А.С. Кузьмин, А.Г. Сабанов
6
доступности и мониторинга действий пользователей) с учетом рис-
ков, относящихся к ИТ. Главным достижением этой работы является
обоснование необходимости введения гарантий аутентификации для
обеспечения конфиденциальности, целостности и доступности ин-
формации. Гарантии (достоверность) аутентификации — это харак-
теристика системы, дающая уверенность в том, что система выполня-
ет свою функцию. Гарантии, по данным работы [8], обеспечиваются:
• упрощением технических решений;
• использованием доверенного программного обеспечения;
• архитектурой, нацеленной на минимизацию вреда от вторжений
либо за счет уменьшения уязвимостей, либо за счет функций обна-
ружения и восстановления;
• не техническими (например, организационными) мерами.
Конечно, этот подход далек от совершенства (как будет показано
далее, в последующих нормативных документах было существенно до-
работано не только само понятие гарантий, но и пути их обеспечения),
однако данное исследование было в некотором смысле пионерским и
сыграло роль основы для современных требований к аутентификации.
Например, впервые были введены понятия логического и физическо-
го доменов безопасности. Вторым ярким примером может служить
подход к снижению рисков. Так, согласно [8], уменьшение рисков,
связанных с атаками, достигается следующими техническими сред-
ствами:
• при наличии дыр — внедрение методов подстраховки;
• при наличии дыр, которые могут быть использованы, — много-
уровневая защита и архитектурные решения;
• когда расходы злоумышленника оказываются меньше его выго-
ды от реализации атаки — использование средств защиты, повыша-
ющих стоимость атаки (например, нетехнические меры, такие как
ограничение обрабатываемой информации, могут снизить выгоду
злоумышленника);
• когда ущерб от реализации атаки слишком велик — применение
архитектуры и принятие технических мер, ограничивающих масшта-
бы атаки, а следовательно, и ущерб.
Исследование [8] легло в основу ряда документов, и по сей день
имеющих важное значение для США и ряда других стран.
Параллельно с американским институтом NIST интенсивные ра-
боты по выпуску нормативных документов проводились в Европе.
Представляет интерес группа документов CWA, опубликованных в
период с 2001 по 2004 г. Аббревиатура CWA (CEN Workshop Agree-
ment) означает документ под названием «Соглашение рабочей груп-
пы европейского комитета по стандартизации CEN (the European
Committee for Standardization)».