Доверенная среда для электронной подписи

Как под влиянием актуальных технологических тенденций (мобильность, облака, прогресс алгоритмов шифрования...) изменилась концепция построения доверенной среды в последние годы? Технологические тенденции в данном вопросе почти не сыграли роли.

Гораздо большее влияние оказывала и оказывает нормативно-правовая база. В 2011 году вышел ГОСТ 54581 "Основы доверия к безопасности ИТ", который заложил основы доверия к безопасному применению любой технологии. Практически все новейшие технологии, будь то облачные вычисления, мобильность, Интернет вещей, тесно связаны с безопасностью. Точнее, применение этих технологий включает в себя обязательное применение сервисов безопасности. Доверенная среда - самый примитивный элемент безопасности. Гораздо труднее создать доверенный продукт, ещё труднее организовать доверенные бизнес-процессы, и уж совсем высший пилотаж - создание доверенной информационной системы. Применительно к идентификации и аутентификации наблюдается пустота по нормативному сопровождению и выработке требований к технической реализации. В наличии имеем несколько десятков подзаконных актов, в которых, как мантра, звучит необходимость обеспечения доверия к идентификации и аутентификации, но ни в одном не говорится, как это доверие надо обеспечить. Нет ни федеральных законов, ни чётких рекомендаций по построению доверенной среды, продуктов, информационных систем. Пока это все только в проекте. А между тем на Западе вопросы идентификации и аутентификации находятся под весьма пристальным вниманием регулирующих органов. Например, в 2014 году советом ЕС были приняты постановление и регламент № 910/2014, касающиеся электронной идентификации и доверенных служб для электронных транзакций на внутреннем рынке, согласно которым каждая страна, входящая в ЕС, исправляет свою нормативно-правовую базу. У нас, к сожалению, пока таких всеобъемлющих нормативных актов нет, объектом регулирования является только электронная подпись.

Как государственная политика импортозамещения влияет на архитектуру доверенной среды? Какие элементы рекомендуется заместить в первую очередь, какие заместить затруднительно или невозможно?

Если бы речь шла только о программном обеспечении (ПО), задача была бы проще. Когда мы говорим о сервисах аутентификации и электронной подписи, неизбежно встаёт вопрос о создании доверенной среды не только в ПО, но также в аппаратно-программных комплексах и каналах передачи данных Единого лекарства для таких сред пока не придумано. Одна из самых сложных задач - обеспечить доверенную среду в чипе, который генерирует ключевой материал для аутентификации и электронной подписи. Требования тут зачастую взаимоисключающие: современные скорости обработки информации, дешевизна для массового применения и полное доверие к материалу, операционной среде, ПО и реализации криптоалгоритмов. Лучшие умы сейчас работают над этой задачей.

Гарантирует ли наличие корпоративной доверенной среды полную защиту от инцидентов информационной безопасности?

Корпоративная доверенная среда состоит из нескольких компонент. Основные - это аппаратная, программная и человеческая. Ни одну из перечисленных нельзя считать полностью (на 100%) доверенной, обычно вводят несколько уровней доверия. Построенная корпоративная доверенная среда существенно повысит защищённость информационных ресурсов. Абсолютной безопасности не бывает, так же как и полного доверия. Например, всегда может найтись инсайдер, который изнутри станет способствовать злоумышленнику. Случаев таких обычно немного, но они были, есть и будут.