А.С. Кузьмин, А.Г. Сабанов
8
также разработанные в соответствии с ней нормативные документы,
отчеты правительства и другие документы по контролю процессов
ее выполнения.
Анализ, проведенный в работе [9], был дополнен исследованиями
европейских специалистов в области стандартизации телекоммуни-
каций Международного союза электросвязи [11]. В данной работе
последовательно изложены основные угрозы аутентификации, уяз-
вимости, виды аутентификации, роль доверенной третьей стороны.
В рассмотрении аутентификации сделан уклон на сетевую безопас-
ность. Особое внимание уделено безопасности аутентификации как
процесса. В частности, введены следующие классы защиты способов
аутентификации по отношению к аутентифицирующей (подтвер-
ждающей подлинность предъявленного идентификатора) информа-
ции. Нулевой класс является незащищенным. Первый класс защищен
от вскрытия, второй — от вскрытия и повторной передачи, третий —
от вскрытия и повторной передачи со стороны одного и того же про-
веряющего объекта. Четвертый класс отличается от третьего тем, что
проверяющие объекты могут быть различными. Впервые в междуна-
родном стандарте введено понятие сертификата формата Х.509, вы-
пущенного удостоверяющим центром для аутентификации. Ценность
рассматриваемого стандарта заключается в системном рассмотрении
защит от атак на процесс аутентификации. Этот стандарт необходимо
рассматривать как один из источников при построении систем оцен-
ки рисков ИА.
В 2006 г. в США был выпущен стандарт [12], подготовленный
NIST во исполнение Директивы 12 [10]. В отличие от предыдущих
руководящих документов вместо ИА в этом стандарте впервые вво-
дится понятие PIV (Personal Identity Verification — проверка персо-
нальной идентификации). К этому времени нормативная база США
достаточно развита (в частности, системы ИА уже строятся в соот-
ветствии с [5, 7–10]), а для выполнения основных положений [10]
осталось не так много — достроить систему гарантий ИА. Для этого
сначала физический и логический доступ разделяются по разным
контурам, причем контур управления физическим доступом интегри-
руется со СКУД — системой контроля и управления доступом. Для
управления логическим доступом вводятся разработанные в [8] че-
тыре уровня доверия (гарантий) аутентификации. После оценки рис-
ков и определения требуемого уровня строгости аутентификации
государственные агентства и ведомства, согласно [12], могут выби-
рать технологию, которая обеспечивает выполнение для данного
уровня строгости аутентификации хотя бы минимальных техниче-
ских требований:
• к аутентификаторам (токенам);