สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) เผยแพร่ร่างเอกสารสองฉบับต่อสาธารณะขั้นสุดท้ายซึ่งมีจุดมุ่งหมายเพื่อเพิ่มความปลอดภัยและความสามารถในการทำงานร่วมกันของกระบวนการตรวจสอบตัวตนภายในหน่วยงานรัฐบาลกลาง
สิ่งตีพิมพ์เป็นสิ่งพิมพ์พิเศษของ NIST(สป) 800-157-แนวทางปฏิบัติสำหรับข้อมูลประจำตัวในการยืนยันตัวตนส่วนบุคคล (PIV) ที่ได้รับและสิ่งพิมพ์พิเศษของ NIST(เอสพี) 800-217-แนวปฏิบัติสำหรับสหพันธ์การยืนยันตัวตนส่วนบุคคล (PIV)-
สิ่งพิมพ์เหล่านี้เป็นส่วนหนึ่งของ NISTเพื่อปรับปรุงกระบวนการยืนยันตัวตนดิจิทัล เพื่อให้มั่นใจว่ามีความปลอดภัย เชื่อถือได้ และทำงานร่วมกันได้ทั่วทั้งหน่วยงานของรัฐบาลกลาง
ที่แนวทางสำหรับข้อมูลรับรอง PIV ที่ได้รับการแก้ไขจะขยายขอบเขตของข้อมูลประจำตัว PIV ที่ได้รับนอกเหนือจากอุปกรณ์เคลื่อนที่เพื่อรวมปัจจัยรูปแบบต่างๆ และประเภทตัวตรวจสอบความถูกต้อง โดยนำเสนอข้อมูลรับรองหลายปัจจัยที่ไม่ใช่ PKI และป้องกันการฟิชชิ่ง ซึ่งสอดคล้องกับคำสั่งจากสำนักงานการจัดการและงบประมาณ (OMB) Memoranda M-19-17 และ M-22-09 และมาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง (FIPS) ) 201-3.
การอัปเดตที่สำคัญรวมถึงการรวมตัวตรวจสอบความถูกต้องที่ไม่ใช่ PKI เพื่อให้วิธีการตรวจสอบความถูกต้องมีความยืดหยุ่น แนวทางโดยละเอียดเกี่ยวกับการออก การบำรุงรักษา และการยกเลิกหนังสือรับรอง PIV ที่ได้รับ และการควบคุมที่ได้รับการปรับปรุงเพื่อให้แน่ใจว่าข้อมูลประจำตัวที่ไม่ใช่ PKI ให้การรับประกันที่เทียบได้กับบัตร PIV แบบดั้งเดิม
เวอร์ชันสุดท้ายของ NISTแนวทางสำหรับสหพันธ์ PIVจัดเตรียมข้อกำหนดทางเทคนิคสำหรับการใช้บริการข้อมูลประจำตัว PIV แบบรวมศูนย์ ซึ่งช่วยให้สามารถใช้ข้อมูลประจำตัว PIV ข้ามโดเมนและระหว่างหน่วยงานได้ โดยมุ่งเน้นไปที่การใช้การยืนยันเพื่ออำนวยความสะดวกให้กับสหพันธรัฐ PIV ที่ได้รับการสนับสนุนจากบัญชีข้อมูลประจำตัวและข้อมูลประจำตัวของ PIV
องค์ประกอบหลักประกอบด้วยข้อกำหนดสำหรับโปรโตคอลที่รองรับการใช้ข้อมูลประจำตัว PIV แบบรวมศูนย์ระหว่างหน่วยงานต่างๆ แนวปฏิบัติในการสร้างข้อตกลงความไว้วางใจระหว่างหน่วยงานเพื่อให้แน่ใจว่ามีการตรวจสอบตัวตนที่ปลอดภัยและทำงานร่วมกันได้ ความสอดคล้องกับแนวทางการระบุตัวตนดิจิทัลเพื่อรักษาแนวทางการจัดการข้อมูลประจำตัวดิจิทัลที่สอดคล้องกัน
NIST เชิญชวนผู้มีส่วนได้ส่วนเสียให้ทบทวนและให้ข้อเสนอแนะเกี่ยวกับร่างเหล่านี้ ระยะเวลาแสดงความคิดเห็นของประชาชนเปิดให้บริการจนถึงวันที่ 10 มกราคม 2568 ควรส่งความคิดเห็นไปที่[email protected]- ผู้ตรวจสอบควรใช้เทมเพลตความคิดเห็นที่ให้ไว้ในหน้ารายละเอียดการตีพิมพ์
หัวข้อบทความ
-----
