Американцы запускают Интернет-паспорт

25 июня Белый Дом США выпустил проект «Национальной стратегии в области доверенной идентификации в киберпространстве» (NSTIC), которая призвана решить вопрос с утечками персональных данных, мошенничествами, идентификацией в Интернет и т.п.

Суть идеи проста — создать экосистему, где пользователям больше не понадобится запоминать десятки логинов и паролей к различным Интернет-сервисам. Вместо этого они смогут использовать различные носители «цифрового паспорта» — смарт-карты, сертификаты, мобильные телефоны и т.п., с помощью которых смогут аутентифицироваться при доступе в Интернет-банкингу и Интернет-магазинам, заказе госуслуг, при отправке электронной почты и т.д.

Институт по стандартизации ANSI открыл сайт для сбора комментариев от любого специалиста. При этом, за каждое предложение можно проголосовать, чтобы эксперты смогли оценить перспективность того или иного предложения. Комментарии принимаются до 19 июля (сам проект был выпущен 25 июня). То есть «на все про все» — меньше месяца было выделено (умеют работать американцы 😉  Сама стратегия должна быть принята в сентябре/октябре этого года.

ЗЫ. Касперскому идея понравилась, но он считает, что американцы не понимают, как надо ее реализовывать. Мол безопасность в Интернет не может быть национальной, она должна быть глобальной и систему идентификации надо делать в масштабах всего Интернета, а не только в США. Тут я не соглашусь, т.к. все наоборот — американцы прекрасно понимают, что и как они делают. Чтобы хорошая идея загнулась, ее надо глобализовать 😉 Учитывая ситуацию с взаимодействием стран в киберпространстве, пытаться сделать что-то глобальное — это утопия. Гораздо разумнее сделать это в рамках одного государства, а потом поделиться опытом (насадить свой подход) с другими.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. biakus

    Identity Management системы в частных корпоративных средах уже давно пытаются запускать. Но все они ударяются в стену ее интеграции с приложениями. Нужны стандарты в этой области, обучение специалистов и пользователей, доработка приложений. То есть в реалии сие чудо мы увидим не скоро. А уж в мировом масштабе не в этой жизни 😉

    Ответить
  2. Алексей Лукацкий

    Ну вот в Cisco внедрена не просто IdM, а Federated IdM. Так что при правидьном подходе, это работает

    Ответить
  3. doom

    Соглашусь с Алексеем — успешные внедрения IdM есть, в том числе в России.
    А в Интернете давно уже есть ряд механизмов, созданных именно для глобальной идентификации (OpenId тот же). Все-таки в глобальной сети груз легаси куда меньше, чем в корпоративной среде.

    А работать американцы да — умеют. У нас бы кто спросил мнение специалистов, да еще через интернет 🙂 (хотя проскакивала ссылка на какой-то сайт, где можно высказывать предложения касательно 152 ФЗ и всего с ним связанного — так что не все потеряно 🙂 ).

    Ответить
  4. biakus

    Успешные внедрения IdM в России вероятно пиар интеграторов и разработчиков. На факте все не так стройно и красиво как на бумаге.

    А "правильный подход" (заложенный в IdM) работает только в правильно организованной IT среде, что в действительности зачастую не так.

    Ответить
  5. doom

    2 biakus:
    А вы знаете историю всех внедрений на территории России? Я слышал заявления от представителей заказчиков, что их внедрение успешно.
    Плюс в личных беседах с работниками организаций, где подобные системы есть.

    Правильный подход, заложенный в IdM — это автоматизировать процесс предоставления доступа к ресурсам организации. Такой процесс на бумаге худо-бедно выстроен (правда чаще просто ужасно выстроен) в любой организации — осталось только перевести это на язык workflow в IdM и заставить начальников пользоваться компьютером (по факту достаточно только электронной почты) — проблема, разве что, в последнем.

    В общем утверждение, что нельзя нормально построить процесс Identity management очень похоже на заявления, что ITSM на практике не реализуем (лет 5 назад везде звучало). А что теперь? CMDB, управление конфигурацией, ServiceDesk, внутренние SLA — все это перестало быть экзотикой.

    Ответить
  6. Ригель

    У идентификации в Интернете и корпоративной среде существенно разные цели, не находите?
    з.ы. куплю 14 интернет-паспортов, предложения в личку.

    Ответить
  7. Unknown

    Алексей, здравствуйте!
    Извиняюсь что несколько не в тему, но заинтересовал такой вопрос.
    В одной из Ваших презентаций "Что происходит и будет происходить в России на ниве ИБ" есть подраздел "Об образовании в области ИБ", так вот вопрос по поводу "стандарта по профессии …"
    Как я понимаю что стандарт ещё не разработан/введен? Но уже известны квалификационные уровни? Неужели наконец-то будет в этом вопросе хоть какой-то общий знаменатель. А то к примеру приезжаешь на какое-либо мероприятие ну к слову на выставку, а там кого только нет, аж в глазах пестрит: инженеры, специалисты, администраторы ИБ, офицеры ИБ (большинство сразу после 11кл. средней школы). Вот недавно попалась на глаза такая вакансия одной из московских фирм "Руководитель отдела IT информационной безопасности" — по-моему это финиш, а не должность.
    Сейчас есть на что ровняться? Или ждать этот документ? Потому как сейчас, на сколько мне известно в российском классификаторе есть специалист и инженер?..

    Ответить
  8. Алексей Лукацкий

    Ну стандарт стандартом, но его принятие — целиком добровольное дело.

    Ответить
  9. Unknown

    Это то понятно. Но сам стандарт уже есть? Так сказать есть на что уже ссылаться?

    Ответить
  10. Алексей Лукацкий

    Есть проект

    Ответить
  11. Unknown

    Значит ждем.

    А какая-либо более точная информация имеется? Дата выхода и проч.?

    Ответить
  12. pushkinist

    Этот комментарий был удален автором.

    Ответить
  13. pushkinist

    а смысл-то какой?
    зачем ссылаться на стандарт?

    в справочнике кроме инженера и специалиста есть еще:
    главный специалист, начальник, инженер-программист, администратор и техник.

    Ответить
  14. Unknown

    Это только подготовительный этап для более важного процесса — я об этом писал в своем блоге пару недель назад: http://anvolkov.blogspot.com/2010/07/blog-post.html
    Все идет своим чередом 😉

    Ответить
  15. ЕвгенийКР

    думаю данный проект с натяжкой будет реализоваться по нескольким причинам. Первая. Сами карты создадут дополнительные сложности пользователю(найти карту, запрограммировать ее) Вторая. В вопросе безопасности не всегда подходящий вариант. Карту могут скопировать, украсть или воспользоваться от чужого имени. Пример как происходит с банковскими картами, заражают даже банкоматы, точнее их считыватели. Третье. Вопрос рыночный, кто то просто решил срубить денег на картах и считывателях. Картой не всегда везде воспользуются, не будет каждый провайдер или интернет-кафе ставить себе эти считывали. Зачем кому платить за дополнительное оборудование… Вообщем удобств это не добавит

    Ответить
  16. ЕвгенийКР

    Проект может реализоваться если он будет прост и дешев… Например если вместо карт будут что то похожее на токены(флэш), с какими либо дополнительными защитами и правильно продуманной системой записи ее нее информации(шифрованной).

    Ответить