектор (inspector): Лицо или устройство, использующее функции проверки объекта для получения оценки объекта.

Примечания

1 Любой участник системы может действовать в роли инспектора.

2 Инспекторы могут иметь различный уровень квалификации и подготовки.

3 Инспектором может быть автоматизированная система.

2.1.11 история получения доступа инспектором (inspector access history): Журнал регистрации доступа, содержащий данные о том, когда (дата события) были проверены данные кодов уникального идентификатора (УИД), каким (привилегированным или иным) инспектором (необязательные данные), с какого конкретного пункта (необязательные данные).

Примечание - В журнале также могут быть использованы метки времени.

2.1.12 интероперабельность (interoperability): Способность отдельной точки входа в систему направлять запросы в отношении объектов, имеющих УИД, в уполномоченные достоверные источники данных для выполнения функции доверенной верификации (ФДВ).

_______________

В общем случае термин "интероперабельность" по ГОСТ Р 55062-2012.

Примечание - Также означает способность множества систем аутентификации предоставлять ответы группам пользователей.

2.1.13 объект (object): Любая единичная и отличимая от иных сущность, которая может быть идентифицирована.

_______________

Здесь под объектами понимаются товары народного потребления и товары производственного назначения по ГОСТ Р 51303-2013, в отношении которых участниками системы принимаются меры по уникальной идентификации и аутентификации, выявлению и исключению из оборота фальсифицированных объектов.

2.1.14 функция экспертизы объекта (ФЭО) (object examination function (OEF)) - действия по поиску или анализу УИД или иных атрибутов с намерением установления подлинности объекта (аутентификации).

Примечание - В этом процессе иные атрибуты могут содействовать оценке подлинности УИД.

2.1.15 собственник: Сущность, которая на законных основаниях обладает правами пользователя объекта, предоставляет права использования, распространения объекта, которому присвоен УИД.

_______________

Обладатели защищаемых законом прав на объекты (прав интеллектуальных и на средства индивидуализации), изготовители.

2.1.16 участник системы: Поставщик решений в области идентификации интероперабельных объектов и связанных систем аутентификации, пользователь систем идентификации, включая, но не ограничиваясь этим перечислением, обладателей защищаемых законом прав на объекты, должностных лиц таможни, дистрибьюторов и потребителей.

_______________

В настоящем стандарте под участниками системы понимаются обладатели защищаемых законом прав на объекты (прав интеллектуальных и на средства индивидуализации), изготовители, поставщики, дистрибьюторы, потребители объектов, операторы систем идентификации и аутентификации, их подсистем, а также государственные, муниципальные и общественные организации, осуществляющие контроль подлинности объектов с применением системы в рамках предоставленных полномочий.

2.1.17 семантическая интероперабельность (semantic interoperability): Способность двух и более систем или служб автоматически интерпретировать и использовать информацию, обмен которой произведен безошибочно.

2.1.18 синтаксическая интероперабельность (syntactic interoperability): Способность двух или более систем или служб обмениваться структурированной информацией.

2.1.19 функция доверенной обработки запросов (ФДОЗ) (trusted query processing function (TQPF)): Функция, предоставляющая вход в функцию доверенной верификации и в систему управления данными атрибутов.

Примечание - Реализуется с применением программных средств, работающих локально на портативном устройстве.

2.1.20 функция доверенной верификации (ФДВ) (trusted verification function (TVF)): Функция, проверяющая статус УИД - действительный или недействительный - и управляющая ответом в соответствии с правилами и привилегиями доступа.

2.1.21 уникальный идентификатор (УИД) (unique Identifier (UID)): Код, представленный одним специальным набором знаков, которые поставлены в соответствие объекту или группе объектов на протяжении срока существования объекта в рамках специального домена и области применения системы идентификации объекта.

_______________

В общем случае "уникальный идентификатор" по ГОСТ Р ISO/IEC 15459-3-2016, ГОСТ Р ISO/IEC 15459-4-2016, ГОСТ Р ISO/IEC 15459-6-2016.

2.1.22 верификация (verification): Проверка, что УИД существует и действителен в рамках системы идентификации объектов.

Примечание - Верификация может показать наличие некоторых типов фальсификаций, но сама по себе не доказывает аутентичность сущности.

2.2 Сокращения

В настоящем стандарте применены следующие сокращения:

СУДА - система управления данными атрибутов (Attribute Data Management System (ADMS));

ИП - идентификатор применения (Application Identifier (Al)) (см. [6], [11]);

ОС - орган, уполномоченный по сертификации (Certification Authority (CA));

ИД - идентификатор данных (Data Identifier (DI)) (см. [6], [11]);

ФЭО - функция экспертизы объекта (Object Examination Function (OEF));

ФФО - Функция форматирования отчетов (Response Formatting Function (RFF));

ФДОЗ - функция доверенной обработки запросов (Trusted Query Processing Function (TQPF));

ФДВ - функция доверенной верификации (Trusted Verification Function (TVF));

УИД - уникальный идентификатор (Unique Identifier (UID)).

     3 Общие положения

3.1 Общие требования

Преимуществом применения интероперабельных систем идентификации и аутентификации является улучшение условий для выявления фальсифицированных и контрафактных объектов за счет:

- расширения возможностей применения систем специальными группами пользователей;

- увеличения количества инспектируемых объектов;

- расширения доступа к ресурсам достоверных данных, а также

- снижения затрат на содержание систем, связанных:

- с обучением персонала;

- с оснащением;

- с разработкой;

- с развертыванием;

- с проверками.

Как только интероперабельность достигнута и системы доступны для потребителей, инспектор может применить идентификатор для производства запроса в отношении объекта, ответ на который им будет использован при принятии решения о действиях в отношении объекта. Инспектор должен иметь подтверждения, что представленная в ответе информация является точной и заслуживающей доверия.

Действия участников системы должны выполняться в рамках своих ролей с соблюдением следующих общих требований.

Проведение инспекций и проверок поставщиков услуг следует рассматривать как изначально основанное на предположении о добросовестности их действий, а не как изначально направленное на выявление их недобросовестности и причинение им ущерба.

Проведение инспекций и проверок изготовителей следует рассматривать как изначально основанное на предположении следования ими документированным процессам и предоставления ими точной информации в системы.

Заинтересованные стороны, имеющие потребность в получении данных, должны получать соответствующие полномочия на подачу и обработку запросов, так чтобы обладатели защищаемых законом прав на объекты могли предоставлять информацию, руководствуясь социальной ответственностью.

3.2 Системы идентификации и аутентификации объектов (находящиеся в процессе применения)

3.2.1 Общие сведения

Системы идентификации и аутентификации объектов, как правило, состоят из функциональных единиц, указанных ниже на модели (рисунок 1).

     
Рисунок 1 - Модель инспекции объекта в системе идентификации и аутентификации

Модель не содержит описания способов реализации функций. В системе может быть реализовано множество видов функций. Различные функции могут быть объединены в одну услугу.

Пример, раскрывающий применение данной модели, приведен в приложении С.

3.2.2 Функция экспертизы объекта (ФЭО)

Инспектор проводит экспертизу интересующего его объекта (например, товара, имеющего вещественную форму) с целью определения наличия у него УИД. Если УИД обнаружен, дальнейшая  экспертиза может потребовать определения, какая функция (функции) доверенной обработки запросов может содержать данные об этом УИД. Функции формируют запросы, которые могут состоять только из УИД, из комбинации УИД и удостоверяющих данных инспектора или содержать другие данные физических атрибутов, включая существенные присущие объекту элементы аутентификации, которые могут уникально идентифицировать объект, например такие, как цифровое изображение. Функция экспертизы объекта включает принятие решения о направлении запроса в одну или более ФДОЗ. Когда процесс повторяется, ФЭО может оценить ответ и на предыдущий запрос.

3.2.3 Функция доверенной обработки запросов

ФДОЗ маршрутизирует информацию между другими функциями в соответствии с установленными правилами. ФДОЗ может исследовать удостоверяющие данные, полученные от подающих запросы участников системы, на соответствие установленным правилам. ФДОЗ может быть распределена по нескольким услугам.