Анализ зарубежной нормативной базы по идентификации и аутентификации - page 10

А.С. Кузьмин, А.Г. Сабанов
10
при электронном взаимодействии. Поэтому, с одной стороны, при
разделении механизмов аутентификации на уровни гарантий АБУ
стремилось обеспечить конфиденциальность, доступность и целост-
ность этой информации. С другой стороны, на государство при этом
возлагалась функция обеспечения этих гарантий путем инспектиро-
вания используемых средств ИА. Такой подход стал возможен при
наличии развитой теории ИА и проверенных протоколов аутентифи-
кации, рассмотренных в [3].
Инициатива АБУ закреплена в Директиве 12 Президента [10]. На
ее основе были начаты научно-исследовательские работы, примерами
которых являются [8, 14]. Это позволило в короткие сроки создать
достаточно полную, действующую до сих пор и постоянно совер-
шенствующуюся базу руководящих документов по ИА.
Действующую в США государственную систему идентификации,
электронных удостоверений (ЭУ) и контроля доступа ICAM (Identity,
Credential, and Access Management) трудно сравнивать с российской.
В США уже более 8 лет действуют обязательные к выполнению
стандарты FIPS, развита система регистрации, оформления и провер-
ки ЭУ и т. п.
Документы, лежащие в основе системы ICAM, легко можно
найти на сайте правительства США. Главными из них являются [8,
10, 13, 15]. Заметим, что переносить американский опыт на россий-
скую почву и пользоваться опубликованными на этом же сайте до-
кументами надо весьма осторожно, с научным обоснованием, дора-
ботками и разумными ограничениями.
Кратко рассмотрим некоторые нормативные документы по ИА в
других странах.
В 2009 г. в Австралии было опубликовано «Национальное руко-
водство по электронной аутентификации [16]. В основу этого доку-
мента положены разработки [8, 12, 13]. В отличие от США введены
пять уровней угроз и соответствующих им уровней доверия аутен-
тификации. Подчеркивается значение стойкости к атакам процесса
регистрации пользователей открытых ИС по доступу к государ-
ственным услугам.
Из множества документов АТЭС можно выделить для внима-
тельного рассмотрения вышедшие в 2002 г. рекомендации «Элек-
тронная аутентификация» и более позднюю работу [17]. Заметим, что
документы АТЭС — это только рекомендации правительствам. В них
подчеркивается необходимость развивать систему ИА для электрон-
ной коммерции на основе криптографии с открытыми ключами.
В мягких формах декларируются «правильные» американские подхо-
ды, интероперабельность, применение к национальным системам ИА
недискриминационных методов.
1,2,3,4,5,6,7,8,9 11,12,13
Powered by FlippingBook