15.07.2010

Американцы запускают Интернет-паспорт

25 июня Белый Дом США выпустил проект "Национальной стратегии в области доверенной идентификации в киберпространстве" (NSTIC), которая призвана решить вопрос с утечками персональных данных, мошенничествами, идентификацией в Интернет и т.п.

Суть идеи проста - создать экосистему, где пользователям больше не понадобится запоминать десятки логинов и паролей к различным Интернет-сервисам. Вместо этого они смогут использовать различные носители "цифрового паспорта" - смарт-карты, сертификаты, мобильные телефоны и т.п., с помощью которых смогут аутентифицироваться при доступе в Интернет-банкингу и Интернет-магазинам, заказе госуслуг, при отправке электронной почты и т.д.

Институт по стандартизации ANSI открыл сайт для сбора комментариев от любого специалиста. При этом, за каждое предложение можно проголосовать, чтобы эксперты смогли оценить перспективность того или иного предложения. Комментарии принимаются до 19 июля (сам проект был выпущен 25 июня). То есть "на все про все" - меньше месяца было выделено (умеют работать американцы ;-)  Сама стратегия должна быть принята в сентябре/октябре этого года.

ЗЫ. Касперскому идея понравилась, но он считает, что американцы не понимают, как надо ее реализовывать. Мол безопасность в Интернет не может быть национальной, она должна быть глобальной и систему идентификации надо делать в масштабах всего Интернета, а не только в США. Тут я не соглашусь, т.к. все наоборот - американцы прекрасно понимают, что и как они делают. Чтобы хорошая идея загнулась, ее надо глобализовать ;-) Учитывая ситуацию с взаимодействием стран в киберпространстве, пытаться сделать что-то глобальное - это утопия. Гораздо разумнее сделать это в рамках одного государства, а потом поделиться опытом (насадить свой подход) с другими.

16 коммент.:

biakus комментирует...

Identity Management системы в частных корпоративных средах уже давно пытаются запускать. Но все они ударяются в стену ее интеграции с приложениями. Нужны стандарты в этой области, обучение специалистов и пользователей, доработка приложений. То есть в реалии сие чудо мы увидим не скоро. А уж в мировом масштабе не в этой жизни ;)

Алексей Лукацкий комментирует...

Ну вот в Cisco внедрена не просто IdM, а Federated IdM. Так что при правидьном подходе, это работает

doom комментирует...

Соглашусь с Алексеем - успешные внедрения IdM есть, в том числе в России.
А в Интернете давно уже есть ряд механизмов, созданных именно для глобальной идентификации (OpenId тот же). Все-таки в глобальной сети груз легаси куда меньше, чем в корпоративной среде.

А работать американцы да - умеют. У нас бы кто спросил мнение специалистов, да еще через интернет :) (хотя проскакивала ссылка на какой-то сайт, где можно высказывать предложения касательно 152 ФЗ и всего с ним связанного - так что не все потеряно :) ).

biakus комментирует...

Успешные внедрения IdM в России вероятно пиар интеграторов и разработчиков. На факте все не так стройно и красиво как на бумаге.

А "правильный подход" (заложенный в IdM) работает только в правильно организованной IT среде, что в действительности зачастую не так.

doom комментирует...

2 biakus:
А вы знаете историю всех внедрений на территории России? Я слышал заявления от представителей заказчиков, что их внедрение успешно.
Плюс в личных беседах с работниками организаций, где подобные системы есть.

Правильный подход, заложенный в IdM - это автоматизировать процесс предоставления доступа к ресурсам организации. Такой процесс на бумаге худо-бедно выстроен (правда чаще просто ужасно выстроен) в любой организации - осталось только перевести это на язык workflow в IdM и заставить начальников пользоваться компьютером (по факту достаточно только электронной почты) - проблема, разве что, в последнем.

В общем утверждение, что нельзя нормально построить процесс Identity management очень похоже на заявления, что ITSM на практике не реализуем (лет 5 назад везде звучало). А что теперь? CMDB, управление конфигурацией, ServiceDesk, внутренние SLA - все это перестало быть экзотикой.

Ригель комментирует...

У идентификации в Интернете и корпоративной среде существенно разные цели, не находите?
з.ы. куплю 14 интернет-паспортов, предложения в личку.

officerinfosec комментирует...

Алексей, здравствуйте!
Извиняюсь что несколько не в тему, но заинтересовал такой вопрос.
В одной из Ваших презентаций "Что происходит и будет происходить в России на ниве ИБ" есть подраздел "Об образовании в области ИБ", так вот вопрос по поводу "стандарта по профессии ..."
Как я понимаю что стандарт ещё не разработан/введен? Но уже известны квалификационные уровни? Неужели наконец-то будет в этом вопросе хоть какой-то общий знаменатель. А то к примеру приезжаешь на какое-либо мероприятие ну к слову на выставку, а там кого только нет, аж в глазах пестрит: инженеры, специалисты, администраторы ИБ, офицеры ИБ (большинство сразу после 11кл. средней школы). Вот недавно попалась на глаза такая вакансия одной из московских фирм "Руководитель отдела IT информационной безопасности" - по-моему это финиш, а не должность.
Сейчас есть на что ровняться? Или ждать этот документ? Потому как сейчас, на сколько мне известно в российском классификаторе есть специалист и инженер?..

Алексей Лукацкий комментирует...

Ну стандарт стандартом, но его принятие - целиком добровольное дело.

officerinfosec комментирует...

Это то понятно. Но сам стандарт уже есть? Так сказать есть на что уже ссылаться?

Алексей Лукацкий комментирует...

Есть проект

officerinfosec комментирует...

Значит ждем.

А какая-либо более точная информация имеется? Дата выхода и проч.?

pushkinist комментирует...
Этот комментарий был удален автором.
pushkinist комментирует...

а смысл-то какой?
зачем ссылаться на стандарт?

в справочнике кроме инженера и специалиста есть еще:
главный специалист, начальник, инженер-программист, администратор и техник.

Алексей Волков комментирует...

Это только подготовительный этап для более важного процесса - я об этом писал в своем блоге пару недель назад: http://anvolkov.blogspot.com/2010/07/blog-post.html
Все идет своим чередом ;)

ЕвгенийКР комментирует...

думаю данный проект с натяжкой будет реализоваться по нескольким причинам. Первая. Сами карты создадут дополнительные сложности пользователю(найти карту, запрограммировать ее) Вторая. В вопросе безопасности не всегда подходящий вариант. Карту могут скопировать, украсть или воспользоваться от чужого имени. Пример как происходит с банковскими картами, заражают даже банкоматы, точнее их считыватели. Третье. Вопрос рыночный, кто то просто решил срубить денег на картах и считывателях. Картой не всегда везде воспользуются, не будет каждый провайдер или интернет-кафе ставить себе эти считывали. Зачем кому платить за дополнительное оборудование... Вообщем удобств это не добавит

ЕвгенийКР комментирует...

Проект может реализоваться если он будет прост и дешев... Например если вместо карт будут что то похожее на токены(флэш), с какими либо дополнительными защитами и правильно продуманной системой записи ее нее информации(шифрованной).