Представлены методы анализа рисков применительно к процессам аутентификации при удаленном электронном взаимодействии. Рассмотрена применимость наиболее развитых подходов к анализу рисков выполнения основных функций аутентификации. Показано, что более половины известных методов анализа рисков могут быть использованы для оценки рисков аутентификации
Представлены методы анализа рисков применительно к процессам аутентификации при удаленном электронном взаимодействии. Рассмотрена применимость наиболее развитых подходов к анализу рисков выполнения основных функций аутентификации. Показано, что более половины известных методов анализа рисков могут быть использованы для оценки рисков аутентификации.
Классификацию по уровням доверия («уровням гарантий», «уровням надежности») лучше всего вести на основе простой шкалы по аналогии с установленными №63-ФЗ видами электронной подписи: простая, усиленная и строгая. Принцип классификации аутентификации по уровням доверия также должен базироваться на анализе рисков от атак на взаимодействующие стороны и сам процесс взаимодействия.
Развитие удаленного электронного взаимодействия и переход к облакам повышают роль идентификации и аутентификации, которые особо важны в сервисах предоставления защищенного доступа, установлении отношений доверия при электронном взаимодействии, электронной подписи. Во всех этих случаях требуется классификация процессов аутентификации по целям, задачам и используемым технологиям.
Основываясь на рекомендациях [19] сначала рассмотрим исследуемую систему. В общем случае процесс удаленной аутентификации может содержать четыре основных этапа:
- регистрация;
- верификация (собственно обмен защищенными сообщениями между клиентом и сервером – challenge response);
- валидация;
- принятие решения об авторизации пользователя.
1
Без предварительной оценки рисков невозможно корректное решение задач информационной безопасности. Переход к облачным вычислениям актуализирует задачи обеспечения надежности и качества удаленного доступа при электронном взаимодействии. В основе создания систем управления доступом лежит решение задач идентификации и аутентификации пользователей [1].
Приводится обзор зарубежной и российской нормативной базы по удаленной аутентификации и пространству доверия. Рассмотрены основные процессы удаленной аутентификации. Предложены уровни доверия аутентификации и модели построения пространства доверия аутентификации. Сформулировано понятие единого пространства доверия (ЕПД). Показана связь аутентификации с доверенными сервисами ЕПД.
В последние 2–3 года существенно возрос практический интерес к электронному документообороту в целом, и к его защищённому варианту – в частности. До недавнего времени понятие защищенного электронного документооборота (ЗЭД) было расплывчато и неполно. В нормативных документах это понятие не раскрывается.
