Анализ зарубежной нормативной базы по идентификации и аутентификации
Авторы: Кузьмин А.С., Сабанов А.Г.
Опубликовано в выпуске: #11(23)/2013
DOI: 10.18698/2308-6033-2013-11-1021
Раздел: Информационные технологии | Рубрика: Информационная безопасность
Приводится обзор некоторых наиболее известных работ по регулированию процессов идентификации и аутентификации пользователей систем государственных услуг, электронной коммерции и информационных систем государственных органов. Анализ рассмотренных работ показывает необходимость создания отечественной нормативной базы по вопросам идентификации и аутентификации. При разработке регулирующих документов необходимо учитывать мировой опыт. В частности, требуется нормативное введение уровней гарантий аутентификации в зависимости от результатов оценки рисков для тех или иных государственных систем. При этом необходимо учитывать технологии аутентификации, используемые или планируемые к применению в указанных информационных системах.
Литература
[1] Постановление Правительства РФ от 28 ноября 2011 г. № 977 "О федеральной государственной информационной системе “Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме”". Российская газета, 2011, 6 декабря
[2] Смит Р.Э. Аутентификация: от паролей до открытых ключей. Москва, Вильямс, 2002, 432 с.
[3] Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. Москва, Триумф, 2003, 816 с.
[4] ISO/IEC 9798-3. Information technology - Security techniques - Entity authentication - Part 3: Mechanisms using digital signature techniques, 1997. URL: http://webstore.eic.ch/preview/info_isoiec9798-3%7Bed2.0%7Den.pdf (дата обращения 01.11.2013)
[5] FIPS 196. Entity authentication using public key cryptography. N.I.S.T., National Technical Information Service, Springfield, Virginia, 1997. URL: http://csrc.nist.gov/publications/fips/fips196/fips196.pdf (дата обращения 01.11.2013)
[6] Ministerial Declaration on Authentication for Electronic Commerce, 7-9 October 1998. URL: http://www.oecd.org/internet/ieconomy/35842032.pdf (дата обращения 01.11.2013)
[7] Zuccherato R. Nystrom M. ISO/IEC 9798-3. Authentication SASL Mechanism. RFC 3163, August 2001. URL: http://www.rfc-editor.org/rfc/rfc3163.txt (дата обращения 01.11.2013)
[8] Stoneburger G. Unerlying Technical Models for Information Technology Security. NIST SP-800-33, 2001. URL: http://csrc.nist.gov/publications/nistpubs/800-33/sp800-33.pdf (дата обращения 01.11.2013)
[9] OMB Memorandum M-04-04 E-Authentication Guidance for Federal Agencies. December 16, 2003 & OMB Circular A-130 2003. URL: http://csrc.nist.gov/drivers/documents/m04-04.pdf (дата обращения 01.11.2013)
[10] Homeland Security Presidential Directive 12 (HSPD-12). Policy for a Common Identification Standard for Federal Employees and Contractors, 2004. URL: http://www.dhs.gov/homeland-security-presidential-directive-12 (дата обращения 01.11.2013). URL: http://www.idmanagement.gov/hspd-12-purchasing (дата обращения 19.06.2013)
[11] ISO/iEc 10181-1/2, ITU-T Rec/x.810 &811. Information technology - Open Systems Interconnection - Security frameworks for open systems - Part 2: Authentication framework, 2004. URL: http://www.itu.int/rec/T-REC/en (дата обращения 01.11.2013)
[12] FIPS PUB 201-1. Personal Identity Verification (PIV) of Federal Employees and Contractors, March 2006. URL: http://csrc.nist.gov/publications/fips/fips201-1/FIPS-201-1chng1.pdf (дата обращения 01.11.2013)
[13] NIST SP 800-63. Electronic Authentication Guideline, 2006. URL: http://nvlpubs.nist.gov/nistpubs/SpecialPublicaions/NIST.SP.800-63-2.pdf (дата обращения 01.11.2013)
[14] Сабанов А.Г. Об уровнях строгости аутентификации. Докл. Томского гос. ун-та систем управления и радиоэлектроники, 2012, № 2 (26), с. 134-139
[15] FIPS PUB 201-2. Personal Identity Verification (PIV) of Federal Employees and Contractors, March 2011. URL: http://csrc.nist.gov/publications/drafts/fips201-2/Draft_NIST-FIPS-20102.pdf (дата обращения 01.11.2013)
[16] National e-Authentication Framework, January 2009. URL: http://agimo.gov.au/files/2012/04/NeAFFramework.pdf (дата обращения 19.06.2013)
[17] APEC. Guiding Principles for PKI-Based Approaches to Electronic Authentication. Ministerial Statements. Lima, Peru, 2005. URL: http://www.apec.org/Meeting-Papers/Ministerial-Statements/Telecommunications-and-Information/2005_tel/annex_d.aspx (дата обращения 19.06.2013)
[18] OECD Recommendation on Electronic Authentication, 2007. URL: http://www.oecd.org/dataoecd/32/45/38921342.pdf (дата обращения 23.05.2013)