ПОИСК
ВЫБЕРИТЕ НОМЕР
         
Показать все
статьи из этой
рубрики
Показать все
статьи этого
автора
Показать все
статьи по этой теме
НАШИ ИЗДАНИЯ
Connect! Мир Связи
Каталог-справочник
НАШИ ПРОЕКТЫ
Наши авторы о важном
СОТРУДНИЧЕСТВО
Выставки и конференции
Connect Conferences
РЕКЛАМА



Яндекс Цитирования





Rambler's Top100 Rambler's Top100


Информационная безопасность
Какой быть единой системе идентификации и аутентификации?   Алексей Сабанов

Алексей Сабанов
заместитель генерального 
директора ЗАО «Аладдин Р.Д.», 
к. т. н.

Известно, что театр начинается с вешалки. Доверие к любой прикладной программе начинается с аутентификации (подтверждения подлинности идентификатора пользователя). Если компьютер находится в «доверенной среде» под полным контролем и прикладная система тоже доверенная, аутентификация все равно требуется. А если пользователь работает дома или в интернет-кафе, а его запрос на услугу таков, что ответ чиновника может иметь правовые последствия? Как организовать систему доверия в столь непростых условиях? Как делегировать доверие в различные ведомственные системы? С чего начать построение такой системы? Какие вопросы потребуют обсуждения в кругу специалистов перед утверждением проекта системы? Об этом пойдет речь в данной статье.

Введение

Постановлением Правительства РФ от 28 ноября 2011 г. № 977 предполагается создать федеральную государственную информационную систему «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее – единая система идентификации и аутентификации – ЕСИА). 

Ввод в эксплуатацию указанной системы запланирован в весьма сжатые сроки (до 15 апреля 2012 г.). Санкционированный доступ к информации должен предоставляться с использованием инфраструктуры, обеспечивающей информационно-технологическое взаимодействие различных информационных систем (ИС). В связи с этим актуальным становится вопрос о том, какие базовые принципы защиты будут положены в основу национальной универсальной платформы защищенного доступа к различным ИС, используемым для предоставления государственных услуг. Создание систем управления удаленным доступом к информации, содержащей конфиденциальные данные, в частности персональные данные граждан (ПДн), – одна из самых сложных задач даже в масштабе одного отдельно взятого предприятия, не говоря уже о масштабах страны.

Исходя из анализа зарубежного опыта создания подобных систем, одним из ключевых принципов является соблюдение определенных уровней строгости аутентификации для различных групп пользователей и уровней защищенности ИС, к которым соответствующие группы пользователей имеют права доступа. Согласно № 149-ФЗ владелец информационного ресурса сам определяет порядок и правила доступа к данному ресурсу. Фактически речь идет об уровнях доверия или уровнях гарантий (levelsofassurance), которые будут рассмотрены в настоящей статье. Введение уровней строгости аутентификации лежит в основе самого распространенного в странах Европы и США метода решения технически сложной задачи электронной аутентификации удаленных пользователей по сети в государственных информационных системах (ГИС).

В отличие от развитых западных стран, имеющих достаточно долгую историю решения данных вопросов и развитую нормативную базу, в России вопросам стандартизации процессов идентификации и аутентификации (ИА) не уделялось должного внимания. До выхода в свет постановления проблемам аутентификации не был посвящен ни один нормативный акт. Более того, в российской нормативной базе отсутствуют какие-либо технические требования и даже рекомендации к построению уровней строгости аутентификации.

В данной статье на основе анализа и обобщения зарубежного опыта представлен один из возможных вариантов единого подхода к методам построения уровней строгости аутентификации, который в соответствии с текущим состоянием нормативной базы Российской Федерации может лечь в основу единой системы идентификации и аутентификации Российской Федерации.

Продолжение читайте в печатной версии журнала...




Заказать полную PDF-версию свежего номера Connect!



Показать все статьи по теме Информационная безопасность

Поставьте свою оценку:
   1   2   3   4   5   

< Предыдущая статья

  
Следующая статья >

НАШИ ПРОЕКТЫ
ПРОСМОТР ПО ТЕМАМ
IP-телефония
Беспроводная связь
Бизнес-аналитика
Биллинг и OSS/BSS решения
Видеоконференцсвязь
Измерительная техника
Инфокоммунникации регионов
Информационная безопасность
ИТ-услуги
КИС (Корпоративные информационные системы)
Контакт-центры
КСПД (Корпоративные сети передачи данных)
Мобильная связь
Облачные технологии
Профессиональная радиосвязь
Серверные решения
Системы бесперебойного питания
Системы хранения данных
Ситуационные центры
Спутниковая связь
УПАТС
Фиксированная связь
Цифровое телевидение
TOP 20 СТАТЕЙ
Роль государства в обеспечении информационной безопасности
Консолидация телекоммуникационных ресурсов отраслей топливно-энергетического комплекса
Реквием по SoftSwitch
Трехсайтовая архитектура – реальная защита от катастроф
В Тулу за кальяноваром, или Что такое адаптивный call-центр
Ненадежность IP-телефонии: мифы и реальность
Четвертым будешь?
Путеводитель по рынку OSS-решений
В жизни все бывает, поэтому сделайте резервную копию…
Оптимизация энергопотребления в современном ЦОД
VSATизация России – промежуточные итоги
Современные программные телефоны
Аккумуляторные батареи для современных ИБП
Особенности информатизации телекоммуникационных компаний в России
Отечественные производители телекоммуникационного оборудования
Проблемы нормативно-правового, организационно-технического и программного обеспечения защиты информационных систем
Смена поколений в стандартизации СКС
Проблемы и перспективы формирования мобильной медиасреды в России
Принципы организации сетевой инфраструктуры ООО «ЛУКОЙЛ-ИНФОРМ»
Модульные отказоустойчивые системы бесперебойного питания: за и против
Все ТОПовые статьи >>