Статті та публікації
Інтернет-портал connect-wit.ru, квітень, 2015
Стаття Олексія Сабанова, заступника генерального директора "Аладдін Р.Д."
Олексій Сабанов, Заступник генерального директора компанії "Аладдін Р.Д."
Де-факто питання вибору механізмів і засобів ідентифікації і аутентифікації (ІА) суб'єктів доступу до ІС, згідно з існуючими нормативними документами, в неявній формі віддані на відкуп власникам ІС. При цьому в законодавчій і нормативній базі Російської Федерації питань регулювання процесів ІА явно приділено недостатню увагу. Мало того, аналіз офіційних документів і численних публікацій показує, що до теперішнього часу не вироблено єдиного розуміння суті процесів ІА, підходів до забезпечення безпеки, немає єдиної загальноприйнятої термінології. В результаті власники ІС створюють підсистеми ІА, відповідно до своїх уявлень про забезпечення безпеки виконання зазначених процесів. Оскільки зазначені уявлення мають широкі межі, це не може не позначатися на якості організації контролю доступу та, в результаті, на загальній захищеності корпоративних мереж та інформаційних ресурсів від несанкціонованого доступу.
Отже, розглянемо основні закони, що регулюють сферу інформаційної безпеки (ІБ).
Федеральні закони. Так, в 149-ФЗ, ст.10, п.2 читаємо: Інформація, поширювана без використання засобів масової інформації, повинна включати в себе достовірні відомості про її власника або про іншу особу, що поширює інформацію, у формі і в обсязі, які достатні для ідентифікації такої особи ". Поняття ідентифікації особистості згадується також в ст.15 п.4. у Федеральному законі №63-ФЗ також немає ні слова про аутентифікації. є стаття 5 Види електронних підписів (ЕП). Істотним недоліком цього закону є те, що в даній статті 5 не відзначено, що спользование посиленою кваліфікованої підпису можливо тільки після успішного проходження суворої процедури аутентифікації.
Федеральний закон 152-ФЗ не містить згадок про ИА. У Федеральному законі 210-ФЗ немає слів "аутентифікація", вважається, що для доступу до державних послуг досить ідентифікації: "стаття 23 п.5. Універсальна електронна карта повинна мати федеральні електронні додатки, що забезпечують ідентифікацію користувача універсальної електронної картою з метою отримання ним при її використанні доступу до державних послуг і послуг інших організацій ". При цьому поняття "ідентифікація" не розкривається.
У Федеральному законі №112-ФЗ від 07 червня 2013р наводиться згадка ЕСІА кілька разів без коментарів і розкриття понять і механізмів ІА. Федеральний закон від №184-ФЗ "Про технічне регулювання" також не містить понять ІА, є тільки вимога ідентифікації продукції і об'єкта атестації без розкриття даного поняття.
Таким чином, в законах Російської Федерації поняття "аутентифікація" не згадується; поняття "ідентифікація" є тільки в №149-ФЗ. Покажемо, що і в підзаконних актах питання регулювання процесів і технологій ІА абсолютно не розкриваються, наче це якась "закрита" тема.
Постанови Уряду. У зв'язку з великою кількістю постанов Уряду (ПП) розглянемо тільки недавно опубліковані в частині, що стосуються проблем ІА. У ПП РФ від 09 лютого 2012р. № 111, незважаючи на те, що він стосується питань регулювання доступу до системи міжвідомчої взаємодії, немає ні слова про аутентифікації.
Найдетальніші визначення ІА дані в ПП РФ від 28 листопада 2011р. № 977, проте в документі повністю відсутні вказівки про способи та механізми безпечного виконання процесів ІА. Вельми показовими згадки ІА в технічних вимогах, які перебувають в ПП РФ від 24 березня 2011 № 208; в п.10 бачимо: "Електронне ідентифікаційне додаток повинен забезпечувати ідентифікацію та аутентифікацію користувача універсальної електронної карти з метою отримання ним при її використанні доступу до державних послуг" та чотири повторювані слова "доступ після успішної аутентифікації картою пристрою обслуговування" в п.21 (як ніби виконані способом copy pass).
У більшій частині нормативних документів, що стосуються застосування ЕП, немає ні слова про аутентифікації, хоча застосування кваліфікованої ЕП без попередньої ІА вельми тісно пов'язане з наданням електронного документа (ЕД) юридичної сили (ЮС). Типовим прикладом є ПП-111 від 9февр 2012 ПРО ЕП, використовуваної ОІВ і ОМС. Розглянуто види підписи, але немає ні слова про аутентифікації, хоча, як відомо, без попередньої строгої аутентифікації навіть посилена кваліфікована підпис не зможе забезпечити ЮС ЕД.
Накази ФСБ Росії і ФСТЕК Росії
У спільному Наказі ФСБ Росії № 416, ФСТЕК Росії № 489 від 31.08.2010 "Про затвердження вимог про захист інформації, що міститься в інформаційних системах загального користування" сказано: "В інформаційних системах загального користування повинні бути забезпечені: підтримку цілісності і доступності інформації; попередження можливих несприятливих наслідків порушення порядку доступу до інформації ". При цьому згадок про процеси ІА також немає. У Наказі ФСБ від 27 грудня 2011р. № 795 "Про затвердження вимог до форми кваліфікованого сертифіката ключа перевірки електронного підпису" сказано: "Вимоги до порядку розташування полів кваліфікованого сертифіката встановлюються відповідно до основами аутентифікації в відкритих системах (ДСТУ ISO / IEC 9594-8-98 Інформаційна технологія. Взаємозв'язок відкритих систем. Довідник. Частина 8. Основи аутентифікації) ". Також в п.25 зазначеного Наказу бачимо вказівку на використання поля сертифіката KeyUsage: "Значення" 1 "в нульовому біті означає, що область використання ключа включає перевірку ЕП під електронними документами, відмінними від кваліфікованих сертифікатів та списків унікальних номерів кваліфікованих сертифікатів ключів перевірки ЕП, дія яких на певний момент було припинено УЦ до закінчення їх дії (далі - список анульованих сертифікатів), призначеними для виконання процедур аутентифікації або контролю цілісності ості ".
У 1992р. на основі перекладу "Помаранчевої книги" Гостехкомиссией Росії випустила ряд нормативних документів, серед яких виділяється "РД. Автоматизовані системи (АС). Захист від несанкціонованого доступу до інформації. Класифікація АС і вимоги щодо захисту інформації" видання 1992р., що використовуються до цих пір. У цьому документі аутентифікація визначається як "перевірка приналежності суб'єкту доступу пред'явленого їм ідентифікатора; підтвердження справжності". У нормативно-методичному документі "Збірник РД щодо захисту інформації від несанкціонованого доступу. 1998р." сказано, що "користувачі АС повинні проходити процедуру аутентифікації" без визначення даного процесу. У більш пізніх документах аутентифікація відправника даних визначена як "підтвердження того, що відправник отриманих даних відповідає заявленому". У документах 2014 р., Зокрема, в методичному документі ФСТЕК "Заходи захисту інформації в ГІС. 2014р." дано визначення ІА як процедури "присвоєння суб'єктам і об'єктам доступу унікального ознаки (ідентифікатора), порівняння висунутого суб'єктом (об'єктом) доступу ідентифікатора з переліком привласнених ідентифікаторів, а також перевірку приналежності суб'єкту (об'єкту) доступу пред'явленого їм ідентифікатора (підтвердження автентичності)". Зауважимо, що це визначення є не зовсім повним, оскільки "приналежність" і "справжність" різні сутності і доводяться відрізняються один від одного механізмами. Справжність пред'явлених претендентом ідентифікаторів підтверджується за допомогою аутентифікатора (секрету). Наприклад, це може бути секретний (приватний) ключ або в найпростішому випадку - пароль. Належність доводиться шляхом процедури перевірки валідації електронного посвідчення, що зв'язує ключовий матеріал і ідентифікатори з конкретною особистістю.
Приблизно така ж картина спостерігається і в інших нормативних документах. В умовах безперервно зростаючого безлічі нормативних документів хотілося б мати єдині узгоджені тлумачення і єдині вимоги щодо забезпечення безпеки процесів ІА.
висновок
Спробуємо зробити деякі припущення про можливі причини ситуації, що склалася. Однією з причин може з'явитися те, що регулювання процесів ІА знаходиться "між" сферами дії ФСБ Росії і ФСТЕК Росії, але прямо не відноситься до сфери ні першої, ні другої служби. Дійсно, для аутентифікації користувачів в основному використовуються західні криптографічні алгоритми, що не є предметом регулювання ФСБ Росії. ФСТЕК Росії відповідає за захищеність інформаційних мереж, однак криптографія не входить в сферу регулювання цього шановного регулюючого органу. Мінкомзв'язку могло б виступити ініціатором регулювання процесів ІА, проте там поки ще відчувається брак фахівців у даному питанні. Недолік фахівців в області вивчення процесів ІА спостерігається не тільки в зазначеному відомстві. Якщо проаналізувати міжнародні стандарти, зокрема, серію стандартів ISO / IEC ITU, всі вони спираються на результати серйозних досліджень відомого інституту ність (США). Ще однією з причин може бути те, що до сих пір в РФ не знайшлося "бізнес-замовника" для досліджень ІА і вироблення вимог з безпеки процесів ідентифікації і аутентифікації. Проте, інтенсивна інформатизація суспільства і постановка все нових і нових завдань з перекладу послуг державних і муніципальних органів в електронний вигляд призведе нас до вирішення зазначених завдань і підвищення безпеки віддаленого електронної взаємодії.