Внедрение эффективных средств идентификации и аутентификации пользователей является одним из основных способов защиты информации. Они служат первым уровнем защиты, позволяя определить, кто имеет доступ к системе, и удостовериться в подлинности пользователя. В этой статье мы обсудим важность средств идентификации и аутентификации и предложим лучшие практики для управления доступом в цифровую эпоху.
Идентификация и аутентификация: раскрываем понятия
В настоящее время информационные технологии применяют во всех сферах нашей жизни. Пользователь современных информационных систем каждый день проходит процедуры, скрывающиеся за понятиями «идентификация» и «аутентификация». В частности, при вводе логина и пароля. В результате он получает либо доступ к ресурсу, либо категоричный отказ.
Давайте разберёмся, что означают эти термины.
Идентификация – это процесс, когда пользователь заявляет целевой системе, кто он. Уникальный в рамках системы идентификатор (логин, электронная почта, номер телефона или другая характеристика) позволяет сайту или приложению отличить конкретного человека от других людей.
Аутентификация – это процесс, когда пользователь подтверждает, что это действительно он. Аутентификационная информация – это нечто уникальное, что известно только пользователю и подтверждает его аутентичность: пароль или биометрические данные.
Представьте: пришли вы на пропускной пункт, а тут охранник спрашивает, кто вы. Называете свои Ф. И. О (ваш идентификатор). Это идентификация.
Но охранник не верит вам и спрашивает, как можете доказать это. Показываете свой паспорт (ваша аутентификационная информация). Это есть аутентификация.
Кому и зачем нужны средства идентификации и аутентификации
Вопросы защиты информации пользователей информационных систем выходят на первый план в современном мире цифровых технологий и всеобщей компьютеризации. Несоблюдение политик безопасности часто приводит к утрате конфиденциальности, нарушению целостности и доступности защищаемой информации. Это влечёт за собой значительные репутационные и материальные риски как для организации, так и для специалиста, ответственного за информационную безопасность.
Важную роль в обеспечении защиты информации от несанкционированного доступа играют средства идентификации и аутентификации пользователей.
Информационная инфраструктура современных предприятий разнородна. Для решения множества задач используются разные информационные системы. И везде требуется создавать, настраивать и удалять аккаунты, менять их статусы и проводить другие операции в отношении учётных записей.
Количество информационных систем, в которых повседневно выполняют свои задачи пользователи, достигает в среднем 10-15. От каждого сервиса необходимо запоминать различные учётные данные. Очень часто, нарушая все правила безопасности, сотрудники используют одинаковые логины и пароли, пишут их на бумажках и оставляют на рабочем месте, сводя на нет усилия службы информационной безопасности. Нередко забывают пароли и путаются, так как запомнить большое количество произвольных букв, цифр и спецсимволов совсем не просто. Если к этому добавить, что аутентификационные данные необходимо периодически менять, серьёзность проблемы не вызывает сомнений, особенно для системных администраторов и служб технической поддержки.
Оптимальное решение – использовать современные сертифицированные средства идентификации и аутентификации, предоставляющие возможность применения одного идентификатора для доступа ко всем информационным ресурсам.
Они позволяют:
− значительно повысить уровень парольной защиты персонала;
− снизить риск утечки информации, связанный с ошибками специалистов или с умышленными действиями непорядочных сотрудников;
− проводить анализ инцидентов безопасности;
− отслеживать попытки доступа к информационным ресурсам компании;
− избавить ИБ-специалистов и системных администраторов от лишней нагрузки и эффективно использовать время сотрудников.
Надёжный сервис идентификации и аутентификации особенно необходим:
− органам государственного управления;
− крупному бизнесу с разветвлённой филиальной сетью;
− субъектам критической информационной инфраструктуры;
− банкам, страховым компаниям, многофункциональным центрам;
− промышленным и торговым предприятиям;
− образовательным и медицинским организациям;
− разработчикам веб-приложений.
Альфа-ID: как работает и в чём преимущества
Научно-производственный центр «Кейсистемс – Безопасность» разработал свой сервис идентификации и аутентификации Альфа-ID (свидетельство о государственной регистрации программы для ЭВМ от 30 июля 2020 года № 2020618577) для поддержки собственных разработок (например, в АльфаДок). В 2022 году продукт получил сертификат соответствия ФСТЭК России по 4 уровню доверия и представляет интерес как отдельное программное изделие, которое можно предложить рынку.
Отметим, что средства, соответствующие 4 уровню доверия, могут применяться в значимых объектах критической информационной инфраструктуры до 1 категории включительно, в государственных информационных системах до 1 класса защищённости включительно, в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищённости включительно, в информационных системах персональных данных при необходимости обеспечения до 1 уровня защищённости персональных данных включительно. Это самый высокий уровень доверия в системе сертификации средств защиты информации ФСТЭК России по требованиям безопасности информации применительно к системам, которые не обрабатывают информацию, составляющую государственную тайну.
Альфа-ID предназначен для реализации технологии единого входа (Single Sign-On, SSO), предоставляющей возможность использовать один идентификатор для доступа ко всем разрешённым веб-ресурсам, которые функционируют в пределах платформы или сопряжены с ней. У пользователей исчезает необходимость запоминания и ручного ввода множества логинов и паролей. А нагрузка на специалистов, обеспечивающих восстановление забытых паролей и доступа к ресурсам для заблокированных учётных записей, снижается. Появляется возможность адаптировать политики безопасности под конкретную организацию с установкой определённых ограничений в отношении пользователей. Например, задать длину и сложность пароля, период его действия, параметры блокировки учётных записей и т. п.
Альфа-ID также позволяет управлять учётными данными пользователей и доступом к различным информационным системам. Упрощается процесс регистрации событий безопасности за счёт их централизованной фиксации.
Например, специалист головной организации может контролировать все учётные записи, которые заведены для разных информационных систем в подведомственных организациях. Он может посмотреть, какой сотрудник в каких системах работает, предоставить или заблокировать ему доступ ко множеству систем, а также отследить инциденты информационной безопасности, связанные с использованием учётных записей пользователей. Тем самым сокращаются трудозатраты владельца системы на её обслуживание, уменьшается количество обращений пользователей и снижаются расходы на оплату труда обеспечивающих функционирование информационных систем специалистов.
Кроме этого, Альфа-ID поддерживает двухфакторную аутентификацию, которую сегодня рекомендуют использовать все ИБ-эксперты при работе с конфиденциальными данными, раскрытие или утрата которых могут привести к финансовым и репутационным потерям и даже долгосрочному кризису компании. Это обеспечивает дополнительный уровень защиты для важных систем, поскольку злоумышленникам труднее подделать или украсть оба фактора. Помимо ввода логина и пароля, для определения подлинности пользователя могут применяться SMS-сообщения или сертификат пользователя.
Благодаря поддержке открытых протоколов OpenID Connect и OAuth, Альфа-ID может интегрироваться с большим количеством информационных систем.
Программное изделие Альфа-ID совместимо с отечественными операционными системами (РЕД ОС, Альт СП 8, Альт 10 Сервер и Astra Linux Special Edition).
Каждый день в государственных и корпоративных информационных системах происходит огромное количество фактов авторизации. Если не уделять этому внимания, можно столкнуться с серьёзными инцидентами в сфере информационной безопасности. Поэтому для обеспечения безопасности данных надо использовать надёжные и управляемые средства идентификации и аутентификации, такие как Альфа-ID.
