Информационные технологии (ИТ) все более пронизывают различные сферы деятельности человека. Из категории, поддерживающей бизнес, ИТ давно превратились в одну из движущих сил развития техники, технологий, услуг. В бурно развивающемся информационном обществе строятся как инфраструктурные решения, так и прикладные информационные системы различного назначения. Для любой информационной системы актуальна задача управления доступом пользователей, решение которой невозможно без идентификации и аутентификации (ИА) претендентов на право стать ее авторизованными пользователями.
В Российской Федерации интенсивно строится электронное правительство. Постановлением Правительства РФ от 28.11.2011 № 977 [1] предполагается создать федеральную государственную информационную систему «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее — единая система идентификации и аутентификации, ЕСИА).
Ввод в эксплуатацию указанной системы запланирован в весьма сжатые сроки (до 15 апреля 2012 года). Санкционированный удаленный доступ к информации должен предоставляться с использованием инфраструктуры, обеспечивающей информационно-технологическое взаимодействие различных информационных систем (ИС). В связи с этим актуальным становится вопрос о том, какие базовые принципы защиты будут заложены в основу создания национальной универсальной платформы защищенного доступа к различным ИС, используемым для предоставления государственных услуг. Создание систем управления удаленным доступом к информации, содержащей конфиденциальные данные, в частности, персональные данные граждан (ПДн), — одна из наиболее сложных задач даже в масштабе одного отдельно взятого предприятия, не говоря уже о масштабах страны. Известно, что удаленная аутентификация в таких системах является ключевым элементом.
Вопросам аутентификации уделялось огромное внимание как у нас в стране, так и за рубежом. В первой половине данной работы кратко проанализируем основные результаты зарубежных исследований, а во второй — попробуем сформулировать аналогичные подходы применительно к нашей действительности в соответствии с текущим состоянием нормативной базы в РФ.
< ... >
