АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Национальная стратегия доверенных идентичностей в киберпространстве

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

Национальная стратегия доверенных идентичностей в киберпространстве (англ. National Strategy for Trusted Identities in Cyberspace, NSTIC) — инициатива правительства США, объявленная в апреле 2011 года, направленная на повышение приватности, безопасности и удобства проведения чувствительных онлайн-транзакций посредством сотрудничества с частным сектором, общественными организациями, государственными агентствами и другими участниками[1].

В рамках стратегии предполагалось создание онлайн-среды, в которой частные лица и организации могли бы доверять друг другу, идентифицируя и аутентифицируя свои цифровые идентификаторы, а также идентификаторы организаций и устройств[2]. Стратегия предусматривала внедрение, но не обязательное требование использования усиленной идентификации и аутентификации, обеспечивая при этом защиту приватности за счёт ограничения объёма раскрываемой информации[3].

Описание

Разработка стратегии велась с участием представителей частного сектора, включая организации, представлявшие 18 бизнес-групп, 70 некоммерческих и федеральных консультативных объединений, а также с учётом общественных обсуждений и комментариев.

Были определены четыре руководящих принципа стратегии:[4]

  1. ориентированность на защиту приватности, добровольность участия;
  2. безопасность и устойчивость;
  3. межоперабельность;
  4. экономическая эффективность и простота использования.

NSTIC описывалась как модель экосистемы, где индивидуумы, бизнес и иные организации получают большее доверие и безопасность при проведении чувствительных онлайн-транзакций. Технологии, политики и согласованные стандарты должны были надёжно поддерживать любые транзакции — от анонимных до полностью аутентифицированных и от малых до значительных по объёму.

Реализация стратегии включала три основных инициативы:

  • Руководящая группа экосистемы идентичности (IDESG) — ведомая частным сектором организация по разработке рамочной структуры экосистемы идентичности[5];
  • Финансирование пилотных проектов, отвечающих ключевым принципам NSTIC[6];
  • Федеральная облачная система обмена учётными данными ( FCCX)[7], — федеральный сервис, позволяющий госагентствам принимать учётные данные, выданные аккредитованными третьими сторонами по утверждённой схеме FICAM.

NSTIC была объявлена при президентстве Барака Обамы 15 апреля 2011 года, ближе к завершению его первого срока[1]. По данным СМИ, стратегия предусматривала для граждан возможность безопасно подтверждать свою личность при совершении таких чувствительных операций, как банковские переводы или доступ к медицинским данным, а также анонимность для менее чувствительных задач, например при ведении блогов или обычном веб-сёрфинге[8].

В январе 2011 года министерство торговли США создало Национальный программный офис (NPO), возглавляемый Национальным институтом стандартов и технологий — для поддержки внедрения NSTIC[9]. Для координации действий федеральных ведомств NPO взаимодействовал с координатором по кибербезопасности Белого дома — изначально им был Ховард Шмидт[3], в 2012 году на эту должность назначили Майкла Дэниела[10].

Руководящая группа

NSTIC предусматривал создание руководящей группы, возглавляемой частным сектором, для организации разработки и внедрения соответствующего рамочного документа. Identity Ecosystem Steering Group (IDESG) провела встречу в Чикаго 15–16 августа 2012 года[11]. На встрече присутствовали 195 участников очно и 315 — дистанционно. Позднее состоялись пленарные заседания в Финиксе (Аризона)[12], Санта-Кларе (Калифорния)[13] и Бостоне (Массачусетс). В период с 2012 по 2014 год административную поддержку группы осуществляла компания Trusted Federal Systems, Inc[14].

Пилотные проекты

Федеральное правительство инициировало и поддерживало пилотные программы. В 2012 году NSTIC выделила $9 млн на пилотные проекты в первый год. К примеру, Американская ассоциация администраторов автотранспортных средств в сотрудничестве с штатом Вирджиния разрабатывала пилот по коммерческой выдаче учётных данных для онлайн-идентификации через Департамент транспортных средств Вирджинии[15]. Проект Internet2 получил грант около $1,8 млн для проведения исследований[15]. Компания ID.me получила двухлетний грант в 2013 году[16].

Дальнейшие исследования, финансируемые NIST, доступны на странице Trusted Identities Group[17].

Федеральная облачная система обмена учётными данными

NSTIC предполагала, что федеральные агентства правительства США станут ранними пользователями экосистемы идентичности, заложенной в стратегии[7]. Государственные учреждения сталкивались с трудностями при реализации — как во внутренних, так и во внешних сервисах. Технические, политические и финансовые барьеры осложняли приём идентификационных данных, выданных аккредитованными в рамках инициативы Федерального управления идентификацией, учётными записями и доступом (FICAM)[18].

В ответ администрация США создала команду Federal Cloud Credential Exchange (FCCX), которую возглавили представители NSTIC и федеральной Администрации общих служб. В команду входили представители ведомств, чьи сервисы предоставляют доступ широкому кругу пользователей. В ноябре 2012 года Почтовая служба США была выбрана для управления пилотной версией FCCX, а контракт на её разработку был выдан компании SecureKey Technologies, входящей в альянс англ. FIDO Alliance. Контракт был продлён в мае 2015 года[19][20].

Connect.gov

Connect.gov был запущен в декабре 2014 года как результат данного пилотного проекта. Первые две компании, предоставившие услуги управления идентичностями, совместимые с Connect.gov для граждан США, — ID.me и Verizon[21]. Ping Identity и Forgerock стали первыми платформами, поддержавшими удостоверения, соответствующие требованиям FICAM, обеспечив частному сектору безопасный доступ к госагентствам, что являлось одной из основных задач проекта[22][23].

Login.gov

10 мая 2016 года команда 18F объявила в блоге о замене Connect.gov на новую систему[24][25]. Новая система получила название Login.gov[26] и была запущена в апреле 2017 года[27].

Руководящая группа экосистемы идентичности

Руководящая группа экосистемы идентичности (IDESG) получила стартовое финансирование от NIST в 2010 году и с тех пор выпустила ряд документов, опубликованных на их сайте[28]. В 2016 году была представлена и публично доступна база для самооценки — Identity Ecosystem Framework (IDEF) Registry[29].

Критика

С момента выпуска первого черновика в июне 2010 года предлагаемый проект подвергался критике[3][30]. Основные вопросы затрагивали приватность.

Вскоре после публикации черновика Центр электронной приватности информации ( EPIC) совместно с другими организациями по защите прав потребителей и гражданских свобод направил комитету заявление с призывом создать более чёткий и полный план по обеспечению прав и приватности пользователей интернета[31]. Руководитель EPIC Марк Ротенберг назвал NSTIC «историческим» шагом, однако отметил: «... онлайн-идентификация — сложная проблема, а риск кибер-кражи идентичности при консолидации механизма идентичности весьма реален. США предстоит сделать больше для защиты приватности в интернете»[32].

NSTIC учёл часть подобных опасений, опубликовав в 2013 году документ по принципам надёжной обработки информации[33]. В последующем вопросу приватности уделялось отдельное внимание; в IDESG работал специальный комитет с участием Американского союза гражданских свобод , Фонда электронных рубежей.

Примечания

  1. 1 2 Администрация публикует стратегию по защите онлайн-потребителей и поддержке инноваций, а также информационный бюллетень о Национальной стратегии доверенных идентичностей в киберпространстве (англ.), Пресс-релиз, Office of the White House (15 апреля 2011). Архивировано 25 августа 2025 года. Дата обращения: 9 ноября 2013.
  2. Национальная стратегия доверенных идентичностей в киберпространстве (англ.) (14 апреля 2011). Дата обращения: 9 сентября 2017. Архивировано 29 декабря 2016 года.
  3. 1 2 3 Howard A. Schmidt. Национальная стратегия доверенных идентичностей в киберпространстве (англ.). whitehouse.gov (25 июня 2010). Дата обращения: 5 сентября 2023. Архивировано 29 августа 2025 года.
  4. Соблюдение руководящих принципов NSTIC — Identity Ecosystem Steering Group (англ.). Дата обращения: 16 августа 2013. Архивировано 15 августа 2013 года.
  5. Рамочная структура экосистемы идентичности — Identity Ecosystem Steering Group (англ.). Дата обращения: 16 августа 2013. Архивировано 29 июня 2013 года.
  6. Boeckl, Kaitlin Пилотные проекты и партнёры (англ.). nist.gov (29 апреля 2016). Архивировано 7 июля 2016 года.
  7. 1 2 Внедрение федерации: правительство США как ранний пользователь экосистемы идентичности — I Think, Therefore IAM (англ.).
  8. Mat Honan. Убить пароль: почему строка символов нас больше не защищает (англ.), Wired Gadget Lab (15 ноября 2012). Архивировано 16 ноября 2012 года. Дата обращения: 9 ноября 2013.
  9. Планируется создание Национального программного офиса для реализации стратегии доверенных идентичностей онлайн (англ.), Пресс-релиз, NIST (19 января 2011). Архивировано 23 января 2011 года. Дата обращения: 10 ноября 2013.
  10. Michael Daniel: специальный помощник президента и координатор по кибербезопасности (англ.). whitehouse.gov. Дата обращения: 9 ноября 2013.
  11. Identity Ecosystem Steering Group: администрирование разработки политики, стандартов и процедур аккредитации рамочной структуры (англ.). Дата обращения: 16 августа 2013. Архивировано 9 ноября 2013 года.
  12. Февральская пленарная встреча 2013 — Identity Ecosystem Steering Group (англ.). Дата обращения: 16 августа 2013. Архивировано 10 августа 2013 года.
  13. Майская пленарная встреча 2013 — Identity Ecosystem Steering Group (англ.). Дата обращения: 16 августа 2013. Архивировано 8 августа 2013 года.
  14. NSTIC приветствует Trusted Federal Systems в роли секретариата Identity Ecosystem Steering Group (англ.). NSTIC blog (12 июля 2012). Дата обращения: 9 ноября 2013. Архивировано 2 сентября 2025 года.
  15. 1 2 Пять пилотных проектов получили гранты на развитие онлайн-безопасности и приватности (англ.), Пресс-релиз, NIST (20 сентября 2012). Архивировано 22 сентября 2012 года. Дата обращения: 10 ноября 2013.
  16. NSTIC, ID.me, Inc. (англ.). www.nist.gov. National Institute of Standards and Technology. Дата обращения: 21 февраля 2015. Архивировано 21 августа 2014 года.
  17. Trusted Identities Group (англ.). NIST. Архивировано 23 ноября 2016 года.
  18. План реализации и рекомендации по FICAM (англ.). Дата обращения: 16 августа 2013. Архивировано 19 августа 2013 года.
  19. SecureKey Technologies выигрывает контракт с Почтовой службой для реализации FCCX (англ.). Архивировано 30 августа 2025 года.
  20. Fontana, John Connect.Gov укрепляет и расширяет план работы с удостоверениями госагентств (англ.). ZDNet. Архивировано 2 мая 2015 года.
  21. Connect.gov — последняя попытка внедрить онлайн-идентификацию (англ.) (22 декабря 2014). Архивировано 24 декабря 2014 года.
  22. Fontana, John Connect.Gov укрепляет и расширяет план работы с удостоверениями госагентств (англ.). ZD Net (30 апреля 2015). Дата обращения: 6 мая 2015. Архивировано 2 мая 2015 года.
  23. Miller, Jason Connect.gov — последняя попытка внедрить онлайн-идентификацию (англ.). Federal News Radio (22 декабря 2014). Дата обращения: 6 мая 2015. Архивировано 29 августа 2025 года.
  24. 18F: Создание современной общей платформы аутентификации (англ.) (10 мая 2016). Дата обращения: 2 июля 2017. Архивировано 24 сентября 2016 года.
  25. Федералы отказываются от Connect.Gov — SecureIDNews (англ.), SecureIDNews. Архивировано 15 сентября 2025 года. Дата обращения: 2 июля 2017.
  26. Login.Gov заменяет Connect.Gov — SecureIDNews (англ.), SecureIDNews. Архивировано 4 сентября 2025 года. Дата обращения: 2 июля 2017.
  27. 18F: правительство запускает login.gov для упрощения доступа к государственным услугам (англ.). 18f.gsa.gov. Дата обращения: 16 февраля 2018. Архивировано 2 октября 2017 года.
  28. Руководящая группа экосистемы идентичности (англ.).
  29. Реестр рамочной структуры экосистемы идентичности (IDEF) (англ.).
  30. Lance Whitney. Белый дом разрабатывает стратегию безопасности киберпространства (англ.), CNet news (28 июня 2010). Архивировано 10 января 2011 года. Дата обращения: 9 ноября 2013.
  31. Lillie Coney. Заявление по поводу Национальной стратегии доверенных идентичностей: создание опций для усиленной онлайн-безопасности и приватности (англ.). Privacy International и Electronic Privacy Information Center (23 сентября 2010). Дата обращения: 9 ноября 2013. Архивировано 3 сентября 2025 года.
  32. EPIC — Национальная стратегия доверенных идентичностей в киберпространстве (NSTIC) (англ.). epic.org. Архивировано 20 апреля 2011 года.
  33. Приложение А — Принципы справедливой обработки информации (англ.). NSTIC (4 апреля 2013). Архивировано 8 июня 2013 года.

Ссылки

Категории