По мнению спикера, наиболее безопасной является процедура проверки подлинности, основанная на сертификате доступа с механизмом аутентификации в виде электронной подписи, при условии использования устройств, в которых гарантирована неизвлекаемость ключа подписи. Однако в России существует масса проблем, не позволяющих доверять надёжности процессов идентификации и аутентификации (ИА) при электронном взаимодействии.
Эксперты "Аладдин Р.Д.", ведущего российского разработчика и поставщика решений для обеспечения информационной безопасности, стали участниками VI Международной конференции "Электронная торговля. Информационная безопасность и PKI", организованной компанией "Цифровые технологии" совместно с Ассоциацией Электронных Торговых Площадок с 22 по 24 октября в Казани.
Основной задачей конференции является создание комфортной и ёмкой среды для открытых дискуссий экспертов вокруг наиболее актуальных и значимых вопросов развития электронной коммерции и электронных услуг в разрезе законодательных условий применения электронной подписи. Поэтому неудивительно, что в число участников мероприятия вошли не только разработчики средств электронной подписи, представители Удостоверяющих центров и торговых площадок, но и государственные регуляторы и представители органов государственной власти.
Компанию "Аладдин Р.Д." на конференции представили разу два эксперта: руководитель направления развития сервисов ЭП Максим Чирков и менеджер по развитию бизнеса Михаил Веселов, который выступил с докладом, посвящённым вопросам доверия к надёжности идентификации в России.
По мнению спикера, наиболее безопасной является процедура проверки подлинности, основанная на сертификате доступа с механизмом аутентификации в виде электронной подписи, при условии использования устройств, в которых гарантирована неизвлекаемость ключа подписи.
Однако в России существует масса проблем, не позволяющих доверять надёжности процессов идентификации и аутентификации (ИА) при электронном взаимодействии.
В частности, к ним относятся пробелы в нормативной базе. Из-за отсутствия регулирования вопросов безопасности и надёжности процессов ИА в России практически невозможно провести оценку качества сервисов ИА, что говорит о значительном отставании отечественной нормативной базы от уровня контроля процессов ИА в развитых странах.
Существенными являются и проблемы, связанные с качеством первичной идентификации личности. Для их решения необходим ряд мер, среди которых внедрение программно-аппаратных комплексов, позволяющих производить проверку защитных признаков документа, удостоверяющего личность, проверка дополнительных документов в случае возникновения сомнений при проверке основного документа, удостоверяющего личность, обращение к внешним источникам данных для проведения дополнительных проверок. Помимо этого, обязательными требованиями должны стать фото или видеофиксация в процессе проведения процедуры идентификации и внедрение принципа солидарной ответственности за проведение процедуры идентификации со стороны всех участников процесса.
Оценивая перспективы решения проблемы, представленной в докладе, Михаил отметил, что, прежде всего, существует необходимость разработки стратегии построения пространства доверия к аутентификации на федеральном уровне, что требует большого количества времени и средств. Однако есть более быстрый подход, в рамках которого требования к идентификации и аутентификации вырабатываются на уровне отдельно взятого предприятия или отрасли.
© Аладдин Р.Д., 2014
© Издание 12NEWS (ИП Маринин А.Л.), 2014