26 октября Председатель Правительства России Дмитрий Медведев поручил Минкомсвязи и Федеральной налоговой службе разработать предложения по применению технологии электронной подписи и дистанционной идентификации (аутентификации) для активного использования их российскими организациями, в том числе в финансовой сфере. Одним из важнейших условий обеспечения надежности процессов аутентификации, идентификации и проверки электронной подписи является формирование доверенной среды. Скоро ИТ-директорам вместе со специалистами ИБ и других подразделений предприятий придется принять участие в данном процессе. Об основных положениях концепции доверенной среды и направлениях ее реализации рассказывает заместитель генерального директора компании «Аладдин Р.Д.» Алексей Сабанов.
- Как под влиянием актуальных технологических тенденций (мобильность, облака, прогресс алгоритмов шифрования...) изменилась концепция построения доверенной среды в последние годы?
Технологические тенденции в данном вопросе почти не сыграли роли.
Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.» |
Гораздо большее влияние оказывала и оказывает нормативно-правовая база. В 2011 году вышел ГОСТ 54581 «Основы доверия к безопасности ИТ», который заложил основы доверия к безопасному применению любой технологии. Практически все новейшие технологии, будь то облачные вычисления, мобильность, Интернет вещей, тесно связаны с безопасностью. Точнее, применение этих технологий включает в себя обязательное применение сервисов безопасности. Доверенная среда – самый примитивный элемент безопасности. Гораздо труднее создать доверенный продукт, еще труднее организовать доверенные бизнес-процессы, и уж совсем высший пилотаж – создание доверенной информационной системы. Применительно к идентификации и аутентификации наблюдается пустота по нормативному сопровождению и выработке требований к технической реализации. В наличии имеем несколько десятков подзаконных актов, в которых, как мантра, звучит необходимость обеспечения доверия к идентификации и аутентификации, но ни в одном не говорится, как это доверие надо обеспечить. Нет ни федеральных законов, ни четких рекомендаций по построению доверенной среды, продуктов, информационных систем. Пока это все только в проекте. А между тем на Западе вопросы идентификации и аутентификации находятся под весьма пристальным вниманием регулирующих органов. Например, в 2014 году советом ЕС были приняты постановление и регламент № 910/2014, касающиеся электронной идентификации и доверенных служб для электронных транзакций на внутреннем рынке, согласно которым каждая страна, входящая в ЕС, исправляет свою нормативно-правовую базу. У нас, к сожалению, пока таких всеобъемлющих нормативных актов нет, объектом регулирования является только электронная подпись.
- Как государственная политика импортозамещения влияет на архитектуру доверенной среды? Какие элементы рекомендуется заместить в первую очередь, какие заместить затруднительно или невозможно?
Если бы речь шла только о программном обеспечении, задача была бы проще. Когда мы говорим о сервисах аутентификации и электронной подписи, неизбежно встает вопрос о создании доверенной среды не только в ПО, но также в аппаратно-программных комплексах и каналах передачи данных. Единого лекарства для таких сред пока не придумано. Одна из самых сложных задач – обеспечить доверенную среду в чипе, который генерирует ключевой материал для аутентификации и электронной подписи. Требования тут зачастую взаимоисключающие: современные скорости обработки информации, дешевизна для массового применения и полное доверие к материалу, операционной среде, ПО и реализации криптоалгоритмов. Лучшие умы сейчас работают над этой задачей.
- Гарантирует ли наличие корпоративной доверенной среды полную защиту от инцидентов информационной безопасности?
Корпоративная доверенная среда состоит из нескольких компонент. Основные – это аппаратная, программная и человеческая. Ни одну из перечисленных нельзя считать полностью (на 100%) доверенной, обычно вводят несколько уровней доверия. Построенная корпоративная доверенная среда существенно повысит защищенность информационных ресурсов. Абсолютной безопасности не бывает, так же как и полного доверия. Например, всегда может найтись инсайдер, который изнутри станет способствовать злоумышленнику. Случаев таких обычно немного, но они были, есть и будут.