Под нормативной базой в данной работе будем понимать документы в области технического регулирования отношений, процессов и механизмов реализации идентификации и аутентификации (ИА) как обязательных к исполнению, так и носящих рекомендательный характер. Такая несколько вольная трактовка известного понятия «нормативная база» обусловлена некоторыми отличиями в подходах к техническому регулированию у нас и за рубежом. Так, в отличие от запада, в Российской Федерации автору неизвестен ни один обязательный к исполнению стандарт. На федеральном уровне обязательными к исполнению у нас являются указы, законы, постановления и распоряжения правительства. Рекомендации и стандарты имеют рекомендательный характер, а вот технические требования и регламенты — обязательный. Хотя, по идее, стандарт никогда не пишется на пустом месте. При появлении и постепенном использовании новой технологии сначала должны появляться рекомендации, потом — требования по безопасному применению новой технологии, а уже потом — стандарты. Каждый этап в среднем длится 2–3 года. Причем все перечисленные документы (как уже упоминалось, нормативная база) могут оказывать влияние на промышленное применение новых технологий. Если нормативная база «правильная» и появляется вовремя, то она может «помочь» широкому внедрению новой технологии. Тем более если это документы обязательного исполнения. Если ситуация обратная, то нормативные документы могут «тормозить» внедрение технологии. Это соотношение «узнаваемости» (заметности) технологии, ее востребованности рынком и возможного влияния нормативной базы на примере знаменитой Гартнеровской кривой (http://www. gartner. com) проиллюстрировано на рисунке.

Примеров такой иллюстрации — множество. Можно, например, занять целую статью рассуждениями вокруг этого рисунка про такие технологии, как электронная подпись, облачные вычисления или NFC. Но речь в данной статье — не про примеры, а про нормативную базу. Чтобы понять, где мы находимся и что делать, рассмотрим сначала состояние руководящих и направляющих документов на Западе, где вопросам регулирования процессов идентификации и аутентификации (ИА) уделяется достаточно много внимания.

В ряде развитых капиталистических стран нетрудно заметить связь темпов развития электронной коммерции и проектов по построению электронного правительства с количественным ростом нормативной базы, которая может как ускорять, так и замедлять процессы построения систем удаленного электронного взаимодействия (УЭВ) государства, бизнеса и граждан. Актуальность анализа зарубежной нормативной базы по вопросам организации систем автоматической ИА участников УЭВ продиктована тем, что в отличие от западных стран в российской нормативной базе можно найти только один документ[1], целиком посвященный данной тематике. В большей части отечественных законов, стандартов и руководящих документов встречается лишь упоминание (или один — два небольших абзаца) о таких сложных процессах, как ИА. В то же время в Российской Федерации идет интенсивное строительство систем электронной коммерции и оказания государственных услуг в электронной форме. Государственные информационные системы (ГИС) по требованию времени начинают обрастать системами web-доступа, имеется насущная необходимость защищенного обмена информацией между информационными системами (ИС), все чаще требуется организация удаленного доступа к ГИС, содержащим кроме открытой информации различные категории информации ограниченного доступа. Достаточно интенсивно начинает использоваться электронная подпись, применение которой невозможно без сервисов ИА. В этих условиях для разработки весьма актуальной отечественной нормативной базы по идентификации и аутентификации необходимо учитывать мировой опыт.

< ... >