На подходе ГОСТ по идентификации и аутентификации

На подходе ГОСТ по идентификации и аутентификации

Информационная безопасность начинается с организации и управления доступом к информационным ресурсам. Важную роль при этом играют идентификация (распознавание) и аутентификация (проверка подлинности). В 2016 году была завершена разработка первой версии проекта национального стандарта России по идентификации и аутентификации. Что дальше?

Как подчеркивает заместитель генерального директора компании «Аладдин Р.Д.»  Алексей Сабанов, действующим в области идентификации и аутентификации стандартом в нашей стране до сих пор является единственный, переведенный с английского языка, документ, который был разработан Международным союзом электросвязи (МСЭ) в далеком 1998 году (ГОСТ Р ИСО/МЭК 9594-8-98).

Однако за прошедшее с тех пор почти двадцатилетие соответствующие технологии и практики их использования ушли далеко вперед: интенсивно развивается цифровое общество, взрывным образом растет количество, на глазах меняется качество и сложность информационных систем различного назначения, в каждой из которых имеется та или иная система управления доступом пользователей, обязательно использующая в своем составе идентификацию и аутентификацию. 

Как следствие, сейчас в мире действуют, согласно подсчетам Алексея Сабанова, шестьдесят семь международных стандартов по идентификации и аутентификации (в числе которых ISO/IEC 9798, ISO/IEC 29115-2013 г., ISO/IEC 24760 части 1 2013 г. и 2 2015 г. и др.), не считая отдельной ветви из более чем двадцати стандартов по биометрической идентификации.

Новый национальный стандарт (ГОСТ) ставит своей задачей преодолеть накопившееся отставание и вывести направление идентификации и аутентификации в стране на технологический уровень, соответствующий современному ландшафту киберугроз.

По мнению Сабанова, вопрос о подобном стандарте не просто созрел, но давно перезрел. «Ждать появления в нашей стране национальной стратегии аутентификации (а в ряде экономически развитых стран приняты и такие документы) или федерального закона (которые, кстати, согласовываются и принимаются у нас очень долго) уже нет времени», — считает он. 

Основным исполнителем государственного контракта по разработке пакета из нескольких актуальных стандартов (в который включен стандарт по идентификации и аутентификации) был назначен «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ГНИИИ ПТЗИ ФСТЭК России, г. Воронеж).  

Разработка проекта первого национального стандарта по идентификации и аутентификации в соответствии с государственным контрактом поручена компании «Аладдин Р.Д.» и НПФ «Кристалл» (г. Пенза). Руководителем и основным автором проекта ГОСТа назначен Алексей Сабанов. В рабочую группу также вошли такие известные эксперты, как Александр Бойко и Владимир Голованов.

Чтобы преодолеть отставание от международных стандартов, в проект нового ГОСТа включены основные положения ряда стандартов ИСО/МЭК и МСЭ, которые были переработаны с учетом действующей российской нормативно-правовой базы. Предполагается, что эти положения будут развиваться в последующих национальных стандартах. Небольшой по объему проект стандарта, подчеркнул Алексей Сабанов, вместил в себя сложную подготовительную работу по анализу всего накопившегося материала, его систематизации и синтеза основ идентификации и аутентификации.

Проект стандарта состоит из трех основных частей: терминов и базовых определений, основ идентификации и основ аутентификации. Структура проекта была согласована после серии научных дискуссий по актуальному содержанию базовых основ и развития стандартизованных требований к идентификации и аутентификации с применением используемых и перспективных технологий.

К настоящему времени, как сообщил Сабанов, проект прошел три этапа своего развития. Первая версия была разработана в августе 2016 г., вторая — в феврале 2017 г. В третьей версии документа были учтены замечания заказчика проекта — ФСТЭК России и назначенных им лицензиатов ФСТЭК России.

После приемки третьей версии заказчиком проект ГОСТа будет обсуждаться членами технического комитета по стандартизации «Защита информации» (ТК362). После согласования и утверждения в ТК362 осенью нынешнего года проект будет передан в Росстандарт для окончательного утверждения и внесения в список действующих национальных стандартов.

Согласно действующим процедурам, все документы ФСТЭК России до опубликования носят гриф «для служебного пользования», а проект ГОСТа по идентификации и аутентификации хотя и не является «грифованным», будучи включенным в комплект документации ГНИИ ПТЗИ, требует для ознакомления с ним широкой аудитории издания соответствующего приказа ФСТЭК России.

Алексей Сабанов сообщил, что в проекте идентификация впервые разделена на первичную и вторичную, обозначена разница в требованиях к идентификации, предназначенной для учетных систем и для предоставления доступа, выделены три основных вида аутентификации: простая, усиленная и строгая. Применение того или иного вида связано с актуальными для пользователей рисками предоставления доступа или отказа в доступе.

Оценивая возможное влияние нового стандарта на российский рынок ИБ, Сабанов отметил его рекомендательный характер. Главную цель проекта ГОСТа он видит в наведении элементарного порядка в терминологии и понимании процессов идентификации и аутентификации.

«Сейчас мы наблюдаем много "интересного": например, вакханалию экспериментов с удаленной идентификацией клиентов банков по биометрическим характеристикам с целью предоставления доступа к денежным средствам. Продвигающие подобные проекты "менеджеры", видимо, не хотят понять, что биометрические характеристики имеют вероятностную природу, а технологии — естественные и промышленные ограничения», — делится наблюдениями Алексей Сабанов.

Однако за очень редкими исключениями биометрия не может однозначно доказать достоверность идентификационной информации. Назначение биометрии здесь — с определенной степенью вероятности подтвердить принадлежность тому или иному лицу устройства, содержащего аутентификационную информацию. Алексей Сабанов полагает, что скорое появление ожидаемой системы стандартов позволит разговаривать с авторами таких проектов на одном языке.

Заглядывая в перспективы развития стандарта, Сабанов говорит: «Конечно, хочется уже сегодня разработать стандарты по идентификации и аутентификации для интернета вещей и защиты критической информационной инфраструктуры, тем более что зарубежного материала для начала работы уже достаточно. Однако такие важные стандарты должны опираться на что-то наше, отечественное».

Будем считать, что в виде предложенного проекта заложен первый камень в фундамент для построения современной системы национальных стандартов по идентификации и аутентификации.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru