Проблемы регулирования процессов идентификации личности при доступе к информации

Алексей Сабанов, Заместитель генерального директора компании "Аладдин Р.Д."

Де-факто вопросы выбора механизмов и средств идентификации и аутентификации (ИА) субъектов доступа к ИС, согласно существующим нормативным документам, в неявной форме отданы на откуп владельцам ИС. При этом в законодательной и нормативной базе Российской Федерации вопросам регулирования процессов ИА явно уделено недостаточное внимание. Мало того, анализ официальных документов и многочисленных публикаций показывает, что к настоящему времени не выработано единого понимания сути процессов ИА, подходов к обеспечению безопасности, нет единой общепринятой терминологии. В итоге владельцы ИС создают подсистемы ИА, согласно своим представлениям об обеспечении безопасности выполнения указанных процессов. Поскольку указанные представления имеют широкие пределы, это не может не сказываться на качестве организации систем управления доступом и, в итоге, на общей защищённости корпоративных сетей и информационных ресурсов от НСД.

Итак, рассмотрим основные законы, регулирующие сферу информационной безопасности (ИБ).

Федеральные законы. Так, в 149-ФЗ, ст.10,п.2 читаем: Информация, распространяемая без использования средств массовой информации, должна включать в себя достоверные сведения о её обладателе или об ином лице, распространяющем информацию, в форме и в объёме, которые достаточны для идентификации такого лица". Понятие идентификации личности упоминается также в ст.15 п.4. В Федеральном законе №63-ФЗ также нет ни слова об аутентификации. Имеется статья 5 Виды электронных подписей (ЭП). Существенным недостатком данного закона является то, что в данной статье 5 не отмечено, что использование усиленной квалифицированной подписи возможно только после успешного прохождения строгой процедуры аутентификации.

Федеральный закон 152-ФЗ не содержит упоминаний об ИА. В Федеральном законе 210-ФЗ не имеется слов "аутентификация", считается, что для доступа к государственным услугам достаточно идентификации: "статья 23 п.5. Универсальная электронная карта должна иметь федеральные электронные приложения, обеспечивающие идентификацию пользователя универсальной электронной картой в целях получения им при её использовании доступа к государственным услугам и услугам иных организаций". При этом понятие "идентификация" не раскрывается.

В Федеральном законе №112-ФЗ от 07 июня 2013г приводится упоминание ЕСИА несколько раз без комментариев и раскрытия понятий и механизмов ИА. Федеральный закон от №184-ФЗ "О техническом регулировании" также не содержит понятий ИА, имеется только требование идентификации продукции и объекта аттестации без раскрытия данного понятия.

Таким образом, в законах Российской Федерации понятие "аутентификация" не упоминается; понятие "идентификация" имеется только в №149-ФЗ. Покажем, что и в подзаконных актах вопросы регулирования процессов и технологий ИА совершенно не раскрываются, словно это некая "закрытая" тема.

Постановления Правительства. В связи с большим количеством постановлений Правительства (ПП) рассмотрим только недавно опубликованные в части, касающиеся проблем ИА. В ПП РФ от 09 февраля 2012г. № 111, несмотря на то, что он касается вопросов регулирования доступа к системе межведомственного взаимодействия, нет ни слова об аутентификации.

Самые подробные определения ИА даны в ПП РФ от 28 ноября 2011г. № 977, однако в документе полностью отсутствуют указания о способах и механизмах безопасного выполнения процессов ИА. Весьма показательны упоминания ИА в технических требованиях, находящихся в ПП РФ от от 24 марта 2011 г. № 208; в п.10 видим: "Электронное идентификационное приложение должно обеспечивать идентификацию и аутентификацию пользователя универсальной электронной карты в целях получения им при её использовании доступа к государственным услугам" и четырежды повторяющиеся слова "доступ после успешной аутентификации картой устройства обслуживания" в п.21 (как будто выполнены способом copy pass).

В большей части нормативных документов, касающихся применения ЭП, нет ни слова об аутентификации, хотя применение квалифицированной ЭП без предварительной ИА весьма тесно связано с приданием электронному документу (ЭД) юридической силы (ЮС). Типичным примером является ПП-111 от 9февр 2012 ОБ ЭП, используемой ОИВ и ОМС. Рассмотрены виды подписи, но нет ни слова об аутентификации, хотя, как известно, без предварительной строгой аутентификации даже усиленная квалифицированная подпись не сможет обеспечить ЮС ЭД.

Приказы ФСБ России и ФСТЭК России

В совместном Приказе ФСБ России № 416, ФСТЭК России № 489 от 31.08.2010 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования" сказано: "В информационных системах общего пользования должны быть обеспечены: поддержание целостности и доступности информации; предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации". При этом упоминаний о процессах ИА также не имеется. В Приказе ФСБ от 27 декабря 2011г. № 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи" сказано: "Требования к порядку расположения полей квалифицированного сертификата устанавливаются в соответствии с основами аутентификации в открытых системах (ГОСТ Р ИСО/МЭК 9594-8-98 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации)". Также в п.25 указанного Приказа видим указание на использование поля сертификата KeyUsage: "Значение "1" в нулевом бите означает, что область использования ключа включает проверку ЭП под электронными документами, отличными от квалифицированных сертификатов и списков уникальных номеров квалифицированных сертификатов ключей проверки ЭП, действие которых на определённый момент было прекращено УЦ до истечения их действия (далее — список аннулированных сертификатов), предназначенными для выполнения процедур аутентификации или контроля целостности".

В 1992г. на основе перевода "Оранжевой книги" Гостехкомиссия России выпустила ряд нормативных документов, среди которых выделяется "РД. Автоматизированные системы (АС). Защита от НСД к информации. Классификация АС и требования по защите информации" издания 1992г., использующиеся до сих пор. В этом документе аутентификация определяется как "проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности". В нормативно-методическом документе "Сборник РД по защите информации от НСД. 1998г." сказано, что "пользователи АС должны проходить процедуру аутентификации" без определения данного процесса. В более поздних документах аутентификация отправителя данных определена как "подтверждение того, что отправитель полученных данных соответствует заявленному". В документах 2014г., в частности, в методическом документе ФСТЭК "Меры защиты информации в ГИС. 2014г." дано определение ИА как процедуры "присвоения субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности)". Заметим, что это определение является не совсем полным, поскольку "принадлежность" и "подлинность" разные сущности и доказываются отличающимися друг от друга механизмами. Подлинность предъявленных претендентом идентификаторов подтверждается с помощью аутентификатора (секрета). Например, это может быть секретный (приватный) ключ или в самом простом случае — пароль. Принадлежность доказывается путём процедуры проверки валидации электронного удостоверения, связывающего ключевой материал и идентификаторы с конкретной личностью.

Примерно такая же картина наблюдается и в других нормативных документах. В условиях непрерывно возрастающего множества нормативных документов хотелось бы иметь единые согласованные толкования и единые требования по обеспечению безопасности процессов ИА.

Заключение

Попробуем сделать некоторые предположения о возможных причинах сложившейся ситуации. Одной из причин может явиться то, что регулирование процессов ИА находится "между" сферами действия ФСБ России и ФСТЭК России, но впрямую не относится к сфере ни первой, ни второй службы. Действительно, для аутентификации пользователей в основном используются западные криптографические алгоритмы, что не является предметом регулирования ФСБ России. ФСТЭК России отвечает за защищённость информационных сетей, однако криптография не входит в сферу регулирования этого уважаемого регулирующего органа. Минкомсвязи могло бы выступить инициатором регулирования процессов ИА, однако там пока ещё ощущается недостаток специалистов в данном вопросе. Недостаток специалистов в области изучения процессов ИА наблюдается не только в указанном ведомстве. Если проанализировать международные стандарты, в частности, серию стандартов ISO/IEC ITU, все они опираются на результаты серьёзных исследований известного института НИСТ (США). Ещё одной из причин может являться то, что до сих пор в РФ не нашлось "бизнес-заказчика" для исследований ИА и выработки требований по безопасности процессов идентификации и аутентификации. Тем не менее, интенсивная информатизация общества и постановка всё новых и новых задач по переводу услуг государственных и муниципальных органов в электронный вид приведёт нас к решению указанных задач и повышению безопасности удалённого электронного взаимодействия.