С 1 января 2023 г. вступит в действие новый стандарт в области защиты информации ГОСТ Р 70262.1-2022 "Защита информации. Идентификация и аутентификация. Уровни доверия идентификации".
Представители пресс-службы компании ЗАО "Аладдин Р.Д.", при участии которой совместно с ООО "НПФ Кристалл" был разработан стандарт, сообщила, что это документ, который входит в систему стандартов по идентификации и аутентификации.
"Национальный стандарт устанавливает единообразную организацию процесса идентификации субъектов и объектов доступа в средствах защиты информации, средствах вычислительной техники и автоматизированных (информационных) системах вне зависимости от сферы их применения. Документ определяет состав участников и основное содержание процесса идентификации. Положения стандарта рекомендуются к реализации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. В новом стандарте определены порядок и правила первичной и вторичной идентификации, установлены общие требования к идентификации, а также регламентированы уровни доверия идентификации", - рассказали представители компании.
По их словам, на основе норм, устанавливаемых стандартом, могут осуществляться разработки новых продуктов и решений для автоматизированных систем, а также формироваться отраслевые стандарты, регламентирующие процессы идентификации и аутентификации. "Компания "Аладдин Р.Д.", как постоянный член ТК 362, еще в 2015 г. выступила инициатором формирования национальной системы стандартов, регламентирующей процессы идентификации и аутентификации. В 2020 году был утвержден ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения" – первый и основной в системе стандартов по идентификации и аутентификации", - рассказали представители пресс-службы компании "Аладдин Р.Д.".
Руководитель аналитического отдела компании "Аладдин Р.Д." Александр Бойко отмечает, что ГОСТ рекомендует к использованию единые правила идентификации в информационных системах вне зависимости от сферы их применения и набор процедур по их реализации, а также дифференцирует уверенность в получаемых результатах в зависимости от используемых правил. По его словам, следующие стандарты серии будет посвящены уровням доверия аутентификации и управлению аутентификацией и идентификацией.
Заместитель технического директора по пресейлу Cross Technologies Алексей Курских отмечает, что опубликованный документ нужный и полезный для тех, кто не любит спорить о методах идентификации и аутентификации, а предпочитает использовать ГОСТы при проектировании систем ИБ.
"Надо понимать, что сам по себе ГОСТ не означает, что лично мы с вами немедленно должны начать его применять на своих рабочих местах. Так было с ГОСТ Р 57580 – его вступление в силу ничего не означало, пока ЦБ РФ не ввел обязательное использование этого ГОСТ при проектировании систем. Вот тогда он и стал обязателен. Работа где-то упростится, где-то усложнится. Упрощение произойдет за счет того, что компании перестанут спорить на тему, как надо проводить аутентификацию, идентификацию и выделение прав, а усложнится – там, где эти системы строили попроще, теперь будет посложнее. На разработку это как обычно повлияет только положительно – прекратится анархия и разночтение терминов, будут писать в аннотации к продуктам "Соответствует ГОСТ 58833 и ГОСТ 70262.1"", - говорит Алексей Курских.
По его словам, в любой стране мира есть национальные стандарты. "Государство всегда берет на себя право расписывать в законодательной инициативе спорные моменты, которые после описания перестают быть спорными, а становятся "стандартами". Поэтому мы или живем по своим ГОСТам,или по международным, например по NIST (National Institute of Standards and Technology of USA)", - отмечает он.
Руководитель отдела продвижения продуктов компании "Код Безопасности" Павел Коростелев отмечает, что новые технологические стандарты необходимы рынку при создании требований по информационной безопасности как для информационных систем, так и для средств защиты. "Стандарт предполагает, что несколько разработчиков создают свои решения примерно на одинаковом уровне, за счет чего обеспечивается и их совместимость, и более гармоничное развитие рынка. В любом случае эти стандарты несут рекомендательный характер и пока никак не повлияют на игроков рынка – это станет возможным тогда, когда появятся конкретные законодательные требования. На пользователях новые стандарты не скажутся совсем, разве что они получат более высокий уровень проработки определенных функций", - считает он.
Директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов считает, что с повышением роли информационных систем в жизни людей, общества и государства, их применения для оказания самых разных услуг в дистанционном формате, возросла значимость идентификации и аутентификации пользователей в этих системах.
"Они необходимы, чтобы, например, удостовериться тому ли человеку оказывается дистанционная услуга в цифровом виде, имеет ли он на нее право, кто находится с другой стороны экрана, снизить риск мошенничества", - говорит он.
По его словам, стандарты такого рода необходимы, чтобы через установление общей терминологии, единого порядка прохождения идентификации и аутентификации, единых требований к различным уровням доверия реализовать системы, взаимодействующие с людьми и друг с другом по единым правилам, существенно снижающим риски неверной идентификации, и, как следствие, мошенничества или ошибок. "Разработчики, применяя подобные стандарты, смогут создавать системы, соответствующие выставленным к ним требованиям: стандарты являются основой для создания критериев соответствия, например, для последующей сертификации систем. Стандарты являются одной из составляющих технологической независимости", - отмечает Михаил Смирнов.
Специалист Group-IB по информационной безопасности Сергей Золотухин считает, что появление любой нормотворческой инициативы в области ИБ фокусирует внимание общества на вопросах безопасности цифровой среды, и это позитивно влияет на рынок в целом.
"В 2021- 2022 г.г. большинство атак, 73%, было связано с компрометацией данных пользователей (логинов и паролей) через фишинг или службы удаленного доступа. Разработка современных технических решений и регламентация их использования давно назрела. Обсуждаемый ГОСТ появляется в момент, когда на рынке активно появляются новые разработки в области защиты учетных данных. Речь идет о новых технологиях, предотвращающих использование скомпрометированных логинов-паролей, обеспечивающих более удобные беспарольные технологии доступа, в том числе использование современных мобильных устройств как фактора обеспечения безопасного доступа и т. д. При этом ГОСТ регламентирует давно зарекомендовавшие себя технологии аутентификации и идентификации, которые пока работают, но стремительно устаревают. Тем не менее, любая стандартизация важна, и появление этого ГОСТа безусловно даст дополнительный импульс в развитии методов и средств защиты цифрового пространства", - отмечает он.
По его словам, можно спрогнозировать, что появление стандарта приведет к обязательному применению средств аутентификации там, где это необходимо и, что еще более важно, станет новой отправной точкой, с которой игроки рынка начнут движение в сторону разработки инновационных продуктов и услуг, защищающих организации и простых пользователей в цифровом пространстве.
"Отечественные разработчики, ориентирующиеся на положения данного стандарта, безусловно, получат преимущества при выводе своих продуктов на рынок. Однако, не стоит забывать, что при всей важности обеспечения соответствия требованиям ГОСТа, инновационные продукты должны также соответствовать реалиям сегодняшнего и завтрашнего дня. В технологическом соревновании компаний-разработчиков определяющим является способность создавать прорывные инновационные технологии, а не максимальное приближение к требованиям ГОСТа", - говорит Сергей Золотухин.
Генеральный директор RooX Алексей Хмельницкий считает, что важным результатом принятия стандартов по идентификации и аутентификации является появление официальной терминологии, например, предыдущий стандарт этой линейки — ГОСТ 58833 — ввел официальные русскоязычные определения для факторов аутентификации, методов, уровней доверия и других терминов нашей предметной области. "Сами по себе понятия были не новы, но четкой договоренности, как их называть, не было, это доставляло некоторые трудности. Наличие стандартов по идентификации и аутентификации позволит снизить общую стоимость внедрения и, особенно, интеграции в инфраструктуру компаний. В крупных компаниях системы управления доступом взаимодействуют с десятками других систем, и возможность согласовать взаимодействие с использованием официального стандарта может серьезно облегчить проектирование и внедрение общего решения", - уверен Алексей Хмельницкий.
Заместитель директора департамента консалтинга ГК Innostage Данияр Исхаков отмечает, что появление данного стандарта и аналогичных ИБ-стандартов обусловлено необходимостью доверия пользователей к качеству, реализованного в средствах защиты информации функционала.
"Стандарт задает требования, а в рамках сертификационных испытаний разработчик средства защиты информации подтверждает их выполнение. Стандарт в первую очередь будет использоваться разработчиками таких средств защиты информации как: средства идентификации и аутентификации, средства двухфакторной аутентификации и т.п. Выход стандарта позволит как доработать существующие средства защиты информации для возможности их сертификации на соответствие обозначенным в стандарте уровням доверия, так и определит итоговый набор требований для компаний, собирающихся разрабатывать средства защиты данного класса", - считает он.
По его словам, необходимость аналогичных ИБ-стандартов обусловлена большим количеством классов средств защиты, для которых подобного рода требования еще не описаны и сертификация для которых пока невозможна, при этом для отдельных категорий пользователей существуют требования по применению сертифицированных средства защиты.
Ирина Приборкина