05.12.2006

Двухфакторная аутентификация пользователей – необходимое условие соблюдения основных рекомендаций стандарта СТО БР ИББС 1.0-2006

Банки и технологии №5/2006, Антон Крячков

Грядущее присоединение России к соглашению Basel II (2009 г.) и особенно предваряющее его принятие новой редакции стандарта ЦБ (СТО БР ИББС 1.0-2006) заметно оживили отечественное банковское сообщество, заставив всерьез задуматься о соответствии сложившейся практики обеспечения информационной безопасности международным представлениям о цивилизованной организации процессов защиты информации – важнейшего стратегического ресурса каждой финансово-кредитной организации. Особое внимание при этом уделяется оценке возможностей по выявлению и предупреждению рисков "убытка в результате неадекватных или ошибочных внутренних процессов, действий и систем" , на котором новый стандарт Банка России делает отдельный акцент (в частности в пп. 7.7, 7.13, 8.2.1.3, 8.2.2, 8.2.3.9 и других разделах этого документа). Впрочем, этот акцент вполне логичен и обоснован, что подтверждается и международным опытом, и мнением отечественных банкиров. Чтобы не быть голословными, приведем итоги двух независимых исследований: оценку объема потерь, понесенных в США в 2005 г. в результате различных видов атак (рис.1), и рейтинг наиболее опасных рисков, составленных InfoWatch летом нынешнего года по итогам опроса более 30 банков, работающих в России.

Эти иллюстрации как нельзя лучше поясняют, почему, несмотря на сложный и ресурсозатратный процесс выполнения "рекомендаций" нового стандарта ЦБ по информационной безопасности, отечественные банки признают его необходимость и в большинстве своем верят в то, что он реально будет способствовать повышению их конкурентоспособности.

В числе преимуществ обеспечения совместимости с этим стандартом, которые видят респонденты опроса InfoWatch и Bankir.ru, наиболее значимыми стали: эффективная система ИТ-безопасности (этот ответ выбрали 27,59% участников опроса), эффективное управление операционными рисками, улучшение и защита репутации (каждому из этих утверждений отдали предпочтение 24,14% опрошенных). Помимо этого, по данным того же источника, 11,21% российских банков видят выгоду от соблюдения нового стандарта в том, что он обеспечит им необходимые условия как для совместимости с соглашением Basel II, так и для повышения привлекательности в глазах иностранных инвесторов и партнеров. В то же время информационная безопасность как способ повышения собственной цены при слияниях и поглощениях респонденты рассматривают лишь опосредованно (это утверждение собрало всего 1,72% голосов), логично делая ставку на инструменты, более глубоко находящиеся в рамках их профессиональной компетенции.

Итак, теперь, когда значимость и практическая ценность нового стандарта достаточно очевидны для большинства отечественных финансово-кредитных организаций, самое время рассмотреть те инструменты, с помощью которых можно будет сочетать требуемый уровень защищенности информационных ресурсов. Причем, для того чтобы сохранять систему ценностей, задаваемую стандартом, по ходу статьи мы будем постоянно апеллировать к его ключевым положениям, подкрепляя их уже полученным практическим опытом решения упомянутых задач.

Как было сказано в начале статьи, одним из наиболее критичных параметров отлаженной системы информационной безопасности является человеческий фактор. Причем, согласно последней редакции стандарта СТО БР ИББС 1.0-2006, при выстраивании системы управления информационной безопасностью следует обеспечить соблюдение оптимального соотношения свобод и ограничений как с точки зрения персонала финансово-кредитной организации, так и с точки зрения ее клиентов. Особенно актуальным исполнение этого требования представляется для тех финансово-кредитных структур, которые активно развивают свой бизнес благодаря использованию ритейловых инструментов и постоянно наращивают доступных клиентам число точек своего присутствия в разных регионах. Для решения данной задачи стандарт СТО БР ИББС 1.0-2006 рекомендует обеспечить единый комплекс мер, включающий в себя обеспечение идентификации, аутентификации и авторизации, а также управление доступом, контроль целостности информационного обмена и регистрацию действий персонала и других пользователей АБС в специализированном электронном журнале. Именно при таком сочетании финансово-кредитная организация демонстрирует клиенту соблюдение его интересов и получает от него необходимый кредит доверия, что крайне важно для поддержания репутации банка и повышения его привлекательности в глазах новых клиентов.
На сегодняшний день наиболее практичным и надежным вариантом организации защищенного доступа к данным будет использование комбинированных аппаратных устройств – токенов.

В случае полнофункциональной реализации они способны обеспечить не только идентификацию пользователя, но и удостовериться в том, что он действительно тот, за кого себя выдает (аутентифицировать). При этом для финансово-кредитной организации одним из важнейших характеристик процесса аутентификации стало использование цифрового сертификата, позволяющего формировать электронную цифровую подпись (ЭЦП) и тем самым обеспечивать режим неотказуемости пользователей от выполненных действий, что весьма важно для поддержания высокого уровня исполнительской дисциплины и ответственности каждого пользователя АБС.
Механизмы аутентификации на основе сертификатов обычно используют протокол с запросом и ответом. Согласно этому протоколу, сервер аутентификации направляет пользователю последовательность символов, называемую запросом, а программное обеспечение клиентского компьютера для генерирования ответа вырабатывает с помощью закрытого ключа пользователя цифровую подпись под запросом от сервера аутентификации. Общий процесс подтверждения подлинности пользователя состоит из следующих стадий:

  • получение открытого ключа CA (одноразовый процесс);
  • получение по некоторому незащищенному каналу от этого пользователя его сертификата открытого ключа (включающее получение идентификатора пользователя, проверку даты и времени относительно срока действия, указанного в сертификате, на основе локальных доверенных часов, проверку действительности открытого ключа СА, проверку подписи под сертификатом пользователя с помощью открытого ключа СА, проверку сертификата на предмет отзыва);
  • если все проверки успешны, открытый ключ в сертификате считается подлинным открытым ключом заявленного пользователя;
  • проверка на наличие у пользователя закрытого ключа, соответствующего данному сертификату, с помощью алгоритма запрос-ответ.

Эта цепочка этапов жизненного цикла нашла свое отражение в п. 8.2.7.5. стандарта, дающего рекомендации относительно внутреннего порядка применения средств криптографической защиты информации (СКЗИ) в АБС. В качестве примера алгоритмов, работающих по такой схеме, можно назвать протокол SSL или Kerberos, которые предусматривают использование в качестве защитного механизма аутентификацию с открытым ключом.

Почему же так важна двухфакторная аутентификация для финансово-кредитной организации и какое влияние она способна оказать на показатели бизнеса? Потому что, как отмечено в п. 8.2.9.4: "Организация БС РФ несет ответственность за обеспечение соответствующего законодательству Российской Федерации уровня защиты как собственной информации, так и информации, официально полученной из внешних организаций и от граждан. При этом стандарт рекомендует различать 5 классов информации, каждому из которых соответствует свой необходимый уровень защиты (свой набор требований по защите):

  • открытая информация, предназначенная для официальной передачи во внешние организации и средства массовой информации;
  • внутренняя банковская информация, предназначенная для использования исключительно сотрудниками организации БС РФ при выполнении ими своих служебных обязанностей;
  • информация, содержащая сведения ограниченного распространения в соответствии с утвержденным организацией БС РФ перечнем, подлежащая защите в соответствии с законодательством РФ, например банковская тайна, персональные данные;
  • информация, полученная из федеральных органов исполнительной власти и содержащая сведения ограниченного распространения;
  • информация, содержащая сведения, составляющие государственную тайну.

Очевидно, что от того, насколько четко будет обозначен и соблюден круг должностных лиц и внешних пользователей АБС, имеющих доступ к каждому из этих ресурсов, во многом зависит успешность и бесперебойность работы финансово-кредитной организации. А это возможно лишь в случае соблюдения двух условий: исключения возможности случайного или злонамеренного использования прав пользователя, превышающих полномочия того или иного сотрудника или клиента банка, а также обеспечение условий для неотказуемости пользователя АБС от совершенных им воздействий на информационные ресурсы: искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации платежных документов. Соблюдение двусторонней аутентификации автоматизированных рабочих мест всех участников обмена платежной информацией финансово-кредитной организации, согласно п. 8.2.8.10, позволит реализовать эти условия. Причем даже сотруднику организации БС РФ должен обеспечиваться минимально необходимый, гарантированный доступ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения служебных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации.

Необходимый элемент двухфакторности, обеспечивающий дополнительную защиту АБС от несанкционированного использования пароля пользователя другим лицом, вносится в вышеописанный процесс аутентификации благодаря использованию специальных устройств – токенов. Теперь факт активизации пользователя состоится лишь при совпадении в пространстве и во времени двух факторов, где одним фактором – интеллектуальным – будет знание пользователем известного только ему уникального сочетания клавиш, соответствующего его персональному паролю. В качестве другого фактора –физического – выступает специальный носитель микросхемы (смарт-карта, USB-ключ или другое устройство), в защищенной области которого содержится закрытый программный ключ.

Только в том случае, когда обладатель токена знает пароль доступа в АБС или к ее отдельному бизнес-приложению, он может выполнить те или иные действия, автоматически фиксируемые в электронном журнале. Важно отметить, что для разных рангов пользователей могут быть использованы как модели Singl Sign On, так и более сложные процедуры авторизации доступа, построенные на обязательном взаимодействии с электронным сертификатом пользователя.

Совершенно очевидно, что устройство – носитель этого сертификата должно всегда находиться при пользователе АБС, в противном случае любой, кто каким-либо образом узнал или вычислил пароль пользователя и на какое-то время получил доступ к данному программно-аппаратному носителю, автоматически принимает на себя роль потенциального нарушителя корпоративной политики информационной безопасности и может быть уличен в неправомерных действиях, совершенных от имени данного пользователя АБС. Таким образом, качественная организация процедуры аутентификации мотивирует пользователей АБС не только не упускать из виду свой носитель аутентификационных данных, но и не «находить» чужие аналогичные устройства. Здесь хотелось бы еще раз подчеркнуть важность процедуры генерации ключевой пары, которая должна обязательно проводиться с помощью персонального носителя закрытого ключа пользователя. Именно этот способ позволяет свести к абсолютному минимуму риск компроментации закрытого ключа пользователя и несанкционированного использования его полномочий другим должностным лицом, в том числе администратором АБС или исполняющим его функции сотрудником аутсорсинговой компании. Безусловно, такой подход выдвигает высокие требования к возможностям самого устройства и усложняет процедуру восстановления данных, сообщений и другой информации, зашифрованной с помощью соответствующего открытого ключа, в случае его утери, хищения или преждевременного вывода из строя. Именно поэтому так важно, чтобы данное устройство – носитель закрытого ключа соответствовало следующему ряду критериев. Так, в частности, оно должно:

  • обладать функциональностью генерации ключей и осуществления криптографических преобразований;
  • быть сертифицированным на соответствие требованиям ФСТЭК РФ, а также на совместимость с решениями ведущих поставщиков средств защиты информации;
  • предусматривать интеграцию с системой контроля доступа в помещение (выравнивание радиометок RFID);
  • обеспечивать возможность централизованного управления жизненным циклом токенов и актуализации пользовательских полномочий и привилегий в соответствии с его должностными функциями и клиентскими статусами;
  • допускать возможность реализации в разных форм-факторах, соответствующих ныне действующим корпоративным требованиям заказчика по информационной безопасности;
  • поддерживать различные операционные среды (Windows, Linux, DOS, MAC OS и т.п.);
  • быть устойчивым к воздействию внешних факторов (в частности, обладать водонепроницаемостью) и соответствовать принятым в РФ экологическим требованиям;
  • сопровождаться всесторонней поддержкой со стороны поставщика: от организации обучения пользователей до квалифицированной технической поддержки сертифицированными специалистами и консалтингового сопровождения проектов внедрения экспертами, владеющими практическими нюансами использования токенов в отрасли (как в России, так и за рубежом).

Благодаря этому сочетанию факторов финансово-кредитная организация, использующая токены, имеет возможность сосредоточить основное внимание не столько защите своего программно-аппаратного комплекса, сколько контролю за транзакциями, выполняемыми как сотрудниками, штатными либо работающими на условиях аутсорсинга, так и клиентами, имеющими право пользоваться услугами банка в удаленном режиме.

В заключение хотелось бы отметить, что использование двухфакторной аутентификации для соблюдения рекомендаций стандарта СТО БР ИББС 1.0-2006 уже имеет реальное практическое подкрепление. Как правило, это организации, соответствующие четвертому уровню зрелости процессов менеджмента информационной безопасности, описанному в п. 11.6 этого документа.

Все публикации