Одно из возможных лекарств от некоторых болезней роста PKI

Официально развитие PKI в России началось с выходом в январе 2002 г. Федерального закона "Об электронной цифровой подписи" № 1-ФЗ [1]. Интенсивное строительство Удостоверящих центров (УЦ) и аккредитация при Минкомсвязи России значительной части из них не решает накопившиеся технические проблемы создания пространства доверия как непосредственно к электронной подписи (ЭП), так и к взаимосвязанным сервисам, которые призваны стать аналогами реквизитов бумажного документа с целью обеспечения его юридической силы. В первую очередь, это сервисы электронной подписи, аутентификации, проверки валидности сертификатов, меток доверенного времени, актуальные реестры полномочий подписантов. Следует признать, что действующий Федеральный закон "Об электронной подписи" № 63-ФЗ перегружен некоторыми техническими подробностями (например, в части УЦ), в то же время значительная часть технических проблем не подвержена регулированию все 14 с лишним лет развития PKI.

В условиях отсутствия в нашей стране единого уполномоченного федерального органа по указанным техническим проблемам развития PKI представляется возможным использование в качестве одного из потенциальных решений накопившихся проблем — создание системы национальных стандартов и рекомендаций. За основу могут быть взяты международные стандарты и рекомендации.

ИСТОЧНИКИ ФОРМИРОВАНИЯ СТАНДАРТОВ И РЕКОМЕНДАЦИЙ

Под международным стандартом понимается стандарт, принятый международной организацией по стандартизации и доступный широкому кругу пользователей. Международными организациями по стандартизации являются: ИСО (Международная организация по стандартизации, International Organization for Standardization, ISO), МЭК (Международная электротехническая комиссия, International Electrotechnical Commission, IEC) и МСЭ (Международный союз электросвязи, International Telecommunication Union, ITU). Они формируют специализированную систему всемирной стандартизации [2]. К международным стандартам относятся стандарты ИСО (ISO), МЭК (IEC) и ИСО/МЭК, которые являются совместными публикациями ИСО и МЭК, а также стандарты Международного союза электросвязи (ITU). Согласно [2], в международной системе стандартизации наряду со стандартами применяются руководства ИСО (ISO Guide) и ИСО/МЭК (ISO/IEC Guide), технические отчёты ИСО (ISO/TR), международные стандартизованные профили ИСО/МЭК МСП (ISO/IEC ISP), оценки технологических направлений ИСО/ОТН (ISO/ ТТА), рекомендации ИСО/Р (ISO/R), технические условия ИСО/ТУ (ISO/ TS), общедоступные технические условия ИСО/ОТУ (ISO/PAS), отраслевые технические соглашения ИСО/ ОТС (ISO/ITA).

Кроме упомянутых организаций, в части регулирования развития PKI ряд документов, применяемых на практике, принят такими организациями, как Европейский институт по стандартизации в области телекоммуникаций (European Telecommunications Standards Institute, ETSI), Европейский комитет по стандартизации (фр. Comite Europeen de Normalisation, CEN) и др. Для обеспечения интероперабельности и взаимодействия открытых систем на базе PKI применяются рабочие предложения (Request for Comments, RFC), общее число которых составляет примерно 2000. Из них более 50 используется в практической деятельности по использованию PKI-совместимых решений.

ОПЫТ СОСЕДНИХ СТРАН

В настоящее время страны СНГ уже интенсивно внедряют в свою нормативную правовую базу наиболее используемые международные стандарты и рекомендации. Чаще всего адаптация международных стандартов и RFC производится путём перевода текста документа на национальный язык. Тем не менее, в отличие от РФ в Беларуси и Казахстане значительная часть (в два раза и более, чем в России) стандартов и рекомендаций CWA (CEN Workgroup Agreements), касающихся ЭП и взаимосвязанных сервисов безопасности, а также RFC, уже применяется на практике.

НОРМАТИВНАЯ БАЗА ПО ВОПРОСАМ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ

На примере рассмотрения вопросов регулирования идентификации и аутентификации (ИА) покажем, что имеется необходимость развития и совершенствования системы стандартов (Рис. 1). Стандарты, которые идентичны друг другу по содержанию, связаны между собой. Например, единственный стандарт по аутентификации в системе ГОСТ, опубликованный в 1998 г. [ГОСТ 9594-8-98], является переводом стандарта ISO/IEC9594-8:1994 и одновременно частью связанного с ним стандарта [Х.509 (1997)].

Общий анализ стандартов ИСО показывает, что мировые стандарты по ИА развиваются планомерно и с нарастающей интенсивностью. Так, если в период с 1996 г. по 2008 г. в год выпускалось не более одного стандарта, то в период времени с 2009 г. по 2015 г. издавалось по 2-3 стандарта [3]. При этом количество стандартов, связанных с автоматической ИА в различных сферах экономики (финансы, транспорт, здравоохранение и т.д.), растёт в арифметической прогрессии. Заметим, что при контекстном запросе на сайте ИСО слова authentication за последние 10 лет поисковой машиной выдаётся 66 стандартов.

Система стандартов изменяется не только количественно, но и качественно. Так, если в ИСО/МЭК 10181-2: 1996 были заложены теоретические основы (участники обмена, виды передаваемой аутентификационной информации, модели угроз и т.д.) всех видов аутентификации, то уже в ИСО/ МЭК 9798-3:1998 рассмотрены два вида аутентификации: простая (с использованием в качестве аутентификатора пароля) и строгая, где в качестве аутентификатора применяется закрытый ключ цифровой подписи, соответствующий сертификату доступа [3].

Технологии управления доступом, которые включают в себя ИА как обязательную часть, стремительно развиваются, их широкомасштабное применение определяет целесообразность разработки и совершенствования соответствующих стандартов, необходимых разработчикам и потребителям. При этом проблема доверия и создания доверенных сервисов становится все острее, стандарты и рекомендации становятся все более востребованными.

КАКИЕ СТАНДАРТЫ НЕОБХОДИМЫ НАМ В ПЕРВУЮ ОЧЕРЕДЬ

Как специалист в области аутентификации, в качестве примера перечислю некоторые стандарты по ИА, входящие в систему мировых, которые наиболее востребованы к настоящему времени.

1. Стандарт на основе ISO/IEC24760- 2:2015 "Методы и средства обеспечения безопасности. Основы менеджмента идентификационных атрибутов. Часть 2. Эталонная архитектура и требования". Целями стандарта являются: разработка формальной модели жизненного цикла информации, подтверждающей идентичность объекта; руководства по реализации систем управления информацией, подтверждающей идентичность требований по реализации и эксплуатации структуры управления идентификацией.
2. Стандарт на основе ISO/IEC 29115: 2013 "Разработка основ управления доверием к аутентификации объекта, в частности: установление уровней доверия к аутентификации объекта, критериев и рекомендаций по достижению каждого уровня".
3. Рекомендации на основе ISO/IEC TR29149:2012 "Установление рекомендаций по обеспечению и использованию служб надёжных меток времени для обеспечения своевременности и неотказуемости услуг, а также целостности данных в сочетании с другими механизмами" и многие другие стандарты.

Почему в данной работе предлагается идти по Пути модернизации системы стандартов? Ведь можно было бы, как принято в среде специалистов по ИБ, начать с очередных правок Федерального закона № 63-ФЗ... Дело в том, что принятие любого нового ФЗ упирается в длительное согласование между ведомствами и, как показывает опыт последних лет, вряд ли решит указанные проблемы. А решать их надо, причём как можно быстрее.

ЛИТЕРАТУРА

1. Федеральный закон № 63-ФЗ "Об электронной подписи".
2. ГОСТ 1.1-2002 Межгосударственная система стандартизации. Термины и определения.
3. Сабанов А. Г. Общий анализ международных стандартов по идентификации и аутентификации при доступе к информации. // Инсайд. Защита информации. 2016. № 2(68). с. 84-87 (часть1). / 2016. № 3, с. 70-73 (часть 2).
4. Голованов В. Б., Сабанов А. Г. Обзор международных стандартов по идентификации субъектов и объектов. Электросвязь. 2015.№ 10, с. 32-37 (часть 1) / 2016.№ 3, с. 20-27 (часть 2).