На подходе ГОСТ по идентификации и аутентификации
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Информационная безопасность начинается с организации и управления доступом к информационным ресурсам. Важную роль при этом играют идентификация (распознавание) и аутентификация (проверка подлинности). В 2016 году была завершена разработка первой версии проекта национального стандарта России по идентификации и аутентификации. Что дальше?
Как подчёркивает заместитель генерального директора компании "Аладдин Р.Д." Алексей Сабанов, действующим в области идентификации и аутентификации стандартом в нашей стране до сих пор является единственный, переведённый с английского языка, документ, который был разработан Международным союзом электросвязи (МСЭ) в далёком 1998 году (ГОСТ Р ИСО/МЭК 9594-8-98).
Однако за прошедшее с тех пор почти двадцатилетие соответствующие технологии и практики их использования ушли далеко вперёд: интенсивно развивается цифровое общество, взрывным образом растёт количество, на глазах меняется качество и сложность информационных систем различного назначения, в каждой из которых имеется та или иная система управления доступом пользователей, обязательно использующая в своём составе идентификацию и аутентификацию.
Как следствие, сейчас в мире действуют, согласно подсчётам Алексея Сабанова, шестьдесят семь международных стандартов по идентификации и аутентификации (в числе которых ISO/IEC 9798, ISO/IEC 29115-2013 г., ISO/IEC 24760 части 1 2013 г. и 2 2015 г. и др.), не считая отдельной ветви из более чем двадцати стандартов по биометрической идентификации.
Новый национальный стандарт (ГОСТ) ставит своей задачей преодолеть накопившееся отставание и вывести направление идентификации и аутентификации в стране на технологический уровень, соответствующий современному ландшафту киберугроз.
По мнению Сабанова, вопрос о подобном стандарте не просто созрел, но давно перезрел. "Ждать появления в нашей стране национальной стратегии аутентификации (а в ряде экономически развитых стран приняты и такие документы) или федерального закона (которые, кстати, согласовываются и принимаются у нас очень долго) уже нет времени", — считает он.
Основным исполнителем государственного контракта по разработке пакета из нескольких актуальных стандартов (в который включен стандарт по идентификации и аутентификации) был назначен "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ГНИИИ ПТЗИ ФСТЭК России, г. Воронеж).
Разработка проекта первого национального стандарта по идентификации и аутентификации в соответствии с государственным контрактом поручена компании "Аладдин Р.Д." и НПФ "Кристалл" (г. Пенза). Руководителем и основным автором проекта ГОСТа назначен Алексей Сабанов. В рабочую группу также вошли такие известные эксперты, как Александр Бойко и Владимир Голованов.
Чтобы преодолеть отставание от международных стандартов, в проект нового ГОСТа включены основные положения ряда стандартов ИСО/МЭК и МСЭ, которые были переработаны с учётом действующей российской нормативно-правовой базы. Предполагается, что эти положения будут развиваться в последующих национальных стандартах. Небольшой по объёму проект стандарта, подчеркнул Алексей Сабанов, вместил в себя сложную подготовительную работу по анализу всего накопившегося материала, его систематизации и синтеза основ идентификации и аутентификации.
Проект стандарта состоит из трёх основных частей: терминов и базовых определений, основ идентификации и основ аутентификации. Структура проекта была согласована после серии научных дискуссий по актуальному содержанию базовых основ и развития стандартизованных требований к идентификации и аутентификации с применением используемых и перспективных технологий.
К настоящему времени, как сообщил Сабанов, проект прошёл три этапа своего развития. Первая версия была разработана в августе 2016 г., вторая — в феврале 2017 г. В третьей версии документа были учтены замечания заказчика проекта — ФСТЭК России и назначенных им лицензиатов ФСТЭК России.
После приёмки третьей версии заказчиком проект ГОСТа будет обсуждаться членами технического комитета по стандартизации "Защита информации" (ТК362). После согласования и утверждения в ТК362 осенью нынешнего года проект будет передан в Росстандарт для окончательного утверждения и внесения в список действующих национальных стандартов.
Согласно действующим процедурам, все документы ФСТЭК России до опубликования носят гриф "для служебного пользования", а проект ГОСТа по идентификации и аутентификации хотя и не является "грифованным", будучи включенным в комплект документации ГНИИ ПТЗИ, требует для ознакомления с ним широкой аудитории издания соответствующего приказа ФСТЭК России.
Алексей Сабанов сообщил, что в проекте идентификация впервые разделена на первичную и вторичную, обозначена разница в требованиях к идентификации, предназначенной для учётных систем и для предоставления доступа, выделены три основных вида аутентификации: простая, усиленная и строгая. Применение того или иного вида связано с актуальными для пользователей рисками предоставления доступа или отказа в доступе.
Оценивая возможное влияние нового стандарта на российский рынок ИБ, Сабанов отметил его рекомендательный характер. Главную цель проекта ГОСТа он видит в наведении элементарного порядка в терминологии и понимании процессов идентификации и аутентификации.
"Сейчас мы наблюдаем много "интересного": например, вакханалию экспериментов с удалённой идентификацией клиентов банков по биометрическим характеристикам с целью предоставления доступа к денежным средствам. Продвигающие подобные проекты "менеджеры", видимо, не хотят понять, что биометрические характеристики имеют вероятностную природу, а технологии — естественные и промышленные ограничения", — делится наблюдениями Алексей Сабанов.
Однако за очень редкими исключениями биометрия не может однозначно доказать достоверность идентификационной информации. Назначение биометрии здесь — с определённой степенью вероятности подтвердить принадлежность тому или иному лицу устройства, содержащего аутентификационную информацию. Алексей Сабанов полагает, что скорое появление ожидаемой системы стандартов позволит разговаривать с авторами таких проектов на одном языке.
Заглядывая в перспективы развития стандарта, Сабанов говорит: "Конечно, хочется уже сегодня разработать стандарты по идентификации и аутентификации для интернета вещей и защиты критической информационной инфраструктуры, тем более что зарубежного материала для начала работы уже достаточно. Однако такие важные стандарты должны опираться на что-то наше, отечественное".
Будем считать, что в виде предложенного проекта заложен первый камень в фундамент для построения современной системы национальных стандартов по идентификации и аутентификации.