25 июня Белый Дом США выпустил проект «Национальной стратегии в области доверенной идентификации в киберпространстве» (NSTIC), которая призвана решить вопрос с утечками персональных данных, мошенничествами, идентификацией в Интернет и т.п.
Суть идеи проста — создать экосистему, где пользователям больше не понадобится запоминать десятки логинов и паролей к различным Интернет-сервисам. Вместо этого они смогут использовать различные носители «цифрового паспорта» — смарт-карты, сертификаты, мобильные телефоны и т.п., с помощью которых смогут аутентифицироваться при доступе в Интернет-банкингу и Интернет-магазинам, заказе госуслуг, при отправке электронной почты и т.д.
Институт по стандартизации ANSI открыл сайт для сбора комментариев от любого специалиста. При этом, за каждое предложение можно проголосовать, чтобы эксперты смогли оценить перспективность того или иного предложения. Комментарии принимаются до 19 июля (сам проект был выпущен 25 июня). То есть «на все про все» — меньше месяца было выделено (умеют работать американцы 😉 Сама стратегия должна быть принята в сентябре/октябре этого года.
ЗЫ. Касперскому идея понравилась, но он считает, что американцы не понимают, как надо ее реализовывать. Мол безопасность в Интернет не может быть национальной, она должна быть глобальной и систему идентификации надо делать в масштабах всего Интернета, а не только в США. Тут я не соглашусь, т.к. все наоборот — американцы прекрасно понимают, что и как они делают. Чтобы хорошая идея загнулась, ее надо глобализовать 😉 Учитывая ситуацию с взаимодействием стран в киберпространстве, пытаться сделать что-то глобальное — это утопия. Гораздо разумнее сделать это в рамках одного государства, а потом поделиться опытом (насадить свой подход) с другими.
Identity Management системы в частных корпоративных средах уже давно пытаются запускать. Но все они ударяются в стену ее интеграции с приложениями. Нужны стандарты в этой области, обучение специалистов и пользователей, доработка приложений. То есть в реалии сие чудо мы увидим не скоро. А уж в мировом масштабе не в этой жизни 😉
Ну вот в Cisco внедрена не просто IdM, а Federated IdM. Так что при правидьном подходе, это работает
Соглашусь с Алексеем — успешные внедрения IdM есть, в том числе в России.
А в Интернете давно уже есть ряд механизмов, созданных именно для глобальной идентификации (OpenId тот же). Все-таки в глобальной сети груз легаси куда меньше, чем в корпоративной среде.
А работать американцы да — умеют. У нас бы кто спросил мнение специалистов, да еще через интернет 🙂 (хотя проскакивала ссылка на какой-то сайт, где можно высказывать предложения касательно 152 ФЗ и всего с ним связанного — так что не все потеряно 🙂 ).
Успешные внедрения IdM в России вероятно пиар интеграторов и разработчиков. На факте все не так стройно и красиво как на бумаге.
А "правильный подход" (заложенный в IdM) работает только в правильно организованной IT среде, что в действительности зачастую не так.
2 biakus:
А вы знаете историю всех внедрений на территории России? Я слышал заявления от представителей заказчиков, что их внедрение успешно.
Плюс в личных беседах с работниками организаций, где подобные системы есть.
Правильный подход, заложенный в IdM — это автоматизировать процесс предоставления доступа к ресурсам организации. Такой процесс на бумаге худо-бедно выстроен (правда чаще просто ужасно выстроен) в любой организации — осталось только перевести это на язык workflow в IdM и заставить начальников пользоваться компьютером (по факту достаточно только электронной почты) — проблема, разве что, в последнем.
В общем утверждение, что нельзя нормально построить процесс Identity management очень похоже на заявления, что ITSM на практике не реализуем (лет 5 назад везде звучало). А что теперь? CMDB, управление конфигурацией, ServiceDesk, внутренние SLA — все это перестало быть экзотикой.
У идентификации в Интернете и корпоративной среде существенно разные цели, не находите?
з.ы. куплю 14 интернет-паспортов, предложения в личку.
Алексей, здравствуйте!
Извиняюсь что несколько не в тему, но заинтересовал такой вопрос.
В одной из Ваших презентаций "Что происходит и будет происходить в России на ниве ИБ" есть подраздел "Об образовании в области ИБ", так вот вопрос по поводу "стандарта по профессии …"
Как я понимаю что стандарт ещё не разработан/введен? Но уже известны квалификационные уровни? Неужели наконец-то будет в этом вопросе хоть какой-то общий знаменатель. А то к примеру приезжаешь на какое-либо мероприятие ну к слову на выставку, а там кого только нет, аж в глазах пестрит: инженеры, специалисты, администраторы ИБ, офицеры ИБ (большинство сразу после 11кл. средней школы). Вот недавно попалась на глаза такая вакансия одной из московских фирм "Руководитель отдела IT информационной безопасности" — по-моему это финиш, а не должность.
Сейчас есть на что ровняться? Или ждать этот документ? Потому как сейчас, на сколько мне известно в российском классификаторе есть специалист и инженер?..
Ну стандарт стандартом, но его принятие — целиком добровольное дело.
Это то понятно. Но сам стандарт уже есть? Так сказать есть на что уже ссылаться?
Есть проект
Значит ждем.
А какая-либо более точная информация имеется? Дата выхода и проч.?
Этот комментарий был удален автором.
а смысл-то какой?
зачем ссылаться на стандарт?
в справочнике кроме инженера и специалиста есть еще:
главный специалист, начальник, инженер-программист, администратор и техник.
Это только подготовительный этап для более важного процесса — я об этом писал в своем блоге пару недель назад: http://anvolkov.blogspot.com/2010/07/blog-post.html
Все идет своим чередом 😉
думаю данный проект с натяжкой будет реализоваться по нескольким причинам. Первая. Сами карты создадут дополнительные сложности пользователю(найти карту, запрограммировать ее) Вторая. В вопросе безопасности не всегда подходящий вариант. Карту могут скопировать, украсть или воспользоваться от чужого имени. Пример как происходит с банковскими картами, заражают даже банкоматы, точнее их считыватели. Третье. Вопрос рыночный, кто то просто решил срубить денег на картах и считывателях. Картой не всегда везде воспользуются, не будет каждый провайдер или интернет-кафе ставить себе эти считывали. Зачем кому платить за дополнительное оборудование… Вообщем удобств это не добавит
Проект может реализоваться если он будет прост и дешев… Например если вместо карт будут что то похожее на токены(флэш), с какими либо дополнительными защитами и правильно продуманной системой записи ее нее информации(шифрованной).