Аутентификация и идентификация. Особенности нотифицирования

Шифровальные средства
	Шифровальные (криптографические) средства (ШКС)
Основные НПА
	Решение ЕЭК №30 от 21 апреля 2015 г.
Перечень	2.19
Положение	Приложение 9
Услуги IFCG
	Оформление разрешительных документов для ввоза и вывоза ШКС: Нотификация ФСБ; Заключение ФСБ; Лицензия Минпромторга;

Пропорционально росту степени информатизации всех сторон жизнедеятельности современного человека растет и угроза утечки, хищения или утраты важной персональной информации. Одной из наиболее очевидных причин данных негативных явлений является умышленный со стороны неавторизованных в системе пользователей несанкционированный доступ к конфиденциальной (персональной) информации и последующие нежелательные с ней манипуляции. В связи с этим решению задачи защиты информации в компьютерных системах придается большое значение.

Основой защиты информационных систем (далее – ИС) являются применение механизмов идентификации и аутентификации объектов (информация и другие информационные ресурсы) и субъектов (пользователи и процессы) ИС, так как основа защиты информации рассчитана на работу с поименованными субъектами и объектами ИС.

Содержание

1 Определение «идентификация» и «аутентификация»
2 Особенности при нотифицировании
3 Пример на основе СКУД
4 Методы аутентификации
5 Итоги
6 Примечания
7 Ссылки

Определение «идентификация» и «аутентификация»

Идентификация – процесс присвоения субъектам и объектам ИС уникального идентификационного номера (идентификатора), который будет использоваться для сравнения с заданным перечнем существующих идентификаторов. Другими словами, идентификация – это процесс, при котором происходит определение полномочий субъекта при его допуске в ИС, контролирование установленных полномочий в процессе сеанса работы, регистрация действий и др.

Аутентификация (установлением подлинности) - проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности.

Особенности при нотифицировании

Стоит четко разграничивать понятия «идентификация» и «аутентификация» т.к. разница в их основных процессах является ключевой при принятии решения о необходимости оформления разрешительной документации при ввозе (вывозе) оборудования, реализующего функции идентификации и аутентификации.

В соответствии с Решением ЕЭК от 21 апреля 2015 г. № 30 нотификация оформляется на товары, относящиеся к одной или нескольким из категорий товаров из перечня^[1]. Одной из наиболее важных и распространенных категорий является категория 2:

2. Товары, содержащие шифровальные (криптографические) средства, обладающие следующими ограниченными функциями:
1) аутентификация, включающая в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа;
2) электронная цифровая подпись (электронная подпись).

(так, около 30% всех товаров, отраженных в Едином реестре нотификаций^[2], поддерживают криптографические функции в рамках реализации процедуры аутентификации или ЭЦП.

Пример на основе СКУД

Рассмотрим случай, который поможет объяснить данную разницу, на примере системы контроля и управления доступом^[3] (далее – СКУД).

Российский дистрибьютор планирует завести партию товаров, являющимися компонентами СКУД, которая включает: пластиковые идентификационные карточки доступа и считыватели, оснащенные клавиатурой для ввода персонального пароля (PIN-падом).

Пластиковая идентификационная карта представляет собой контактную карту, выполненную на пластиковом основании с расположенным на нем чип-модулем, и предназначена для использования в составе СКУД для хранения идентификационных данных владельца карты. Считывание данных с пластиковой карты происходит контактным способом при взаимодействии со считывателем путем соприкосновения металлической контактной площадки карты с контактами считывателя.

Считыватель же дополнительно оснащен устройством ввода (клавиатурой) персональных данных (PIN-коды) пользователей для осуществления процесса их строгой аутентификации.

Из двух типов устройств к пункту 2.19 (Шифровальные (криптографические) средства) приложения № 2 к Решению Коллегии Евразийской экономической комиссии от 21.04.2015 N 30 можно отнести только считыватель, т.к. он выполняет криптографические функции в рамках процедуры аутентификации, а значит содержит шифровальные средства. Исходя из назначения считыватель можно отнести к п.1 категории 2 перечня^[1] категорий товаров, являющихся шифровальными средствами.

Пластиковая же карта является лишь носителем идентификатора пользователя и не выполняет криптографического функционала.

Таким образом, в соответствии с действующим Российским законодательством, дистрибьютору для ввоза данной партии товаров понадобится оформить нотификацию только на считыватели пластиковых карт.

Методы аутентификации

Приведенный выше пример объясняет разницу между идентификацией и аутентификацией на основе самой широко распространённой сферы применения данного типа устройств – физического контроля и управления доступом. В то же время необходимо указать и на другие методы аутентификации, которые можно условно разделить на 3 основные группы:

Методы, основанные на использовании субъектом ИС секретного идентификатора – пароля

Наиболее распространенные и простые методы аутентификации. Механизм реализации: при вводе субъектом своего пароля (секретного идентификатора) подсистема аутентификации сравнивает его с данными, хранящимися в базе эталонных данных в зашифрованном виде. В случае совпадения паролей подсистема аутентификации разрешает доступ к ресурсам ИС.

Методы, основанные на использовании уникального предмета: электронной карточки и др.

Чаще всего встречаются в комбинированном виде: для получения доступа субъекту ИС требуется персональный идентификатор в виде карты, а также дополнительного секретного идентификатора – персонального пароля.

Методы, основанные на измерении биометрических параметров человека

Обеспечивают почти 100% идентификацию, решая проблемы утраты паролей и личных идентификаторов.

Итоги

Безопасность ИС невозможна без применения средств аутентификации, а проникновение в корпоративную среду мобильных устройств и облачных технологий не может не влиять на принципы обеспечения информационной безопасности. Применение механизма аутентификации является самым распространенным и одним из самых эффективных методов обеспечения безопасности. Являясь по своей сути процедурой подтверждения подлинности субъекта в ИС по уникальному идентификатору, аутентификация является криптографическим методом, что обуславливает применение к устройствам, ее поддерживающим, Положения о ввозе и вывозе шифровальных (криптографических) средств, а следовательно – оформление нотификации.

Примечания

↑ ^1,0 ^1,1 Перечень категорий товаров, являющихся шифровальными средствами, технические и криптографические характеристики которых подлежат нотификации (приложение № 4 к приложению № 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. № 30)
↑ Единый реестр нотификаций о характеристиках шифровальных (криптографических) средств и товаров, их содержащих
↑ Система контроля и управления доступом

Ссылки

ЭЦП и аутентификация: сделано в России, - Журнал сетевых решений/LAN, № 09, - 2014, - https://www.osp.ru/lan/2014/09/13042709/
Идентификация, - База знаний рынка безопасности, - http://www.techportal.ru/glossary/identifikatsiya.html
Защита информации в локальных сетях, - Сборник лекций по основам локальных сетей Национального открытого Университета, - http://www.intuit.ru/studies/courses/57/57/lecture/1688

[catlist-1] 1,0 ^1,1 Перечень категорий товаров, являющихся шифровальными средствами, технические и криптографические характеристики которых подлежат нотификации (приложение № 4 к приложению № 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. № 30)

[2] Единый реестр нотификаций о характеристиках шифровальных (криптографических) средств и товаров, их содержащих

[3] Система контроля и управления доступом

[1]

[2]

[3]