Конференция «Обеспечение безопасного доступа к корпоративным ресурсам»
Основная задача информационной защиты — разграничение доступа пользователей к информации: разрешить доступ тем, кому нужно, и запретить всем остальным. Основная проблема информационной защиты — узнать человека за теми виртуальными образами, которые он может принять в информационной системе. Дополнительно необходимо обеспечить защиту сеанса уже авторизованного пользователя от постороннего вмешательства. Именно проблемы надежной идентификации и были краеугольным камнем на конференции «Обеспечение безопасного доступа к корпоративным ресурсам», которую в рамках SofTool 2004 организовали Ассоциация защиты информации и компания «Аладдин».
Обзорный доклад о различных методах аутентификации представил Олег Чепиков, менеджер по защите информации «Росбанка». Он отметил, что использовать один фактор, даже такой, казалось бы, надежный как биометрия, для аутентификации уже недостаточно, поскольку для одного метода легче выработать способ обмана. Двухфакторную аутентификацию — даже такую простую, как PIN-код с одноразовым паролем — обмануть значительно сложнее. Популярным направлением развития двухфакторной авторизации являются USB-ключи или смарт-карты, защищенные PIN-кодом. На основе этих устройств появляются решения по трехфакторной авторизации, когда во внутренней памяти ключа хранится сигнатура отпечатка пальцев, защищенная PIN-кодом. Сейчас такие решения вполне доступны.
Более сложную задачу по аутентификации пользователей информационных систем приходится решать сотрудникам подразделения «К» МВД. Их задачей является поиск людей, которые используют высокие технологии для совершения преступлений. «Значительную часть преступлений Уголовного кодекса можно совершить при помощи информационных технологий», — заметил в своем выступлении Борис Мирошников, начальник управления МВД. В 2003 году в России в сфере высоких технологий совершено около 11 тыс. преступлений, причем до этого число высокотехнологичных преступлений ежегодно удваивалось.
Поскольку преступники пользуются Internet, то одной из серьезных проблем для их поиска является взаимодействие с зарубежными правоохранительными органами. Для решения этой проблемы в странах большой семерки и в России создаются Национальные контактные пункты, которые будут обеспечивать международное взаимодействие для выявления электронных преступников.
«Мы занимаемся материализацией духов из виртуальной реальности», — охарактеризовал свою работу Мирошников. В подразделении «К» накоплен уже опыт такой «материализации», которым они готовы делиться с зарубежными коллегами.
К тому же в России сейчас происходит процесс гармонизации законодательства в соответствии с мировой практикой. Ключевыми пунктами является поддержка «Общих критериев» для сертификации средств защиты и закона «О техническом регулировании» для выполнения регламентов по информационной безопасности. Проблема лишь в том, что информационная безопасность не указана в перечне, сопутствующем закону «О техническом регулировании». Поэтому пришлось отдельно доказывать, что этот вид безопасности связан с химической, экологической защитой, а также с защитой имущества.