Критерии доверия к результатам идентификации субъектов доступа
<p>Экспертная статья Алексея Сабанова, к.т.н., заместителя генерального директора компании "Аладдин Р.Д."</p>
Стандарты по электронной идентификации граждан
Развитие стандартов сетей нового поколения (New Generation Network, NGN) в 2009 г. вызвало к жизни серию стандартов Международного союза электросвязи (МСЭ) [5–7], что, в свою очередь, инициировало разработку системы стандартов ИСО – Международной организации по стандартизации (International Organization for Standardization, ISO). Они посвящены идентификации личности при электронном взаимодействии. На базе стандарта [7], а также [8, 9] в ИСО разработана первая часть стандарта ISO/IEC 24760-1 [10], устанавливающего основы, термины и определения, относящиеся к электронной идентификации граждан. С учетом рекомендаций МСЭ [11] через два года на их базе был опубликован стандарт ИСО [12], который содержит рекомендации по реализации системы менеджмента идентификационных атрибутов (СМИА), а так- же определяет требования по реализации и применению общих принципов менеджмента идентификационной информации. Положения второй части ISO/IEC 24760 применимы к любой информационной системе (ИС), в которой обрабатывается или хранится информация идентификационного характера.
В конце 2015 г. ИСО опубликовало третью часть стандарта 24760 [13], в которую вошли практические рекомендации по управлению идентификационными атрибутами (ИА), прообраз которых заложен в [9]. В том же году вышел стандарт [14] по подтверждению идентификации личности и установлению уровней доверия к результатам идентификации, который, по оценке экспертов рабочей группы 5 подкомитета 27 ИСО, недостаточно готов для практического использования и находится в доработке по настоящее время. Доработки потребовались в части защиты персональных данных (privacy) и связи с рисками идентификации. Аналогичные недостатки имеются и в двух частях по идентификации стандарта США [15, 16]. Однако при всех недостатках он считается одним из самых полных и проработанных стандартов.
В данной статье рассматриваются международные стандарты (ITU, ISO/IEC), однако при недостаточной информации по ряду моментов в них будем обращаться к стандартам [15, 16]. В то же время тщательный анализ перечисленных стандартов показывает, что для разработки методики формирования уровней доверия к результатам идентификации для информационных систем различного назначения не хватает критериев, в соответствии с которыми можно отнести результаты идентификации к тому или иному уровню. Уровни доверия к результатам идентификации, как и уровни доверия к результатам аутентификации [17], вводятся априорно по аналогии с уровнями рисков предоставления или отказа в доступе [18]. Следовательно, необходима разработка критериев доверия к результатам электронной идентификации субъектов доступа с учетом существующего международного опыта и приведенных выше особенностей, что и является главной целью данной работы.
Основы идентификации
Процесс идентификации должен строиться на основе следующих принципов [13]:
- риски, связанные с использованием идентификационных атрибутов субъекта, должны быть оценены и обработаны в степени, необходимой для их принятия;
- ИИ должна быть верифицирована для обеспечения достаточного уровня уверенности в ее достоверности и надежности для целевого использования;
- для целей идентификации физических лиц не должно собираться ИИ больше, чем это минимально необходимо.
Первый принцип согласуется с положениями стандартов серии ISO/IEC 270XX, второй – с целевой функцией процесса идентификации, третий отвечает требованиям 152-ФЗ "О защите персональных данных".
ИД, поступающие от субъектов доступа, например от физических лиц, которые будут получать доступ в ИС, должны быть проверены (верифицированы) и подтверждены, а пользователю присваивается уникальный идентификатор для доступа в данную ИС. Проверенная и подтвержденная ИИ нового субъекта доступа регистрируется в хранилище ИС, а чтобы предоставить доступ к информационным ресурсам, за процедурой идентификации следует процедура аутентификации, тесно связанная с идентификацией. Аутентификация в данной статье не рассматривается.
Идентификация включает первичную идентификацию (ПИ), проводимую в момент регистрации нового субъекта доступа, и вторичную идентификацию (регулярно повторяющуюся), выполняемую при каждом новом запросе на доступ.
Первичная идентификация субъектов доступа
Целью ПИ является установление соответствия между субъектом доступа (например, физическим лицом) и идентификационными данными, которые он заявил для регистрации. ПИ обеспечивает присвоение субъекту доступа идентификатора доступа, уникального в конкретной ИС, который однозначно определяет соотнесенную с ним идентификационную информацию. Первичная идентификация субъекта доступа должна завершаться его регистрацией в ИС или обоснованным отказом. Основанием для отказа в регистрации может быть несоответствие заявленных идентификационных данных требованиям, определенным оператором (владельцем) ИС или невозможность их подтверждения в установленном порядке.
Доверие к результатам первичной идентификации
Доверие к результатам ПИ требуется при установлении трастовых отношений с взаимодействующими объектами и предоставлении доступа к их услугам [18]. При этом уровни доверия к результатам идентификации должны соотноситься с уровнями риска предоставления доступа или отказа в доступе. Согласно [12], доверие к результатам ПИ может достигаться комплексом следующих мер:
- сбор информации, необходимой для подтверждения соответствия заявленных ИД конкретному субъекту доступа;
- формирование ИИ на основе заявленных ИД субъекта доступа и проверка ее уникальности;
- установление соответствия заявленных ИД реальному субъекту доступа путем подтверждения их существования результатами верификации и привязкой (установлением связи) к субъекту доступа;
- протоколирование и хранение результатов проверок и верификации.
При этом должны учитываться риски нарушения конфиденциальности и целостности собранных персональных данных и условия защиты этой информации при хранении, обработке и передаче.
При первичной идентификации в конкретной ИС должна выполняться проверка уникальности значений отдельных ИА либо всей ИИ. Проверка на уникальность обеспечивает уверенность в том, что каждый субъект будет идентифицирован и внесен в перечень субъектов доступа только единожды, т.е. в конкретной ИС каждый субъект доступа будет иметь единственный набор значений ИА, связанный с идентификатором доступа.
Одной из главных составляющих доверия является установление соответствия (идентичности) заявленных ИД реальному субъекту доступа, в рамках которого осуществляется верификация ИД, полученных от субъекта и их подтверждение информацией, полученной из других источников. При подтверждении ИД, заявленных субъектом доступа, используются свидетельства идентичности, которые обеспечивают уверенность в том, что субъект доступа действительно соответствует заявленным ИД. Свидетельства являются результатом верификации заявленных ИД. Свидетельства подразделяются на официальные и подтверждающие (неофициальные).
В качестве официального свидетельства, представляющего собой документальное подтверждение, может рассматриваться, например, документ установленного образца (паспорт, водительское удостоверение, карточка СНИЛС и т.д.), выданный физическому лицу в установленном порядке. Напомним, что ИИ субъекта является совокупностью значений ИА, связанных с конкретным субъектом. ИД включают в себя ИА и их значения. Так, в паспорте имеется несколько ИА (номер, дата выдачи, код подразделения, прописка и др.), а также их конкретные значения (№ ХХХХ 123456, 08.05.2002 г., 502-005 и т.д.); страховое свидетельство обязательного пенсионного страхования (СНИЛС) является официальным свидетельством одного ИА (номер персонифицированного учета), в котором приводится его значение. Существование ИА и достоверность их значений, имеющихся в паспорте, подтверждается в процессе их верификации, которая может включать проверку подлинности носителя ИА – бланка паспорта – по наличию защитных признаков, правильности заполнения, отсутствию паспорта в реестре недействительных, а также сверку значений ИА (номер паспорта, ФИО, дата рождения, прописка и т.д.) с данными государственных реестров (МВД, ЗАГС, паспортный стол и др.). При этом, например, официальное подтверждение из реестра МВД может быть оформлено в виде электронного документа, подписано усиленной квалифицированной электронной подписью (УКЭП) уполномоченного сотрудника МВД с указанием ФИО и должности подписавшего, а также содержать метку времени подписания документа.
Таким образом, основным способом достижения необходимой уверенности в ИД данных является их верификация. Если ИД, заявленные субъектом доступа, подтверждаются уполномоченной стороной, уверенность в результатах ПИ субъекта доступа возрастает. Роли сторон и процессы подтверждения ИИ подробно описаны в стандарте [14].
Подтверждения, полученные из самого надежного (уполномоченного) источника, контролируются законодательством [14]. При невозможности или при отсутствии необходимости получения официальных свидетельств при подтверждении ИД могут использоваться подтверждающие свидетельства.
Кроме существования предоставленных ИД, важным фактором обеспечения доверия является привязка ИД к конкретному субъекту доступа (например, физическому лицу) [14]. Привязка может осуществляться в удаленном режиме или при личном общении. При этом в качестве механизмов привязки ИД используются следующие факторы:
- фактор знания (субъект доступа знает что-то определенное). Привязка устанавливается с использованием информации, которая известна только субъекту доступа;
- фактор владения (субъект доступа обладает чем-то определенным). Привязка устанавливается с использованием ИД, которые содержатся в свидетельствах, представляющих собой документальное подтверждение;
- фактор биометрический (субъекту доступа свойственно что-то определенное);
- привязка устанавливается по результатам верификации биометрических характеристик субъекта доступа. При этом принимается, что эталонные характеристики субъекта доступа действительно принадлежат ему.
Рассмотренная в международных стандартах [13, 14, 17] методика определения доверия к результатам идентификации в целом согласуется с положениями действующего национального стандарта [19]. Рассмотрим некоторые положения стандарта [14] подробнее.