Компания "Аладдин Р.Д.", ведущий российский разработчик и поставщик решений для обеспечения информационной безопасности, приняла активное участие в 29-й научно-технической конференции МиТСОБИ, которая прошла 28-30 сентября в "Охта-парк" Ленинградской области. Организатором мероприятия выступил ООО "НеоБИТ".
Конференция "Методы и технические средства обеспечения безопасности информации" (МиТСОБИ) — это встреча профессионалов информационной безопасности, единственная и старейшая конференция, с 1991 года ежегодно проходящая в Санкт-Петербурге.
В этом году участники конференции обсудили следующие вопросы:
В рамках насыщенной программы конференции Алексей Сабанов, заместитель генерального директора "Аладдин Р.Д.", представил вниманию участников мероприятия доклад на тему "Об оценке рисков идентификации субъектов доступа".
В связи с интенсивным развитием цифровизации, ростом количества информационных систем и онлайн-сервисов вопросы идентификации и аутентификации субъектов доступа становятся всё актуальнее; тем более, что заказчики и разработчики прикладного программного продукта всё чаще считают, что главное для пользователя – это удобство пользования и функционал, а вопросы безопасности можно будет учесть позже.
"В отличие от аутентификации, всестороннему исследованию которой насчитывается более четырёх десятилетий и опубликовано множество научных работ, проблемам достоверности и безопасности идентификации субъектов доступа начали уделять внимание только последние десять лет в связи с развитием сетей нового поколения и последующей всеобъемлющей цифровизацией. Фактически к сегодняшнему дню в отечественной науке и нормативно-правовой базе не имеется общепринятых методов и моделей исследования идентификации как сервиса безопасности при решении задачи управления доступом", - отметил г-н Сабанов.
Согласно рекомендациям международного стандарта ISO/IEC 29146:2016 Information technology – Security techniques – A framework for access management, информационные ресурсы, к которым необходимо предоставить доступ для совершения транзакции, должны быть ранжированы по уровням доверия и рискам ошибок в предоставлении доступа, а используемые технологии идентификации и аутентификации субъекта также должны быть предварительно выстроены по уровням доверия к результатам идентификации. "В качестве основного инструмента для определения количества уровней доверия и их границ лежит анализ рисков. Анализ рисков ошибок сопоставления личности субъекта доступа с его цифровым профилем, складывающимся из записей, содержащихся в государственных электронных базах данных и учётных записей в различных ИС, является задачей, общего решения которой пока не найдено, а реализация всего комплекса связанных с этим проблем переложена на владельцев ИС", - заключил эксперт.