21.03.2016

Обзор международных стандартов по идентификации субъектов и объектов. Часть 2

"Электросвязь", № 3, март, 2016
Статья В.Б. Голованова, заместителя научного директора НПФ "Кристалл", и Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."

ПРОЦЕССЫ, ТЕХНОЛОГИИ, УПРАВЛЕНИЕ, ДОВЕРИЕ К ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ СУБЪЕКТОВ И ОБЪЕКТОВ

Международные стандарты на процессы, технологии, управление, доверие к идентификации и аутентификации (ИА) субъектов и объектов активно развиваются. В 2007 г. в ПК 27 СТК 1 ИСО/МЭК была сформирована рабочая группа 5 под названием Identity Management & Privacy Technologies. Область её деятельности: управление идентификацией (identity management), применение биометрии (biometrics), персональные данные (privacy). За право возглавить эту РГ несколько месяцев шла нешуточная борьба между представителями Германии и США, завершившаяся в пользу европейцев (руководителем был избран Кай Ранненберг из Deutsches Institut fur Normung), что говорит о чрезвычайной важности лидерства в данной области.

Применительно к тематике ИА центральное место занимает формирующийся многочастный международный стандарт ISO/IEC 24760 "Руководство по управлению идентификацией" [11 и его аналог в системе стандартов МСЭ-Т [2]. На рис. 1 приведён анонс первой части [1], основанный на презентации Г1К 27 СТК 1 ИСО/МЭК[3].

В ближайших планах ПК 27 СТК 1 ИСО/МЭК — разработка стандартов по сопутствующим и смежным технологиям, таким как структура управления доступом и подтверждение идентичности.

Все перечисленные стандарты имеют преимущественно практическую направленность. В них предлагаются модельные и архитектурные решения как основа либо для разработки соответствующих средств автоматизации, либо для проектирования необходимых процессов и технологий - как на уровне организации, так и на национальном и международном уровне. Например, в [11 представлена обобщённая модель жизненного цикла данных идентификации (рис. 4). При всей тривиальности модели важно то, что здесь предложены формализация сущностей и их отношений, позволяющая создавать единую платформу для взаимодействующих сторон, а также формализация перечня операций, требующих своего наполнения.

Во второй части рассматриваемого стандарта [4], посвящённой типовой архитектуре систем управления идентификацией и требованиям к ним, предлагается закрепить ряд положений, имеющих отношение к автоматизации деятельности и ролей причастных к этому сторон и пользователей.

В развитие решений, охватывающих системы обработки информации для идентификации (см. рис. 3) в стандарте [5], планируется рассмотреть решения для систем управления доступом, использующих идентификационную информацию. На рис. 5 представлена модельная архитектура системы управления доступом в соответствии с [5], которую планируется отразить в данном международном стандарте. Путём её формализации предполагается закрепить базовые функциональные компоненты подобных систем для согласованного понимания того, что именуется "системой управления доступом". В частности, практическую ценность представляет реализация следующих компонентов: точка правоприменения (enforcement) политики, точка принятия решений в отношении политики’ конечная точка идентификации, точка информации d политике.

На рис. 5 обозначение "Деятельность по использованию", относящееся к верхней части рисунка, указывает на использование всего, от чего с нижней части рисунка идут стрелки в верхнюю, равно как и надпись "Административная деятельность" в нижней части рисунка на администрирование всего, что ниже штрихпунктирной линии.

Для многих электронных транзакций, осуществляемых в рамках ИКТ-систем или между ними, существуют требования безопасности, которые зависят от оговорённого или определённого уровня доверия к идентификационным атрибутам участвующих сущностей. Такие требования могут включать обеспечение защиты активов и ресурсов от несанкционированного доступа, для чего используются механизмы управления доступом и/или регистрации соответствующих событий посредством поддержки контрольных журналов.

Рассмотрим недавно принятый стандарт [6], регулирующий структуру доверия к аутентификации сущности. Доверие в [6] трактуется как уверенность, относящаяся ко всем процессам, мероприятиям менеджмента и технологиям, которые реализуются при установлении и менеджменте идентификационного атрибута сущности, используемого в транзакциях аутентификации. Указанное строго согласуется с рассмотренной в первой части настоящей статьи (см. "ЭС" №10’2015) терминологией международных стандартов, имеющей отношение к аутентификации, что и иллюстрирует заимствованный из [6] рис. 6. Здесь показан состав задач, выполняемых в рамках групп технических процессов, а также процессов управленческих и организационных.

Положения [6] требуют руководствоваться шкалой уровней доверия Levels of assurance к аутентификации сущности (объекта/субъекта/процесса и т.п.). При этом структура доверия к аутентификации сущности определяется на основе шкалы из четырёх уровней доверия (УД) для аутентификации сущности. Каждый уровень доверия описывает степень уверенности в процессах, подготавливающих к аутентификации и включающих сам процесс аутентификации, обеспечивая, таким образом, доверие к тому, что сущность, использующая конкретный идентификационный атрибут, на самом деле является сущностью, которой был присвоен этот идентификационный атрибут. Уровни доверия, предлагаемые этим стандартом, совпадают с уровнями доверия стандартов ITU и США.

Самым низким уровнем доверия является УД 1, а самым высоким — УД4. То, какой уровень доверия соответствует конкретной ситуации, зависит от разных факторов. Стандартом предлагается устанавливать требуемый уровень доверия на основе оценки рисков. Указанная оценка может учитывать: последствия ошибки аутентификации и/или злоупотребления мандатами, результирующий ущерб и влияние вероятности его возникновения. Для риска, определяемого как высокий, должны использоваться более высокие уровни доверия. Рис. 7 иллюстрирует шкалу уровней доверия к аутентификации сущности, предложенную в ISO/I ЕС 29115 (табл. 6-1 стандарта [6|).

Положениями стандарта |6] определены все четыре уровня доверия:

  • уровень доверия 1 (УД1): при минимальной уверенности в заявленном или представленном идентификационном атрибуте имеется, однако, некоторая уверенность в том, что сущность является одной и той же в последовательных аутентификационных событиях. Этот уровень доверия используется в случае минимального риска, связанного с ошибочной аутентификацией. Здесь нет конкретного требования к механизму аутентификации только требование обеспечения некоторого минимального доверия. Требованиям доверия к аутентификации сущности для данного уровня доверия может удовлетворять широкий спектр доступных технологий, включая мандаты, связанные с более высокими уровнями доверия. Для этого уровня необязательно использовать криптографические методы аутентификации. Например, на УД1 МАС-адрес может удовлетворять требованию аутентификации устройства. Однако уверенность в том, что другое устройство не сможет использовать тот же МАС-адрес, является небольшой;
  • уровень доверия 2 (УД2): есть некоторая уверенность в заявленном или представленном идентификационном атрибуте сущности. Используется в случае умеренного риска, связанного с ошибочной аутентификацией. Приемлема однофакторная аутентификация. Успешная аутентификация должна зависеть от подтверждения сущностью—через безопасный протокол аутентификации - наличия контроля сущности над мандатом. Необходимы меры и средства контроля и управления для уменьшения эффективности наблюдения третьей стороной (перехвата) и атак на основе онлайнового подбора/перебора, а также средства контроля и управления для защиты от атак, направленных на хранящиеся мандаты;
  • уровень доверия 3 (УДЗ): предполагается высокая уверенность в заявлен ном или представленном идентификационном атрибуте сущности. УДЗ используется в случае существенного риска, связанного с ошибочной аутентификацией. На этом уровне следует применять многофакторную аутентификацию, обеспечивающую криптографическую защиту любой секретной информации, которой обмениваются в протоколах аутентификации, во время её передачи и при хранении. Здесь нет требований, касающихся генерации или хранения мандатов — они могут генерироваться ил и храниться в компьютерах общего назначения либо в специальной аппаратуре. Например, транзакция, в которой компания электронным образом представляет конфиденциальную информацию государственному органу, может требовать транзакции аутентификации с УДЗ. Ненадлежащее раскрытие информации чревато существенным риском финансовой потери. Другие примеры транзакций с УДЗ: онлайновый доступ к счетам, позволяющим сущности проводить некоторые финансовые транзакции, или использование сторонним подрядчиком удалённой системы для доступа к потенциально чувствительной персональной информации клиентов;
  • уровень доверия 4 (УД4): характеризуется очень высокой уверенностью в заявленном или представленном идентификационном атрибуте сущности. УД4 используется в случае высокого риска, связанного с ошибочной аутентификацией, и обеспечивает наивысший уровень доверия к аутентификации сущности. УД4 схож с УДЗ, но здесь добавлены требования личного подтверждения идентификационного атрибута для сущностей, являющихся человеком, а также использования защищённых от несанкционированного вмешательства аппаратных устройств для хранения всех секретных ил и персональных криптографических ключей. Кроме того, должна обеспечиваться криптографическая защита любой персональной идентификационной информации и других чувствительных данных, включённых в протоколы аутентификации, во время их передачи и при хранении. Например, услуги с потенциально высоким риском причинения ущерба или бедствия в случае сбоя аутентификации могут требовать защиты с УД4.

Ответственной стороне необходимо полное доверие к тому, что определённая важнейшая информация предоставлена надлежащей сущности; ответственная сторона может даже нести уголовную ответственность за любое невыполнение верификации информации. НаУД4 для аутентификации не являющихся человеком сущностей, таких как переносные компьютеры, мобильные телефоны, принтеры, факсимильные аппараты и другие устройства, подключённые к сети, могут использоваться цифровые сертификаты (в частности, Х.509). Так, процесс регистрации смартфона может потребовать цифровых сертификатов на устройство.

НЕОБХОДИМОСТЬ СТАНДАРТИЗАЦИИ В ОБЛАСТИ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ КАК ОТВЕТ НА РИСКИ СОВРЕМЕННОЙ ИТ-СРЕДЫ

Почему появляются столь необычные стандарты, оперирующие такими субъективными понятиями, как доверие, уверенность и т.п.?

В настоящее время в телеком-сетях используются решения от разных производителей: "облака" различной архитектуры, приложения для доступа и управления бытовой и иной техникой, в том числе автомобильной. Все это в совокупности приводит к возникновению таких новомодных технологий, как Интернет вещей (Internet of Things, IoT) и пр.

В отчёте Массачусетского технологического института (MIT) [7], в частности, отмечается, что количество "умных вещей" к 2020 г. превысит количество смартфонов и персональных компьютеров. На рис. 8 представлен прогноз MIT по динамике роста количества пользовательских электронных устройств с 2010 по 2020 г. по четырём категориям: "вещи", планшетные компьютеры/планшеты, персональные компьютеры (ПК), смартфоны.

В итоге возникают все новые идеи и модели информатизации в быту, бизнесе и социальной сфере, призванные облегчить жизнь населению, оптимизировать деятельность предприятий и органов государственного и муниципального управления. Решения для защиты систем управления "умных вещей" уже стандартизируются. Например, на прошедшем в октябре 2014 г. в Мексике очередном заседании ПК 27 СТК 1 ИСО/ МЭК эксперты рассматривали предложения, в частности коллег из МСЭ, по стандартизации низкоуровневых механизмов безопасности для Интернета вещей (рис. 9).

Следует подчеркнуть, что без применения стандартов по идентификации и аутентификации подобные концепции ("Интернет вещей", "Умный город" и пр.) небезопасны, а зачастую неработоспособны. Реализация всех современных технологий базируется на использовании программного и аппаратного обеспечения, локальных, региональных и глобальных сетей, а также систем связи и передачи данных, основанных на открытых стандартах и соответствующих технологиях обработки и представления данных, протоколах маршрутизация (адресная информация) и т.п. При этом современное ПО содержит до нескольких сотен миллионов строк исходного кода, где, по различным источникам [8], может содержаться от 1,5—2 до 5—15 ошибок на 1000 строк исходного кода.

Не все дефекты критичны, поэтому их разделяют на:

  • "слабости" (weaknesses) — дефекты, не влияющие на заявленную функциональность и не несущие риски при их неправомочном использовании;
  • "уязвимости" (vulnerability) - дефекты, потенциально несущие риск (прямого и/или косвенного ущерба и потерь) при их неправомочном использовании.

Дополнительно можно выделять уровни риска, связанного с той или иной уязвимостью, и идентифицировать степень критичности выявленной уязвимости. Уязвимости, как правило, составляют несколько процентов от всех выявляемых дефектов.

Простые арифметические операции позволяют оценить потенциальный масштаб возможных дефектов и вызванных ими уязвимостей. При этом консолидация и интеграция изделий ИТ в таких концепциях, как "Интернет вещей", "Умный город" и др., на порядки усугубляет, в плане безопасности, существующие проблемы дефектов ПО и порождает новые, в том числе являющиеся следствием роста сложности ИТ-инфраструктуры, ПО, функциональности аппаратной базы (программный код внедряется в элементы аппаратного обеспечения, что по факту не позволяет, в принципе, оценить его безопасность, надёжность и т.п.).

На начало 2000-х годов приходится старт полномасштабных работ по систематизации и использованию потребителями, поставщиками (но и злоумышленниками тоже) сведений о выявленных уязвимостях рыночных ("коробочных") продуктов ИТ — COTS, информационных технологий и соответствующих протоколов. Создаются и используются такие базы, как CVE, CWE, N VD, OWASP и пр. В указанных базах процедуры уведомления об уязвимостях, выявленных в используемых продуктах и компонентах систем, нашли отражение не только в американских национальных стандартах, но и в рекомендациях МСЭ-Т (ITU-T), например, в Рекомендации ITU-TX.1520—Х.1539 "Обмен информацией об уязвимости/состоянии".

Некоторые принятые в последнее время международные стандарты по ИА субъектов и объектов (кроме рассмотренных, можно выделить, например, [9]) представляют значительную практическую ценность, так как учитывают угрозы и уязвимости современной ИТ-среды и предлагают решения, пусть и не идеальные, но существенно снижающие риски нарушения безопасности.

ЗАКЛЮЧЕНИЕ

Безусловно, далеко не все стандарты, касающиеся проблем идентификации, вошли в данный обзор. Стандарты, в которых имеются статьи об ИА, встречаются также в стандартах по анализу рисков, аудиту, обеспечению защиты от несанкционированного доступа и т.д. Анализ всего массива стандартов по ИА - предмет отдельной книги.

Вне области обзора остались очень интересные аспекты ИА. Технологии, точнее, их развитие и "взросление", можно проследить по стандартам. Например, отдельная тема — криптографические протоколы. В известной монографии Брюса Шнайера [10] около 80% протоколов посвящено аутентификации или тесно связано с ней.

Тем не менее обзор позволяет сделать важные выводы:

  • Далеко не все стандарты по ИА переведены на русский язык, что можно объяснить непониманием важности и сути процессов аутентификации многими специалистами, в том числе теми, которые готовят текст нормативной правовой базы.
  • Некоторые стандарты страдают недостаточно высоким качеством перевода. В плане языка перевод выполнен правильно, а с технической точки зрения зачастую безграмотно. На Западе стандарты регулярно проходят процедуру апгрейда. В России официальное издание [11] не обновлялось почти 20 лет, так что технически недостаточно вы верен н ы й перевод (беда многих стандартов) так и остался без изменений. Авторы статьи предлагают запланировать работу по корректировке терминов и дефиниций в существующих национальных стандартах.
  • Все ИС, как известно, строятся в соответствии с международными стандартами. Это естественно: обмен между системами, в том числе международными, необходим. Не пора л и часть стандартов, несмотря на (12), сделать обязательными?

Данный обзор будет полезен всем, кто создаёт нормативные акты и законы, а так же тем, кто их использует. В части регулирования аутентификации Россия заметно отстаёт от развитых стран. Вопросами доверия к идентификации и построения системы доверенных сервисов озабочен весь мир, в частности страны ЕС [ 13]. В условиях импортозамещения, с одной стороны, и необходимости противостоять нарастающим киберугрозам, с другой, постепенно приходит понимание, что надо создавать доверенные системы. Как их строить на основе открытых стандартов, постараемся показать в следующей статье.