Проект
Национальная Стратегия Доверенной Идентификации в
Киберпространстве
Разработка вариантов повышения эффективности
Онлайн Безопасности и Конфиденциальности
National Strategy for
Trusted Identities in
Cyberspace
Creating Options for Enhanced
Online Security and Privacy
June 25, 2010
Переведено на
русский язык
агентством
Трада (СПб)
по заказу
В.Г.Самохвалова
февраль 2011 г.
Оглавление
ОСНОВНЫЕ ПОЛОЖЕНИЯ..................................................................................................
1
ВВЕДЕНИЕ ........................................................................................................................... 4
ТЕКУЩИЕ ПЕРСПЕКТИВЫ .............................................................................................. 4
КОНТЕКСТ ......................................................................................................................... 6
РАЗВИТИЕ НАЦИОНАЛЬНОЙ СТРАТЕГИИ......................................................................
6
ОРГАНИЗАЦИЯ НАЦИОНАЛЬНОЙ
СТРАТЕГИИ...............................................................
7
РУКОВОДЯЩИЕ ПРИНЦИПЫ...............................................................................................
8
Решения Идентификации будут
Безопасными и Устойчивыми........................................... 8
Решения Идентификации будут
Совместимыми..................................................................
8
Решения Идентификации будут Защищающими
Конфиденциальность и Добровольными для Общественности..................................................................................................................
9
Решения Идентификации будут Рентабельны
и Просты в Использовании....................... 10
КОНЦЕПЦИЯ И ПРЕИМУЩЕСТВА......................................................................................
12
Концепция ........................................................................................................................ 12
Идентификационная Identity
Ecosystem...........................................................................
12
Преимущества Identity Ecosystem.
................................................................................. 18
ЦЕЛИ И ЗАДАЧИ...................................................................................................................
21
Цель 1:
Развитие Комплексной Структуры Identity
Ecosystem........................................
21
Цель 2:
Создание и Внедрение Совместимой Идентификационной
Среды в Соответствии с Общей Структурой Identity Ecosystem...........................................................................
22
Цель
3: Укрепление Доверия и Желания Участвовать в Identity
Ecosystem.................... 23
Цель 4:
Обеспечение Долговременного Успеха Identity
Ecosystem.................................
24
ПРИВЕДЕНИЕ В ДЕЙСТВИЕ................................................................................................
26
Первоочередные Действия ................................................................................................ 26
Д1 Назначить
Федеральное Агентство для проведения работ по Продвижению Концепции в
Общественном и Частном Секторе............................................................
26
Д2
Разработать Общий, Всеобъемлющий План Внедрения в Общественном и
Частном Секторе..............................................................................................................
26
Д3 Ускорить
Расширение Государственных Услуг, Экспериментальных Проектов и Политики, соответствующей Identity Ecosystem.......................................................... 27
Д4 Проводить Работу, Направленную на Укрепление Защиты
Конфиденциальности........................................................................................................
27
Д5 Координировать
Разработку и Уточнение Моделей Риска и Стандартов Операционной Совместимости........................................................................................
28
Д6 Рассмотреть
Вопросы Ответственности Поставщиков Услуг и Частных Лиц.. 28
Д7 Осуществлять
Пропаганду и Информирование Всех Заинтересованных Сторон 29
Д8 Продолжать
Сотрудничество в Международном Масштабе.................................
29
ЗАКЛЮЧЕНИЕ ................................................................................................................ 31
ПРИЛОЖЕНИЕ А – ГЛОССАРИЙ...................................................................................
32
ПРИЛОЖЕНИЕ B – УЧАСТНИКИ .................................................................................. 35
ПРИЛОЖЕНИЕ C – ПППИ (FIPPS) ................................................................................ 36
Основные положения
Киберпространство – взаимозависимая сеть
компонентов
информационных
технологий, лежащая
в основе многих наших
коммуникаций, и являющаяся одним из важнейших элементов критической
инфраструктуры
страны. Мы
используем киберпространство
для обмена
информацией, покупки
и продажи товаров и услуг, доступа ко многим онлайн-транзакциям в широком диапазоне
секторов,
как на
национальном, так и
на международном уровнях. Следовательно, безопасность киберпространства
имеет решающее
значение для здоровья
нашей экономики
и безопасности
нашей страны. В
частности, Федеральное Правительство
должно признать
тревожный рост в последнее время онлайн-мошенничеств, хищений личной
информации и информационных
злоупотреблений онлайн.
Одним
из ключевых шагов к снижению
мошенничества
в Интернете и
краж личных данных является
повышение уровня надежности,
связанное с идентификацией в
киберпространстве. Хотя данная
Стратегия
признает значение
анонимности
для
многих
онлайн транзакций
(например,
блоги), для
других видов
сделок (например,
банковское
обслуживание или доступ
к электронной
медицинской
карте) важна
высокая степень уверенности
участников в том, что они взаимодействуют с известными организациями. Поддельные веб-сайты, украденные пароли,
и риск взлома учетных
записей - все это признаки
ненадежности
компьютерной
среды. Данная
Стратегия направлена
на выявление путей
повышения уровня
надежности,
связанного с идентификацией отдельных
лиц, организаций,
служб и
устройств, участвующих в определенных видах онлайн транзакций. Концепцией Стратегии является:
Использование
лицами и организациями безопасных, эффективных и простых в применении
совместимых
решений идентификации для доступа к онлайн-услугам способом,
обеспечивающим надежность, конфиденциальность, возможность выбора и инноваций.
В
частности, Стратегия
определяет и
содействует распространению Identity Ecosystem,
поддерживающей надежную
онлайн среду. Identity
Ecosystem (Экосистема Идентичности, в других переводах Платформа Идентичности) представляет собой интернет-среду, в
которой отдельные
лица, организации, службы и устройства могут доверять друг
другу, потому
что авторитетные
источники установили
подлинность их цифровых
удостоверений.
Identity Ecosystem обеспечивает:
· Безопасность,
путем затруднения доступа
злоумышленников к онлайн транзакциям;
· Эффективность, основанную на удобстве для частных лиц, которые могут
оперировать
меньшим количеством паролей или учетных записей, чем в
настоящее время, и
для
частного сектора,
который получает
выгоду от
сокращения
бумажного
оборота и
процесса организации учета;
· Простота в
использовании,
за счет автоматизированных идентификационных решений, в своем
большинстве основанных
на технологиях, позволяющих работать
с минимальной
подготовкой;
· Уверенность, что цифровые идентификационные удостоверения
надлежащим
образом защищены, предоставляющая большие возможности использования
Интернета для
различных видов
транзакций в
онлайновом режиме;
· Повышение конфиденциальности для частных лиц, которые могут быть
уверены в сохранности своих данных и регулярно информируются о
том, кто имеет
доступ к данным, и для каких целей они используются;
· Большая
возможность выбора, поскольку средства и устройства идентификации предлагаются
поставщиками, использующими
совместимые платформы;
а также
· Возможности
для инноваций, поскольку поставщики улучшают или расширяют услуги,
предлагаемые онлайн, в особенности
те, которые
в своей основе
представляют высокий риск;
Защита
персональных данных и
добровольное
участие являются
основополагающими аспектами Identity Ecosystem. Identity
Ecosystem защищает анонимные стороны, сохраняя их идентификацию в тайне, и
обмениваясь только информацией, необходимой для завершения сделки. Например,
Identity Ecosystem позволяет частному лицу указать свой возраст без раскрытия
даты рождения, имени, адреса и других идентификационных данных. С
другой стороны, Identity Ecosystem поддерживает транзакции,
которые требуют
высокой
надежности идентификации личности участника. Identity
Ecosystem снижает
риск
эксплуатации
информации
в результате несанкционированного
доступа, посредством
методов усиленного контроля
доступа. Наконец,
участие в Identity Ecosystem является добровольным как для частных лиц, так и
для организаций.
Другим основополагающим
аспектом Identity Ecosystem
является
совместимость.
Identity Ecosystem использует
развитые
и совместимые технологии
и процессы
для обеспечения
соответствующего
уровня доверия
между участниками.
Совместимость
поддерживает мобильность,
и позволяет
поставщикам услуг в
рамках Identity Ecosystem принимать цифровые удостоверения на различных
типах носителей
и в разных форматах. Identity Ecosystem не подразумевает
правительство в качестве единственного поставщика идентификации. Напротив,
совместимость дает возможность различным поставщикам государственного
и частного
сектора лично
участвовать в
Identity Ecosystem.
Функциональная
совместимость и защита
конфиденциальности в
совокупности создают ориентированную на пользователя Identity Ecosystem. Ориентированность на пользователя позволит частным лицам
выбирать совместимые учетные данные, подходящие для транзакции. С созданием и
принятием
политики и стандартов повышенной конфиденциальности,
частные лица будут
иметь
возможность передавать
объем информации,
не превышающий
необходимый для
сделки,
если
они не выбрали
иное. Кроме того, такие стандарты будут препятствовать доступу
поставщиков услуг к транзакциям и идентификационным данным частных лиц. Частные лица получат более надежные гарантии
того, что они обмениваются информацией с надлежащей стороной, защищенную
передачу этой информации, и сохранность информации в соответствии с передовой
практикой конфиденциальности.
С принятием во внимание концепции Identity Ecosystem, Национальная Стратегия Доверенной Идентификации в Киберпространстве (NSTIC) определяет следующие цели:
Цель1:
|
Развитие комплексной структуры Identity
Ecosystem
|
Цель 2:
|
Создание и внедрение совместимой
идентификационной среды в соответствии с общими Положениями Identity
Ecosystem.
|
Цель 3:
|
Укрепление
доверия и желания участвовать в Identity Ecosystem
|
Цель 4:
|
Обеспечение
долговременного успеха Identity Ecosystem
|
Первые две цели
сосредоточены на
проектировании и
создании необходимого
управления,
политики,
стандартов и инфраструктуры
для обеспечения безопасности
интерактивных услуг. Третья цель направлена на соответствующую охрану
конфиденциальности, а также на образование и просвещение, необходимое для освоения
Identity Ecosystem частными лицами и организациями. Четвертая цель устанавливает методы
продвижения, непрерывного развития и усовершенствования Identity Ecosystem.
Девять
приоритетных задач соответствуют этим целям и этой концепции. Эти меры являются
основой для внедрения Identity Ecosystem. Задачи:
Задача 1:
|
Назначить
Федеральное Агентство для проведения мероприятий по Продвижению концепции в
общественном и частном секторе, связанных с достижением стратегических целей
|
Задача 2: Задача 3:
|
Разработать
Общий, Всеобъемлющий План Внедрения в Общественном и Частном Секторе
|
Ускорить
Расширение Государственных Услуг, Экспериментальных Проектов и Политики,
соответствующей Identity Ecosystem
|
|
Задача
4:
|
Проводить
работу в Общественном и Частном Секторе, Направленную на Укрепление Защиты
Конфиденциальности
|
Задача
5:
|
Координировать
Разработку и Уточнение Моделей Риска и Стандартов Операционной Совместимости
|
Задача
6:
|
Рассмотреть
Вопросы Ответственности Поставщиков Услуг и Частных Лиц
|
Задача
7:
|
Осуществлять
Пропаганду и Информирование Всех Заинтересованных Сторон
|
Задача
8:
|
Продолжать
Сотрудничество в Международном Масштабе
|
Задача
9:
|
Определить
Другие Средства Адаптации Identity Ecosystem в Масштабе Страны
|
Выполнение
поставленных задач требует от Федерального Правительства продолжения действий
по обеспечению руководства, координации и сотрудничества по повышению
безопасности цифровых удостоверений. Для повседневной координации этих действий
Канцелярия Президента (Executive Office of the President - EOP) назначает
ведущее агентство в рамках Федерального Правительства. Кабинет Координатора по
Кибербезопасности в EOP будет продолжать проводить межведомственную политику
развития, описанную в настоящем плане. Ведущее
Агентство будет работать в тесном контакте с Кабинетом Координатора
Кибербезопасности.
Настоящая
стратегия является призывом
к действию, и в первую очередь Федеральное Правительство должно
выступить в качестве одного из главных вдохновителей, первопроходцев и ключевых
сторонников разработанной Identity Ecosystem. Федеральное
правительство должно
постоянно сотрудничать
с частным
сектором, государственными
и местными системами управления, национальными и международными правительствами, и
обеспечивать
необходимое руководство
и стимулирование
для претворения Identity Ecosystem в реальность. Частный сектор, в свою очередь, имеет
решающее значение для осуществления этой стратегии. Частные лица поймут преимущества, связанные с
Identity
Ecosystem, при
проведении ежедневных
онлайн транзакций
в
киберпространстве. Успех на национальном уровне потребует согласованных усилий
всех
сторон,
а также
акционерной
собственности и
совместной ответственности за указанную деятельность.
Введение
Представьте
себе мир,
где люди могут
беспрепятственно
получать доступ к информации
и услугам через
Интернет из
различных
источников –
правительственных,
частных,
от других лиц,
и даже за пределами
национальных границ – с пониженным риском хищения личных данных
или
мошенничества, с низкой
вероятностью потери
доступа к критически
важным услугам
и данным, и без необходимости
управлять несколькими
учетными
записями и паролями. Физические лица могут проводить широкий спектр
операций
онлайн
и доверять идентификациям
лиц и организаций, с которыми они взаимодействуют.
Частные лица знают, какую информацию собирают о них поставщики услуг, и как они
ее используют. У них есть возможность выбора из
множества различных
видов ориентированных
на пользователя цифровых удостоверений, которыми они управляют, и используют
их для подтверждения своей идентичности в интернете. Они имеют доступ к более широкому спектру онлайновых услуг,
что экономит время и
усилия.
Представьте себе это!
Некто добровольно запрашивает смарт-удостоверение личности в
своем Штате. Он выбирает карту самоидентификации, которую он будет
использовать для различных услуг онлайн, в том числе:
· Покупки
кредитной картой,
· Онлайн-банкинг,
· Доступ
к электронным записям медицинской карты,
· Защищенный
доступ к персональному компьютеру и ноутбуку,
· Анонимное
размещение записей в блоге, и
· Вход
в электронную почту с использованием псевдонима.
|
В этом ориентированном на пользователя
мире,
организации эффективно
ведут
бизнес в сети,
доверяя аутентификации
и идентификации личности,
предоставленной другими лицами,
а также компьютерной
среде, в которой происходят
операции.
Они в состоянии устранить
избыточные
процессы,
связанные со
сбором, управлением, аутентификацией, авторизацией и проверкой
идентификационных
данных. Они снижают потери в результате
мошенничества или кражи данных, благодаря применению типа
идентификации, соответствующего транзакции, и в состоянии предложить дополнительные услуги,
связанные с транзакциями повышенного риска онлайн.
Этот идеальный мир Интернет
находится в
пределах досягаемости, однако, мы должны сначала преодолеть барьеры в текущей среде. Настоящая
стратегия
и связанные с
ней действия
по внедрению направлены на преобразование сегодняшней системы
идентификации до желаемого
целевого
состояния –
Identity Ecosystem. Identity
Ecosystem объединяет
участников
сделки и
совместимую инфраструктуру для внедрения надежных цифровых удостоверений.
Identity Ecosystem представляет
собой интернет-среду, в которой отдельные лица, организации,
службы и устройства
могут доверять
друг другу, благодаря надлежащей идентификации и аутентификации.
Текущие
перспективы
Соединенные Штаты становятся все более зависимыми от взаимосвязанности
сети Интернет,
обеспечивающей мгновенный доступ к информации и услугам. Однако выгоды
от предоставления услуг онлайн
не даются без усилий. Перед государством встала проблема приобретающих все более изощренные формы угроз в отношении
персональной, финансовой и конфиденциальной информации
организаций и
частных лиц. Мошеннические операции
в банковской
сфере, розничной торговле и других секторах, наряду с
вторжением
в критическую
инфраструктуру страны,
к активам,
которые необходимы для функционирования
нашего общества
и экономики (коммунальные
услуги, транспорт,
финансовые и
т.д.) стали
слишком
обыденными.
Поскольку все
больше коммерческих
и государственных услуг
стали
доступны в
Интернете, количество
высокочувствительных
и финансовых
данных,
передаваемых через
Интернет, постоянно
растет. Следовательно,
вероятность
потерь,
связанных с хищением данных и
коррупцией, мошенничеством и нарушениями конфиденциальности, также
увеличивается.
Хотя общая сумма потерь из-за онлайн мошенничеств
и киберпреступлений
трудно поддается
количественной оценке, несколько исследований иллюстрируют масштабы этой проблемы:
· В
Докладе об Интернет Преступлениях 2009 г. говорится: «С 1 января 2009 г. по 31
декабря 2009 г, в Центр Исков по Интернет Преступлениям (IC3), через вебсайт поступило 336,655 исков. Это на 22.3% больше по сравнению с 2008 г.…сумма
потерь в долларовом эквиваленте по указанным искам составила $559.7 миллионов…по
сравнению с $264.6 миллионами в 2008.»1
· В 2004 году, по оценкам
Исследовательской
службы Конгресса, экономический
ущерб от кибер-краж составил
46 миллиардов
долларов.2
· Киберспэйс
Полиси Ревью заявил, что «Оценка потерь в
промышленности в результате хищений данных интеллектуальной собственности в
2008 г. достигает около 1 триллиона долларов»3
Более
10 миллионов
американцев4 также становятся
жертвами хищений
личных данных каждый
год. Расходы на эти преступления
выходят за рамки
финансовых
потерь и
включают другие затраты,
связанные с
восстановлением идентичности.
Исследование Федеральной Торговой Комиссии
показало, что жертвы
кражи личных
данных могут
потратить до
130
часов
на восстановление
своей
идентификации (например,
кредитного
рейтинга, банковских счетов, репутации и т.д.), вследствие «идентификационного
преступления».5
Существуют
различные причины
Интернет-мошенничеств
и краж личных
данных, приведенных в статистике выше. Устаревшее программное обеспечение, небезопасные настройки просмотра веб-страниц,
или отсутствие
соответствующих
систем антивирусной
защиты - все
это подвергает риску компьютерные системы. Преступники и злоумышленники
часто используют
слабые
идентификационные решения
для частных лиц,
веб-сайтов, электронной почты и
инфраструктуры, используемой
в интернете. Практикуемая
некачественная идентификация,
аутентификация и
авторизация в результате этих идентификационных решений находится в центре
внимания настоящей
Стратегии.
Кроме
того, Интернет среда сегодня не ориентирована на пользователя; частные лица,
как правило, в малой степени контролируют свою собственную информацию. У них
ограниченная возможность использовать один цифровой идентификатор в нескольких
приложениях. Они также сталкиваются с возрастающей сложностью и неудобствами,
связанными с управлением большим количеством учетных записей пользователей,
паролей и других личных авторизаций, необходимых для получения услуг в режиме
онлайн от различных организаций. Совокупность идентификационной информации,
связанной с несколькими поставщиками и учетными записями, обусловливающими размещение
личной информации в растущих социальных сетях, увеличивает возможности потери
данных. Так, личные
данные, используемые для восстановления потерянных паролей (например, девичья
фамилия матери, имя первого домашнего животного, и т.д.), часто публично
доступны.
В некоторых случаях, поставщики услуг
способны удовлетворить потребительский спрос на онлайн услуги, но они
предоставляют недостаточные гарантии идентификации. Поставщики услуг также
считают некоторые весьма востребованные услуги, которые могли бы повысить
эффективность и экономию, слишком рискованными для предоставления онлайн. В целях удовлетворения спроса на онлайн услуги без ущерба
для безопасности, Соединенные Штаты должны усовершенствовать стандарты,
связанные с доверенной идентификацией в киберпространстве.
1 “2009 Internet Crime Report.” Internet Crime Complaint
Center. IC3. 12 Mar. 2010. Web. 2 Jun. 2010.
<http://www.ic3.gov/media/annualreport/2009_IC3Report.pdf/>.
2 Congressional Research Service, Report to House
Committee on Homeland Security, 2004.
<
http://www.cisco.com/warp/public/779/govtaffairs/images/CRS_Cyber_Attacks.pdf>
3 “Cyberspace Policy Review.” The White
House. The White House. May 2009. Web. 2 Jun. 2010.
<http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf/>.
4 United States. Department of Justice. Office of the
Inspector General. The Department of Justice’s Efforts to Combat Identity
Theft. Mar.
2010. Web. 2 Jun. 2010.
<http://www.justice.gov/oig/reports/plus/a1021.pdf/>
5 Federal Trade Commission. Federal Trade Commission –
2006 Identity Theft Survey Report. Nov. 2007. Web. 2 Jun. 2010.
<http://www.ftc.gov/os/2007/11/SynovateFinalReportIDTheft2006.pdf
Контекст
Стратегия направлена на поиск путей создания и
поддержания надежных цифровых удостоверений – ключевого аспекта повышения
безопасности онлайн транзакций. Интернет транзакции – это электронные
коммуникации между двумя или более сторонами, связанными через Интернет с
помощью сетей, систем и компьютеров. Идентификация, аутентификация и авторизация этих сторон в рамках
отдельно взятой транзакции подразумевают надежность. Частные лица, организации,
оборудование и программное обеспечение участвуют в онлайн транзакциях, поэтому
внимание к идентификации, аутентификации и авторизации каждого из участников
имеет первостепенное значение.
Представьте себе это!
Электрооборудование
удаленно управляет программным обеспечением Smart Grid, подключенным к счетчику
электроэнергии. Доверенные
аппаратные
модули и
безопасная
аутентификация между
энергетической
компанией и
счетчиком
предотвращает
подключение мошеннических
счетчиков для
кражи электроэнергии,
обеспечивает правильность аппаратной и программной конфигурации и ограничивает работу программного
обеспечения только нужным счетчиком. Кроме того, можно быть уверенным, что
инструкции и периодическое обновление программного обеспечения поставляются
на счетчик доверенной энергетической компанией. Эти надежные взаимодействия
уменьшают угрозу мошеннической деятельности и внедрения вредоносного ПО в
Smart Grid.
|
Эта стратегия направлена на
операции с участием частного сектора, частных лиц и правительств. Она предполагает
международный характер многих операций. Она также учитывает текущие мероприятия
государственного и частного сектора в области доверенной идентификации, и основывается
на них, применяя их для онлайн услуг на крупных национальных и глобальных
форумах.
Многие другие усилия в сфере кибербезопасности влияют на
надежность онлайн транзакций; доверенная идентификация – это только их часть. Эти альтернативные
усилия по достижению кибербезопасности (которые не входят в рамки настоящей
Стратегии) включают в себя обеспечение кибер цепи питания, обнаружение и анализ
вредоносных программ, гарантийное программное обеспечение и управление
конфигурацией. Стратегия признает, что доверенная цифровая идентификация
является частью общей концепции безопасности, имеющей множество аспектов. Сами
по себе, проверенные цифровые идентификаторы не могут решить все проблемы безопасности,
связанные с онлайн транзакциями, но в то же время они играют важную роль в
общем укреплении этой безопасности.
Идентификационные аспекты защиты
онлайн транзакций являются подгруппой общей сферы управления идентификацией.
Стратегия прямо не касается вопросов идентификации и надежности в реальном
мире. Однако, идентификационные решения в онлайн и оффлайн среде могут и должны
дополнять друг друга.
Наконец, Стратегия не выступает
за создание государственного удостоверения личности. Напротив, стратегия
направлена на создание Identity Ecosystem поставщиков совместимых
идентификационных услуг и доверенных сторон, где отдельные лица имеют возможность
выбора между использованием различных учетных данных или одного цифрового
удостоверения для различных типов онлайн транзакций. Частным лицам должна быть предоставлена
возможность выбора в получении удостоверений учетных данных у поставщиков
государственного или частного сектора, и они должны быть в состоянии
использовать эти удостоверения для транзакций, требующих различного уровня
гарантий в различных секторах (например, здравоохранение, финансовые и
социальные транзакции).
Развитие
Национальной Стратегии
В знак признания далеко идущих
последствий кибер угроз для экономики нашей страны, общества, правительства и
важнейших объектов инфраструктуры, EOP призвал к объединенным усилиям
государственного и частного секторов по усовершенствованию безопасности в сети. Совсем недавно, в президентском
докладе обзора киберполитики было заявлено:
Федеральное правительство, в сотрудничестве с
промышленным и гражданским обществом, а также частными объединениями, должно
построить концепцию управления идентификациями и национальную стратегию,
основанную на кибер безопасности, и включающую комплекс мер, в том числе технологии
повышения конфиденциальности. Федеральное правительство
должно взаимодействовать с гражданами посредством множества информационных,
сервисных и поощрительных программ и, тем самым, быть в равной мере
заинтересованным в защите частной информации. 3
Эта рекомендация касается не только деятельности
Федерального Правительства, но и деятельности государства в целом, учитывая как
государственные, так и частные интересы. Роль государства заключается в решении проблем безопасности и
экономических потребностей своего народа. Поэтому, в Белом доме решено, что Федеральное
Правительство будет играть ведущую роль в разработке стратегии по борьбе с
этими угрозами. Федеральное Правительство уже многого достигло в решении
проблемы доверенных цифровых удостоверений. Например, продолжающаяся работа по
исполнению Федерального Оперативного Плана Управления Доступом и Учетными Данными
(FICAM)6 является
показателем прогресса. Настоящая Стратегия направлена на ускорение этих
мероприятий и распространения доверенных цифровых удостоверений за пределами
федеральных границ и в национальном домене.
Работая в тесном сотрудничестве с частным сектором
посредством восемнадцати критических инфраструктур и ключевых ресурсных
секторов, и охватывая около семидесяти различных заинтересованных групп,
межведомственная творческая группа разработала Национальную Стратегию
Доверенной Идентификации в Киберпространстве. Эта творческая группа разработала
Стратегию в течение приблизительно 12 месяцев, с октября 2009 по октябрь 2010.
Организация
Национальной Стратегии
Организация остальных разделов Стратегии
состоит в следующем:
· Руководящие
принципы - устанавливает принципы, которые эта Стратегия должна отстаивать для
достижения успеха. Руководящие
принципы являются необходимой характеристикой Identity Ecosystem.
· Концепция
и преимущества - представляет всеобъемлющую концепцию той картины, на
достижение которой направлена Стратегия, наряду с подробной информацией об Identity
Ecosystem и ее преимуществах для физических лиц, частного сектора и
Правительства.
· Цели и задачи
- определяет, что намерена осуществить эта Стратегия.
· План Высоко
Приоритетных Действий - представляет важнейшие мероприятия, которые составляют
основу реализации Целей и Задач Стратегии.
· Заключение –
представляет собой резюме Стратегии и призыв к действию государственного и
частного секторов.
Руководящие
принципы
Руководящие принципы формируют основу для всех целей,
задач и действий Стратегии. Руководящие принципы отвечают на вопрос: Каковы
основные характеристики решений, поддерживающих Доверенные Идентификации в
Киберпространстве?
Идентификационные
Решения будут Безопасными и Гибкими
Решения по защите идентификаций от взломов и
злоупотреблений имеют первостепенное значение. Серьезное шифрование, использование открытых и хорошо
проверенных стандартов безопасности, а также наличие контроля процессов
безопасности крайне важны для надежности идентификационных решений. Идентификационные
решения должны предусматривать такую встроенную защиту, которая бы обнаруживала
и предотвращала вторжения, коррупцию и
нарушения в максимально возможной степени.
Идентификационные решения должны быть устойчивыми, иметь
возможность восстановления и адаптации к неожиданным или коренным изменениям.
Они должны быть приспособлены к своевременному восстановлению после
произошедших разрушений и должны обладать высокой степенью адаптации к
динамическому характеру технологий. Стойкость к потерям данных, взломам или
кражам имеет решающее значение для обслуживания во время и после разрушений.
Инфраструктура безопасности должна предотвращать неавторизованные транзакции
лицами или организациями. Способность поддерживать стабильную систему защиты повышает
вероятность восстановления и предоставляет ценную возможность извлечения уроков
для будущих усовершенствований.
Идентификационные Решения будут Совместимыми
Представьте себе это!
Веб-сайт
онлайнового аукциона устанавливает правило, по которому он будет принимать
подтвержденные цифровые удостоверения. Аукцион побуждает частные организации и отдельных лиц принять
участие, предлагая одноразовые скидки на обслуживание, связанные с покупками
на аукционе, и принимая разнообразные виды цифровых удостоверений и
идентификаций.
|
Совместимость поощряет поставщиков услуг принимать
разнообразную учетную и идентификационную информацию, подобно тому, как
банкоматы принимают к оплате кредитные и дебетовые карты различных банков.
Совместимость поддерживает портативность идентификаций, позволяя людям
использовать различные удостоверения для предъявления своих цифровых
идентификаторов провайдерам различных услуг.
Данный принцип признает два идеала совместимости внутри Identity
Ecosystem:
1.
Она будет включать стандартизированные, надежные
средства аутентификации и идентификации в широком использовании; и
2.
Если частное лицо, устройство или программное
обеспечение предоставляет действительное и надлежащее удостоверение, любая
квалифицированная доверенная сторона может принять удостоверение в качестве
авторизации и подтверждения личности.
Чтобы
достичь этих идеалов, идентификационные решения должны разрабатываться с учетом
множества федераций, в пределах традиционных географических границ. Федеральная
идентификация позволяет организациям принимать и доверять внешним
пользователям, заверенным третьей стороной.
В пределах Identity Ecosystem люди будут иметь возможность проводить
онлайн операции через провайдеров различных услуг, равно как и через идентификационные
федерации. Идентификационные решения достигают масштабности, когда все
участники различных федераций принимают единый комплекс стандартов, требований
и правоприменительных механизмов для безопасного обмена цифровой
идентификационной информацией, в результате проверки подлинности между
федерациями.
Существуют три типа требований
совместимости для идентификационных решений:
·
Техническая
совместимость – Возможность
взаимодействия и обмена данными между разными технологиями, основанная на
хорошо определенных и широко распространенных стандартах интерфейса.
·
Семантическая совместимость – Способность
каждой стороны к передаче данных и понимание принимающей стороной смысла
сообщения, подразумеваемого отправляющей стороной.
·
Совместимость политики – Общие деловые
правила и процессы (например, проверка идентичности и подлинности), связанные с
передачей, получением, и принятием данных между системами, поддерживаемые
правовой базой.
Наконец, Identity
Ecosystem будет поощрять использование идентификационными решениями неимущественных стандартов для
обеспечения совместимости. Кроме
того, идентификационные решения будут модульными, что позволит провайдерам
услуг создавать сложные системы идентификации, используя меньшее количество
более простых подсистем. Это повышает гибкость, надежность и возможность
повторного использования этих систем, и привносит простоту и эффективность в
управление изменениями, поскольку поставщики услуг могут добавлять и удалять
компоненты, без необходимости глобальных обновлений.
Идентификационные
Решения будут Защищающими Конфиденциальность и Добровольными для Публики
В
реальном мире существуют сложности в области защиты личной конфиденциальности.
Например, некто может предъявить водительское удостоверение для открытия
банковского счета, посадки в самолет или просмотра кино для взрослых.
Департамент Транспортных Средств не знает обо всех поставщиках услуг,
принимающих водительские права для идентификации. Также для банка, аэропорта и
кинотеатра было бы затруднительно связаться друг с другом и проводить операции
совместно. В то же время, существуют не защищающие конфиденциальность аспекты
этих офлайн операций. Билетеру кинотеатра достаточно знать, что человек достиг
18 летнего возраста. Тем не менее, водительские права раскрывают излишнюю
информацию, такую как адрес или настоящую дату рождения, когда кто-либо
предъявляет ее для удостоверения личности.
В
идеале, идентификационные решения должны сохранить положительные стороны офлайн
операций, избегая при этом их негативных аспектов в отношении
конфиденциальности. Восемь Практических Принципов Достоверности Информации (FIPPs)7 — Прозрачность, Личное
Участие, Уточнение Цели, Минимизация Данных, Ограниченность Использования,
Качество и Надежность Данных, Безопасность, Подотчетность и Контроль — являются широко принятой схемой оценки и предотвращения
нарушений конфиденциальности. Универсальное и комплексное принятие этих восьми
принципов в Identity Ecosystem должно позволить людям понять и сделать
осмысленный выбор в использовании своей персональной информации в
киберпространстве. Принятие этих восьми принципов также гарантирует ограничение
сбора данных организациями, используя и распространяя только относящуюся к делу
необходимую информацию, создавая надлежащую защиту этой информации и неся
ответственность, и будучи подотчетными перед частными лицами в отношении их
конфиденциальной информации.
Всестороннее
внедрение всех восьми принципов в Identity Ecosystem станет ключом к получению
доверенных идентификаций в киберпространстве, являющихся действительно
защищающими конфиденциальность. Например, многие подходы к конфиденциальности
фокусируются на принципах Прозрачности и Личного Присутствия, что включает
обеспечение уведомлений о конфиденциальности и индивидуального выбора. Однако, если эти принципы не сочетаются с
остальными из восьми принципов, вся тяжесть защиты конфиденциальности ложится
на плечи частного лица. Кроме того, Identity Ecosystem, основанная на более
целостном восприятии этих восьми принципов, предоставляет многогранную защиту
частной жизни. Она включает в
себя, например, создание и принятие технических стандартов повышения
конфиденциальности, которые позволяют людям передавать минимальное количество
информации, необходимой для операции. Такая политика и стандарты будут также
минимизировать связь между использованием учетных данных разными поставщиками
услуг.
В случае, когда отдельное лицо принимает решение об
использовании своих данных (ограниченном определенной целью), это решение сообщается
и принимается всеми последующими держателями данных. Кроме того, Identity Ecosystem включает
ограничения на время хранения личных данных организациями, и требует от таких
организаций предоставления частным лицам надлежащей возможности доступа к ней,
ее корректировки и удаления. Identity
Ecosystem также обязывает организации создавать отчетность об использовании и
защите личной информации, которая должна соответствовать применимым стандартам,
законам и правилам.
См.
Приложение C в конце
этого документа для более подробной информации о Практических Принципах Достоверной
Информации.
Добровольное
участие является другим важнейшим элементом данной Стратегии.
Усовершенствованная защита транзакций должна быть добровольной как для
организаций, так и для частных лиц. Федеральное правительство не обязывает
организации внедрять специальные идентификационные решения для предоставления
онлайн услуг, равно как и не обязывает частных лиц получать высокозащищенные
цифровые удостоверения, если они не хотят участвовать в онлайн транзакциях
повышенного риска с помощью правительства или кого бы то ни было. Identity Ecosystem должна охватывать весь
спектр операций, от анонимных, до подразумевающих высокую степень надежности.
Идентификационные Решения будут Экономичными и Простыми в
Использовании.
С точки зрения
пользователя, повышенная сложность и риск управления несколькими учетными данными
снижают удобство онлайн транзакции. Количество и разнообразие услуг требует от
пользователя иметь несколько логинов и паролей, как правило, по одному для
каждого поставщика. Многие требуют
сложного и часто меняющегося пароля, что затрудняет работу и поставщика услуг,
и пользователя. Это также повышает риск взлома логина из-за небезопасного
управления пользователем учетной записью, и повышает вероятность потери
аккаунта.
Представьте себе это!
Некто
использует доверенное цифровое удостоверение, выданное третьей стороной для
доступа к услугам государственной налоговой службы онлайн со своего сотового
телефона. Он просматривает
свою налоговую историю, изменения демографической информации, контролирует
статусы возвратов, и передает свои налоги в электронном виде. И поставщик
услуг, и пользователь могут использовать существующую инфраструктуру
(например, сотовый телефон и службы интернет) для осуществления транзакции.
|
Identity Ecosystem должна устранить эту проблему, как и основные
угрозы безопасности, связанные с ней. Identity Ecosystem будет
распространять федеральные идентификационные решения, и способствовать
сокращению и ликвидации баз, требующих поддержки нескольких видов идентификаций.
Частные лица извлекут выгоду из федеральных идентификационных решений благодаря
сокращению количества необходимых учетных данных, которые они могут
использовать для самых различных поставщиков услуг. Организационные
подразделения выиграют от федеральных идентификационных решений благодаря
сокращению выпуска цифровых идентификаций, локально управляемых или требующих
специального программного обеспечения и технического обслуживания.
Идентификационные решения могут быть выгодны для всех
сторон, отчасти из-за сокращения мошенничеств, затрат на службу поддержки, и
дорогостоящих процессов, требующих бумажного оборота. Кроме того,
идентификационные решения, использующие совместимые инфраструктуры,
способствуют эффективности работы и дальнейшему снижению стоимости внедрения,
тем самым увеличивая потенциальную доходность от инвестиций.
Идентификационные
решения должны быть интуитивно понятны, просты в использовании, и основаны на
технологии, требующей минимальной подготовки. Поставщики услуг должны проводить
исследования на предмет «юзабилити» для оценки легкости в использовании. Многие
из существующих компонентов инфраструктуры, используемые сегодня (например,
сотовые телефоны, смарт-карт, персональные компьютеры) должны применяться для достижения
легкости в использовании, благодаря их широкому внедрению, доступности и открытости.
По возможности, идентификационные решения должны быть "встроенными" в
инфраструктуру для облегчения использования.
Концепция и Преимущества
Описание Концепции
Лица и организации применяют безопасные, эффективные,
простые в использовании и совместимые идентификационные решения для доступа к
онлайн-услугам, способом, обеспечивающим надежность, конфиденциальность, возможность выбора и
инноваций.
Концепция применяется в отношении лиц, предприятий,
некоммерческих организаций, правозащитных групп, ассоциаций и правительств на
всех уровнях. Широкая применимость концепции требует тесного сотрудничества
между частным и государственным секторами. Концепция отражает также
ориентированный на пользователя характер Identity Ecosystem, обеспечивающий
большую прозрачность, защиту конфиденциальности данных, гибкость и возможность
выбора для пользователя. Наконец, концепция включает в себя все руководящие
принципы.
Идентификационные решения, определенные в концепции,
связаны, прежде всего, с технологиями и процессами идентификации (установления уникальных цифровых идентификаторов) и аутентификации (соотнесения лица с
уникальным цифровым идентификатором). Актуальные и подтвержденные данные
обеспечивают основу при принятия решений об авторизации для организаций, предлагающих онлайн услуги.
Identity Ecosystem
Identity
Ecosystem является воплощением концепции. Она представляет собой Интернет-среду,
в которой отдельные лица, организации, службы и устройства могут доверять друг
другу, потому что авторитетные источники установили и проверили подлинность их цифровых
удостоверений. Как и в экосистемах, которые мы находим в природе, она потребует
от разрозненных организаций и отдельных лиц работать вместе и выполнять свои уникальные
роли и обязанности, регулируемые всеобъемлющей системой стандартов и правил. Identity
Ecosystem также допускает анонимность для лиц, пользующихся услугами, которые
не требуют строгой идентификации и аутентификации.
Identity
Ecosystem состоит из трех уровней:
· Уровень Исполнения (Execution Layer) –
осуществляет операции в соответствии с правилами Identity Ecosystem
· Уровень Управления (Management Layer) –
применяет
и обеспечивает
соблюдение правил
для участников Identity Ecosystem
· Административный Уровень (Governance Layer) – устанавливает правила,
необходимые для функционирования
в рамках
Identity Ecosystem.
Компоненты
Identity Ecosystem
Уровни Identity Ecosystem определяют участников, правила,
процессы и технологии, необходимые для обеспечения доверенной идентификации,
аутентификации и авторизации в самых разнообразных видах транзакций.
Ниже перечислены различные участники Identity Ecosystem. Важно отметить, что
одна организация не должна выполнять каждую из этих функций, более вероятно,
что организация предоставляет услуги, включающие множество ролей.
· Частное лицо (Individual)- это
лицо, участвующее в онлайн транзакции. Цифровая
идентификация - набор атрибутов, представляющий человека в сделке.
· Не физические лица - НФЛ (non-person
entity - NPE) могут требовать проверки подлинности в Identity Ecosystem. НФЛ могут быть: организации, оборудование, программное
обеспечение или услуги, которые рассматриваются так же, как лица, находящихся Identity Ecosystem. НФЛ могут участвовать в транзакции или просто
поддерживать ее.
· Частные лица и
НФЛ вместе обозначаются как субъекты
транзакции.
· Поставщик идентификатора – ПИ (Identity Provider - IDP)) несет
ответственность за процессы, связанные с регистрацией субъектов, а также
установление и поддержание цифровой идентификации, связанной с частными лицами
или НФЛ. Эти процессы включают в себя установление и проверку идентичности, а
также отзыв, приостановление и восстановление удостоверения цифровой
идентификации. ПИ отвечает за выдачу цифрового удостоверения – информационного объекта
или устройства, используемого во время операции предоставления доказательств
идентичности субъекта; он может также обеспечить доступ к управлению, функциям,
правам, привилегиям, и другим атрибутам.
· Учетные данные
могут храниться на средстве
идентификации (identity
medium,), которое представляет собой устройство или объект
(физический или виртуальный), используемый для хранения одного или нескольких
цифровых удостоверений, заявлений или атрибутов, связанных с предметом.
Средства идентификации широко доступны в различных форматах, таких как
смарт-карты, чипы безопасности, встроенные в компьютеры, мобильные телефоны,
программное обеспечение, программные сертификаты и USB устройства. Выбор
соответствующих удостоверений зависит от особенностей применения и от
устойчивости к риску участвующих организаций.
· Предъявитель атрибутов - ПА) (Attribute
Provider - AP) несет ответственность за процессы, связанные с установлением и поддержанием
атрибутов идентификации. Поддержание атрибутов включает в себя проверку
подлинности, обновление и отзыв. Атрибутами
называются качества или характеристики, присущие или приписываемые кому-либо
или чему-либо (например, "возраст Джейн – не менее 21 года"). Предъявитель
атрибутов предоставляет проверенные и действительные атрибутивные данные, в
ответ на запрос атрибутов доверенной стороной. В некоторых случаях, субъект
может самостоятельно предоставлять атрибутивные данные доверенным сторонам,
однако, доверенные стороны часто зависят от подтверждения атрибута третьей доверенной
стороной, способной подтвердить верность данных. Проверенные, действительные
атрибуты формируют основу авторизации субъектов доверенными сторонами.
· Доверенная сторона –
ДС (Relying Party -
RP) принимает решения по транзакциям в отношении приема и
подтверждения аутентификационных удостоверений и атрибутов субъекта. В Identity
Ecosystem доверенная сторона выбирает доверенных предъявителей идентификаций,
удостоверений и атрибутов по своему выбору в зависимости от риска и
функциональных требований. Доверенные стороны не обязаны интегрировать все виды
идентификационных средств. Скорее, они
будут доверять подтверждению соответствующим предъявителем идентификации
действительности удостоверения субъекта. Доверенные стороны также обычно должны
подтвердить собственную идентификацию и аутентификацию перед субъектом, что
является частью транзакций в Identity Ecosystem.
· Участники (Participants) - это
коллективные субъекты, доверенные стороны, средства идентификации, поставщики
услуг, и НФЛ в рамках данной транзакции.
· Знак доверия – Трастмарка (Trustmark) – это значок, печать,
изображение или логотип, который указывает на соответствие продукта или услуг
требованиям Identity Ecosystem, определенным управлением аккредитации. Для
поддержания целостности Трастмарки, она должна быть устойчива к фальсификации и
подделке документов, участники должны быть в состоянии проверить ее подлинность
как визуально, так и в электронном виде. Знак доверия представляет собой визуальный
символ, помогающий лицам и организациям в выборе поставщиков и средств
идентификации.
· Положения Identity
Ecosystem (Identity
Ecosystem Framework) - всеобъемлющее множество стандартов
взаимодействия, моделей риска, политики конфиденциальности и ответственности, условий
получения трастмарки и механизмов управления Identity Ecosystem.
Орган управления (Governance Authority) контролирует и поддерживает Положения Identity
Ecosystem, и определяет правила, по которым товарам поставщика услуг или в Identity
Ecosystem присваиваются трастмарки.
Кроме того, орган несет ответственность за сертифицирующие организации,
которые намерены выступать в качестве органов
аккредитации (Accreditation
Authorities.).
Орган Аккредитации (Accreditation Authority) оценивает и подтверждает, что
предъявители идентификаций, атрибутов, доверенные стороны и средства
идентификации придерживаются согласованных Условий
Надежности (Trust Framework).
· Условия Надежности определяют права и
обязанности определенного состава участников Identity Ecosystem, устанавливают
правила, которые регулируют их участие и основные принципы процессов и
процедур, обеспечивающих гарантии. Условия Надежности учитывают уровень риска,
связанного с данной сделкой и ее участниками. В рамках Identity Ecosystem может
сосуществовать множество различных Условий Надежности, поскольку различные
группы участников могут адаптировать их к конкретным потребностям. Однако
участники должны согласовать Условия Надежности с общими Положениями Identity Ecosystem.
Совокупность
этих участников, а также норм и соглашений между ними, формируют основу
доверия, что делает возможным существование Identity Ecosystem. В следующих
разделах приведен функциональный пример онлайн транзакции, использующей
преимущества Identity Ecosystem. Пример рассматривает каждый уровень Identity
Ecosystem и демонстрирует преимущества, связанные с ее усвоением, такие как:
• Доступность новых и инновационных услуг,
• Признание и доверие к учетным данным между различными отраслями и правительствами,
• Усовершенствование конфиденциальности,
• Эффективность процесса, и
• Международная применимость
• Признание и доверие к учетным данным между различными отраслями и правительствами,
• Усовершенствование конфиденциальности,
• Эффективность процесса, и
• Международная применимость
Этот
пример не пропагандирует конкретные технологии или процессы, а, скорее, формулирует
одну из многих возможностей.
Часть 1: Уровень Исполнения
Уровень исполнения – это объединяющая характеристика отдельных лиц,
организаций и НФЛ в их взаимодействии в онлайн транзакции в соответствии с
установленными правилами.
Как показано на рисунке 1, человек может сделать осознанный
выбор, каким доверенным сторонам поручить намеченное на основе их трастмарок.
Когда некто обращается к интернет услугам доверенной стороны, доверенная
сторона может попросить его представить учетные данные и атрибуты для
разрешения запрошенного действия. Доверенная сторона может потребовать проверки
действительности удостоверения учетных данных и связанной цифровой
идентификации этого лица у сертифицированного поставщика идентификаций, и проверку
представленных атрибутов у сертифицированного предъявителя атрибутов.
Пользователь может также предоставлять все подтверждения непосредственно доверенной
стороне посредством технологий повышенной конфиденциальности. Предъявители атрибутов
могут предоставлять значения атрибутов (например, дата рождения до 31 марта,
1974) или границы атрибутов (например, лицо старше 21).
НФЛ, к которым относятся как аппаратное, так и программное
обеспечение, участвующее в транзакции, также требуют строгой идентификации,
аутентификации и авторизации на этом уровне. Как и физические лица, НФЛ должны
иметь цифровую идентификацию, управляемую поставщиком идентификаций, и они
могут иметь атрибуты, управляемые предъявителем атрибутов. На рисунке 1 частные
лица, организации, оборудование, программное обеспечение и данные аутентифицируются
доверенной стороной. Доверенная сторона должна также засвидетельствовать
подлинность этих субъектов.
Рассмотрим ситуацию, в которой женщина запрашивает
медицинскую информацию из больницы, которую недавно посещал ее муж. Она хотела
бы узнать результаты его последнего анализа крови на сайте больницы. Больница
требует, чтобы любые такие просьбы проходили проверку подлинности с
использованием строгих учетных данных. Кроме того, больница требует согласия
пациента на предоставление личной медицинской информации физическим лицам.
Женщина имеет доверенность для выполнения этой операции в Интернете с помощью
своего мобильного телефона, потому что все участвующие стороны используют трастмарку,
которая означает, что они придерживаются Положений Identity Ecosystem. Она располагает
возможностью провести эту операцию с минимальным обменом персональной
информацией, так как больница (Довереная Сторона, или ДС) требует от нее ее раскрытия
информации, необходимой только для завершения сделки, а органы управления ее
учетными данными (Поставщик Идентификации, или ПИ) и заверяющая инстанция
пациента (Провайдер Пациента, или ПП) располагают идентификационными данными ДС
только в рамках необходимости.
Рисунок
1: Уровень Исполнения
G
MM
Учетные данные
Опции
Верхний левый угол: Частные лица, Организации, Аппаратное и
программное обеспечение, данные
Верхний правый угол: ПА (Предъявитель атрибутов) Атрибуты
Левый нижний угол: ДС (Доверенные стороны)
Правый нижний угол: ПИ (Поставщик идентификации)
 |
Женщина
переходит на сайт больницы для просмотра результатов анализов мужа. Сайт
предъявляет ей свою аутентифкацию, так что она может убедиться, что зашла на нужный
ей сайт и не передает информацию самозванцам. Для транзакций такого уровня
риска, больницы требуют от физических лиц аутентификации с использованием строгих
учетных данных. Женщина имеет сертификат Инфраструктуры Открытых Ключей (Public
Key Infrastructure - PKI), выданный ей ее оператором сотовой связи (который также является
ее ПИ). Сертификат хранится на ее сотовом телефоне и связан с ее цифровым
удостоверением. Мобильный телефон содержит Модуль Доверенной Платформы (Trusted
Platform Module - TPM), который используется для аутентификации мобильного
телефона. Женщина подключает свой сотовый телефон к компьютеру через кабель USB
для проведения аутентификации. Больница проверяет достоверность учетных данных,
цифровой идентификации и мобильного телефона. Затем больница получает от
источников поликлиники, где обслуживался муж (ПА), его подтверждение, что его
жена может иметь доступ к его записям. Используя подтверждение клиники в
качестве доказательства разрешения доступа, больница открывает жене просмотр
результатов анализов.
НФЛ в Identity Ecosystem имеют встроенные программы идентификации
и аутентификации, поддерживающие процессы онлайн транзакций. В примере, провайдеры
Интернет услуг участника (ПИУ) и больничная сеть используют протоколы: Border
Gateway Protocol Security (BGPSEC), Internet Protocol Security (IPsec), и
систему доменных имен модуля безопасности (DNSSEC) для проверки сетевого
трафика и данных транзакций. Разработчик программного обеспечения, используемого
больницей для отображения медицинской информации, снабдил программное обеспечение цифровой подписью. Владельцы
и операторы инфраструктуры применяют эти технологии без необходимости оповещать
женщину об их существовании или методах их использования, в то же время она пользуется
преимуществами повышения достоверности сообщений и данных при операциях в
интернете, поддерживаемых этой инфраструктурой.
Весь этот процесс выполняется быстро; все
автоматизированные процессы, от первого клика до получения результатов анализов
совершаются со скоростью интернета.
Часть 2: Уровень управления
Уровень управления – это место, где
отдельные лица и НФЛ приобретают, по крайней мере, одно удостоверение учетных
данных для работы в Identity Ecosystem, и связаны как минимум с одним
поставщиком идентификаций. Лицо, действующее в рамках Identity Ecosystem,
получает цифровое удостоверение учетных данных от провайдера идентификации, прежде
чем он или она будет проводить операции в Интернете. Поставщики идентификаций
проверяют физическое соответствие субъекта и убеждаются в том, что их цифровая
идентификация точно отражает реальное лицо или НФЛ. Затем поставщики
идентификаций соотносят удостоверение учетных данных субъектов с их цифровой
идентификацией. Наконец, они обеспечивают проверку идентичности доверенных
сторон, принимающих удостоверение учетных данных. Аналогично, предъявители
атрибутов будут подтверждать, соотносить
и утверждать атрибутивную информацию о субъекте.
Рисунок 2: Уровень управления
Субъекты
|
||||
Частные лица
|
обращения
|
Поставщик
идентификации
|
обслуживание
|
Атрибуты
подтверждены
|
Аппаратное и
программное обеспечение
|
Идентичность
подтверждена
|
|||
Организации
|
обращения
|
Предъявитель
атрибутов
|
обслуживание
|
Полномочия
подтверждены
|
Данные
|
В
случае операции в больнице описанной выше, у женщины должно было быть уже
утвержденное и поддерживаемое сертифицированное удостоверение, признаваемое
госпиталем для получения доступа к онлайн услугам.
Кроме того, обслуживающая клиника ее мужа
подтвердила и засвидетельствовала соответствующие атрибуты в форме разрешения
ее мужа на раскрытие медицинской информации.
Она
подтвердила свою цифровую идентификацию, когда подписывалась на сервисный план
своего провайдера мобильной связи. Провайдер мобильной связи засвидетельствовал
ее идентичность на основе стандартов цифровой идентификации, и выдал ей
удостоверение на ее мобильный телефон, который она может использовать в рамках Identity
Ecosystem. Когда ее муж подписывал согласие, он указал ее имя и ее номер
телефона. Больница получила Расширенный Подтверждающий Сертификат для своего
вебсайта, чтобы люди могли знать, что вебсайт не фальсифицирован. Кроме того, госпиталь защитил цифровой
подписью свое программное обеспечение, для предотвращения неавторизованных
модификаций своих услуг. Разработчики программного обеспечения, провайдеры и
администраторы центра обработки данных больницы получили закодированные подписи
цифровых удостоверений и используют протоколы BGPSEC, DNSSEC, and IPSEC.
Часть 3: Административный Уровень
Административный
Уровень позволяет несвязанным лицам доверять цифровым удостоверениям друг друга.
Орган управления будет устанавливать критерии оценки и сертификации органов аккредитации,
которые, в свою очередь, оценивают и сертифицируют поставщиков услуг. Кроме
того, Орган управления контролирует правила для трастмарок, идентифицирующих
поставщиков услуг в качестве участников Identity Ecosystem. Положения Identity
Ecosystem обеспечивает всеобъемлющие стандарты и законы, которые регулируют
конкретные Условия Доверия. Условия Доверия
представляют собой специальные требования, связанные с определенным набором
участников и операций в Identity Ecosystem.
Оценка и проверка услуг, предлагаемых органами
аккредитации, устанавливает выполнение поставщиками услуг Identity Ecosystem
правил, согласованных в рамках Условий Доверия. После успешной проверки, орган
аккредитации выдает поставщику трастмарку, подтвердив наличие соответствующих
механизмов. Прежде чем любой из участников, за исключением физических лиц,
может присоединиться к Identity Ecosystem, он должен пройти сертификацию в органе
аккредитации. Такая процедура оценки и применение трастмарок укрепляют доверие
между всеми участниками Identity Ecosystem.
В
случае транзакции на сайте больницы, описанной выше, Условия Доверия были
управляющим звеном в отношениях между госпиталем, оператором сотовой связи,
поликлиникой и частным лицом. Эти Условия Доверия были основаны на всеобъемлющих
стандартах Положений Identity Ecosystem.
Используя Условия Доверия как руководящий принцип, орган
аккредитации должен был сертифицировать каждого поставщика. Госпиталь сначала
должен был запросить сертификацию, чтобы иметь право запрашивать и принимать
идентификационные удостоверения от сертифицированных компаний, таких как
мобильный оператор.
Точно так же, орган аккредитации оценил и сертифицировал
оператора мобильной связи как поставщика идентификации. Поликлиника также подверглась проверке как
предъявитель атрибутов. Каждый из этих провайдеров получил трастмарку на основе
сертификации. В результате, все участники Условий Доверия были в состоянии
предоставить качественные онлайн услуги физическому лицу безопасным и удобным способом.
Рисунок 3: Административный Уровень
Верхний овал: Органы
Управления
Стрелка:
Управляют на основе Положений Identity Ecosystem
Нижний овал:
Услуги Аккредитации, Оценки и Подтверждения.
Стрелка вверх:
Обращение
Стрелка вниз:
Сертификация на основе Условий Доверия
Провайдеры: ДС (Доверенные стороны) ПИ (поставщик
идентификации) ПА (предъявитель атрибутов)
Обобщение Характеристик Identity Ecosystem
Принимая во внимание все эти уровни, Identity
Ecosystem будет обладать следующими характеристиками:
•
Частные
лица и организации выбирают провайдеров и способ проведения безопасных
транзакций. Доверенные стороны определяют требования аутентификации, в том
числе типы удостоверений учетных данных и атрибутов, основанные на оценке
приемлемого риска для конкретной транзакции или типа транзакции. Пользователь, исходя
из своих предпочтений, выбирает провайдера идентификации, удостоверения и
атрибутов, а также типы и количество удостоверений, которыми он или она
обладает на основе требуемых характеристик конфиденциальности. Кроме того, лицо
или организация может выбрать несколько услуг в рамках Identity Ecosystem.
•
Участники
могут доверять друг другу и быть уверены, что их транзакции безопасны. При
необходимости, провайдеры идентификаций аутентифицируют участников, вовлеченных
в транзакцию, предоставляя доверенные идентификации для поддержки создания
различных интернет сообществ, способами, не доступными сегодня. Соответствующие
модели оценки риска обеспечивают гибкость для доверенных сторон при установке критериев
подлинности, основанной на балансе между безопасностью, рисками, удобством,
конфиденциальностью и простотой использования. Такой подход позволяет
участникам адаптироваться к требованиям транзакции (например, конфиденциальность,
целостность данных и системы, целостность содержания и дизайна сайта,
доступность и производительность). Поставщики идентификации также соответствующим
образом определяют и аутентифицируют базовую инфраструктуру, связанную с
операцией, укрепляя тем самым доверие.
•
Физические лица могут осуществлять
операции онлайн с множеством организаций без ущерба для конфиденциальности. Физические лица могут осуществлять
сделки с несколькими организациями в соответствии с желаемым уровнем
конфиденциальности. Пользователь может выбрать использование защищенных учетных
данных для анонимного входа или входа под псевдонимом, не обязательно раскрывая
все свои данные. Организации защищают неприкосновенность частной жизни путем
применения правил и этики обмена информацией, обеспечивая при этом защиту
идентификационных данных, предоставляемых поставщиками услуг. Кроме того, люди
будут иметь возможность запрашивать, получать, изменять и редактировать личную
информацию.
•
Идентификационные
решения просты в использовании для физических лиц и эффективны для поставщиков. Identity
Ecosystem приносит удобство пользователям и простоту благодаря опыту
аутентификации, который снижает необходимость входа в систему с использованием
различных учетных данных для различных доверенных сторон. Identity Ecosystem
снижает избыточные процессы проверки идентичности, аттестации и управления
счетом, благодаря новым отношениям доверия и распределения услуг.
· Идентификационные решения являются
модифицируемыми и развиваются с течением времени. Идентификационные решения
совместимы с использованием модульных компонентов и четко определенными и
общепринятыми спецификациями интерфейса. Такая среда позволяет провайдерам
услуг обновление или замену компонентов без воздействия на остальную Identity
Ecosystem. Лучшие практики и руководящие принципы являются гибкими и
развиваются в направлении адаптации к меняющейся системе технологий,
безопасности и конфиденциальности.
Преимущества Identity
Ecosystem
Значимость предложений для отдельных
лиц, частного сектора и правительства в Identity Ecosystem тесно взаимосвязана.
Иными словами, широкое распространение среди этих групп увеличит выгоды для
всех сторон, участвующих в Identity Ecosystem. На национальном уровне ценность
предложения очевидна. Наша экономика и существенные компоненты критической
инфраструктуры нашей страны сильно зависят от Интернета. Любые действия,
которые повышают безопасность киберпространства, также положительно влияют на
наше положение в сфере национальной безопасности и стабильность нашей экономики.
Преимущества для Физических
Лиц
Люди всех возрастов используют Интернет с разными целями и с
разной степенью технических навыков. Эта стратегия признает, что люди ожидают
безопасной и простой в использовании интернет среды, которая включает
конфиденциальность и безопасность, и не создает чрезмерных сложностей для
физических лиц. Следовательно, сосредоточенность на пользовательских элементах
управления и опыте имеет первостепенное значение для успешного выполнения этой
Стратегии. Преимущества Identity Ecosystem для физических лиц включают в себя:
· Безопасность. Поставщики защищают данные, в частности,
данные относящиеся к цифровой идентификации человека, используя встроенные
технологии и процессы, которые являются общедоступными, понятными, и развиваются для защиты интересов человека. Безопасность совершенствуется
благодаря надежной идентификации и аутентификации сторон проводимой сделки –
как физических, так и не физических лиц.
Представьте себе это!
Некто узнает о новом и более безопасном
способе доступа к онлайн услугам с помощью защищенного удостоверения цифровой
идентификации, предоставляемого надежным поставщиком услуг. Он узнает, что
его оператор мобильной связи, банк, и местные органы власти будут предлагать
удостоверения, которые будут использоваться при работе на его персональном компьютере.
После дальнейших исследований он обнаруживает также, что его поставщик услуг
электронной почты, сайт социальной сети, поставщик медицинских услуг, и
местные коммунальные службы используют защищенные удостоверения. Он
размышляет о своем выборе и выбирает поставщика учетных данных, предлагающего
ему наибольшие личные удобства.
|
· Эффективность. Физические лица получают доступ к
большему количеству онлайн услуг с расширенным спектром операций, экономя время
и увеличивая производительность.
· Простота в использовании. Применяемые решения интуитивно понятны,
доступны и широко распространены. От частных лиц не требуется создавать разные
пароли для каждой онлайн услуги.
· Надежность.
Усовершенствованные идентификационные решения снижают страх перед мошенничествами,
связанными с кражей личных данных или злоупотреблениями. Пользователи чувствуют
себя комфортно, проводя деловые операции онлайн и добровольно участвуя в онлайн
транзакциях.
· Конфиденциальность. Поставщики не собирают, не используют и
не передают личную информацию без необходимости, защищают данные от случайного
или несанкционированного раскрытия когда бы то ни было. Кроме того, на личные
данные не остается ссылок у поставщика услуг, кроме тех случаев, когда это
необходимо.
· Возможность выбора. Пользователи
могут выбирать из множества вариантов поставщиков услуг и цифровых
удостоверений. Физические лица могут также выбирать для участия операции всех
видов – как анонимные, так и требующие проверки идентичности, с использованием
одних и тех же или разных удостоверений.
Преимущества для Частного Сектора
Частный сектор включает в себя предприятия,
некоммерческие, неправительственные организации, правозащитные группы и
ассоциации. Эта Стратегия расширяет способность частного сектора быть гибким, инновационным
и реагировать на динамику рынка. Стратегия поддерживает усилия частного сектора
по обогащению опыта пользователей в области онлайн транзакций. Стратегия также наделяет
частный сектор гибкостью в определении типа учетных данных и атрибутов, необходимых
для его клиентов. Она признает, что преимущества для частного сектора будут
меняться в зависимости от роли организации в Identity Ecosystem (например, в
качестве поставщика услуг или доверенной стороны).
Частный сектор
может многого достичь в результате принятия Identity Ecosystem. Преимущества
включают в себя:
· Безопасность. Улучшенные идентификационные решения
снизят потери, связанные с мошенничеством, и будут лучше защищать
интеллектуальную собственность и конфиденциальную информацию, передаваемую
сторонами. Сотрудничество с Identity Ecosystem может помочь обеспечить защиту торговой марки.
· Эффективность. Последовательность и точность
проверки цифровых удостоверений повышает производительность, например,
сокращение бумажных процессов и расходов на обслуживание, связанных с
управлением учетной записью и поддержкой пароля. Это увеличение
производительности может повысить акционерную стоимость и
конкурентоспособность.
Представьте себе это!
Энергетическая компания
является партнером с новым поставщиком идентификаций, использующим
инновационные технологии, чтобы расширить свои услуги управления энергетикой.
Обе компании являются обладателями трастмарки. Используя смарт-карту,
эмитированную провайдером идентификации (а также используемую для доступа к
другим онлайн услугам по выбору), частное лицо получает доступ на сайт
энергетической компании, чтобы просмотреть свой состояние потребления энергии
в своем доме. Сайт позволяет пользователям узнать количество потребляемой
энергии устройствами с высоким расходом электроэнергии, такими, как
холодильники, микроволновые печи и духовки. Пользователь замечает, что
потребление электроэнергии устройством стало превышать норму, и
следовательно, возможно, оно требует замены или ремонта.
|
· Надежность. Воплощение
концепции снижает риск нарушений безопасности, тем самым повышая доверие
частного сектора и его партнеров к онлайн транзакциям. Лица и организации
разделяют понимание рисков и могут принимать соответствующие решения.
· Конфиденциальность. Identity Ecosystem снижает
сложность управления и обслуживания персональных данных сотрудников или
клиентов, тем самым уменьшая риск нарушений секретности.
· Инновации. Внедрение Identity
Ecosystem создает новые рыночные возможности в виде новых и инновационных
услуг, в частности операций, связанных с высоким риском и ориентированных на
пользователя. Организации, первыми внедрившие систему, могут использовать
инновационные решения в рамках Identity Ecosystem для дифференциации своих
брендов на рынке.
Преимущества для
Правительства
Все уровни власти (т.е., федеральная, государственная,
местная и национальная) имеют возможность выступать качестве лидера в реализации
Identity Ecosystem. Стратегия признает, что безопасность онлайн транзакций
является проблемой общественной безопасности, и правительство должно быть
задействовано в помощи участникам онлайн транзакций. Преимущества правительства
включают:
Представьте себе это!
Крупная национальная катастрофа на
береговой линии и призывы о помощи вызывают приток групп экстренного
реагирования на место аварии. Федеральное агентство может обмениваться
информацией и давать директивы государственным и местным органам власти,
коммунальным службам, и службам экстренного реагирования по всей стране о
событиях на месте происшествия. Каждый участник обмена информацией использует
учетное удостоверение, выданное его работодателем, для входа на
информационный портал, чтобы узнать о положении вещей в каждой
соответствующей области. Ресурсы используются более оперативно и более целенаправленно
при обмене информацией.
|
· Безопасность. Безопасность усовершенствуется за
счет повышения надежности надлежащей
идентификации и аутентификации сторон – как физических, так и не физических
лиц, участвующих в данной транзакции.
Надежность Интернета снижает количество кибер преступлений, улучшает устойчивость и целостность сетей и систем, и повышает общий уровень безопасности потребителей.
Identity Ecosystem может обеспечить юридические механизмы расследования мошеннической деятельности в результате неправильного использования системы.
Надежность Интернета снижает количество кибер преступлений, улучшает устойчивость и целостность сетей и систем, и повышает общий уровень безопасности потребителей.
Identity Ecosystem может обеспечить юридические механизмы расследования мошеннической деятельности в результате неправильного использования системы.
· Эффективность. Identity Ecosystem идентичности дает
возможность правительству служить своим гражданам и выполнять свои функции
более эффективно и прозрачно через последовательное и аккуратное предоставление
услуг и сокращение избыточных процессов.
· Инновации. Четкое обязательство со
стороны правительства содействовать продвижению доверенных идентификаций
посредством пробного запуска, научных исследований и разработок приводит к
инновациям на рынке, что помогает в обеспечении безопасности киберпространства
с течением времени. Кроме того, многие существующие технологические инициативы,
такие как Smart Grid и Информационные Технологии Здравоохранения, выиграют от внедрения
Identity Ecosystem, стимулирующей дальнейшие инновации.
Цели и Задачи
В
этом разделе описаны цели и задачи осуществления концепции. Каждая цель
рассматривает конкретные проблемы в нынешних условиях и определяет желаемый
результат. Связанные с каждой из целей задачи предоставляют дополнительную сопутствующую
информацию.
Существуют
четыре цели Национальной Стратегии Доверенной Идентификации в
киберпространстве:
· Цель
1: Развитие всеобъемлющей структуры
Identity Ecosystem.
· Цель
2: Создание совместимой идентификационной инфраструктуры в
соответствии с Положениями Identity Ecosystem.
· Цель
3: Укрепление доверия и готовности принять участие в Identity
Ecosystem.
· Цель
4: Обеспечить долгосрочный успех Identity Ecosystem.
Первые
две цели сосредоточены на проектировании и создании необходимого управления и
инфраструктуры для предоставления защищенных интерактивных услуг. Третья цель
направлена на соответствующую защиту конфиденциальности, а также на образование
и просвещение, требуемое для поддержки освоения программы. Четвертая цель
определяет структуру и приоритеты для содействия дальнейшему постепенному
развитию и усовершенствованию безопасности онлайн идентификации.
Цель 1: Развитие
всеобъемлющей структуры Identity Ecosystem
Структура Identity Ecosystem направляет развитие
отдельных Условий Доверия в рамках Identity Ecosystem. Структура Identity
Ecosystem сделает возможным развитие политики и создание надежной практики
гарантий идентичности по всей стране. Структура Identity Ecosystem также будет
достаточно гибкой для удовлетворения различных потребностей разных участников Identity
Ecosystem.
Структура Identity
Ecosystem должна учитывать следующие проблемы в нынешних условиях:
·
Поставщики
услуг скорее основывают свои текущие процессы аутентификации и требования на
индивидуальных деловых потребностях, чем на общем понимании значения риска,
связанного
с транзакцией.
с транзакцией.
·
Отсутствует
общая основа для помощи в создании доверенных идентификаций среди
участников широкого и разнообразного поля онлайн транзакций
участников широкого и разнообразного поля онлайн транзакций
·
Существующие
стандарты не обеспечивают достаточного взаимодействия между поставщиками услуг.
·
Проблемы,
касающиеся ответственности за предоставление идентификаций, цифровых
удостоверений учетных данных и услуг атрибуции, препятствуют развитию Identity Ecosystem.
Задача
1.1: Создание всеобъемлющих стандартов идентификации и
аутентификации, основанных на определенных моделях риска.
Разработка и применение национальных
стандартов практики процессов онлайн идентификации и аутентификации имеет
решающее значение для поддержания стабильности и надежности в распределенной
Интернет среде с радикально отличающимися типами транзакций и разнообразными
решениями управления идентификацией. Модель рисков дает возможность оценки и
адаптации уровня безопасности, в зависимости от уровня риска операции, она
также обеспечивает общее понимание требуемого уровня защищенности, на основе
типов угроз и потенциальной серьезности последствий при проведении конкретного
типа транзакции.
Эти стандарты, которые могут быть
основаны на существующих усилиях в рамках международных организаций по
стандартизации, будут определять способы удаленной аутентификации и
регулирования, организовывать и осуществлять цифровую идентификацию
пользователей, устройств и услуг через открытые сети, для обеспечения
необходимого уровня совместимости и безопасности, соразмерного с уровнем риска
транзакции. Стандарты должны также обеспечивать стабильность, сохраняя при этом
способность адаптироваться к развивающимся угрозам безопасности и новшествам рынка.
Задача 1.2: Определение ответственности
участников Identity Ecosystem и установление механизмов, обеспечивающих
подотчетность.
Ключевые
элементы Identity
Ecosystem определяют права и обязанности различных участников Identity
Ecosystem и создают механизмы принуждения к их соблюдению, если участники не
выполняют эти обязанности. Чтобы определить эти обязанности, Федеральное Правительство
должно решить вопросы ответственности в рамках Identity Ecosystem (например,
какова минимальная и максимальная ответственность поставщиков идентификаций в
случае злоупотребления учетными данными?). Эти вопросы ответственности
исторически отвращали организации от предоставления и использования услуг
идентификации и атрибуции. Федеральное правительство должно установить новые
или изменить существующие правила и законы для решения этих проблем ответственности
и установления правоприменительных механизмов, обеспечивающих подотчетность.
Многие организации в настоящее время соблюдают стандарты
онлайн безопасности и конфиденциальности в режиме разделения на правительственный
и частный сектор. Любые новые законы и политика должны сохранять гибкость этого
подхода, в то же время согласуя разнообразные и порой противоречивые наборы
требований, которые в настоящее время препятствует взаимодействию и доверию
между сообществами.
Цель 2: Создание
и реализация
совместимой
идентификационной инфраструктуры
в соответствии с
общими
Положениями Identity Ecosystem.
Создание доверенной идентификации между участниками Identity
Ecosystem требует поддержки инфраструктурой взаимодействия между участниками
сделки. Эта цель направлена на рассмотрение следующих проблем в нынешних
условиях:
·
Медленные темпы внедрения идентификационных решений для
обеспечения безопасного, упрощенного доступа к онлайн услугам.
·
Отсутствие разнообразных идентификационных решений,
пригодных для успешного совместного функционирования.
·
Отсутствие безопасных, удобных, ориентированных на
пользователя вариантов аутентификации и идентификации пользователей.
·
Высокая стоимость реализации и управления, которые мешают
быстрому росту рынка услуг идентификации и атрибуции.
Задача 2.1: Продолжение правительством
руководящих действий и принятия Положений Identity Ecosystem.
Правительство является как крупным поставщиком, так и
крупным потребителем большого количества значимых онлайн услуг. Благодаря этой
роли, федеральные, государственные, местные и национальные правительства должны
продолжать показывать пример и быть лидерами в области идентификационных
решений, которые относятся к Положениям Identity Ecosystem. Со временем это
поможет увеличить потребительские ожидания и спрос на усовершенствование
идентификационных решений для всех онлайн услуг. Правительство должно также
продолжать использовать свою покупательную способность в качестве важного
клиента частного сектора, с целью улучшения портфелей деловых предложений и рынка
для этих решений.
Задача
2.2: Содействие ускоренному развертыванию решений по
реализации Положений Identity Ecosystem.
Для того, чтобы реализовать преимущества
Положений Identity Ecosystem, Федеральное Правительство должно поощрять и стимулировать
быстрое осуществление решений и бизнес моделей частного сектора, которые
поддерживают доверенные идентификации онлайн транзакций. Усилия в этой области
будут способствовать внедрению инноваций на рынке и ускорят темпы принятия
существующих идентификационных решений, и способствовать развитию новых.
Федеральное правительство должно работать с промышленностью с целью
организации, координации и финансирования экспериментальных программ, которые
могли бы преобразовать ситуацию за счет расширения в широкой сети множества
совместимых предложений через многочисленные типы сообществ и транзакций.
Задача 2.3: Содействовать широкой
доступности решений для укрепления
доверия пользователей.
Ограничением в текущих условиях является то, что
большинство идентификационных решений применяются к конкретным бизнес-процессам
или услугам, в результате чего отсутствует портативность и совместимость между
всеми службами. Такой поверхностный подход приносит мало пользы и удобства
пользователям. Федеральное правительство должно принять меры для стимулирования
всех уровней взаимодействия между участниками Identity Ecosystem, поощрять создание
разнообразных групп поставщиков идентификаций, как внутри, так и вне
правительства, а также содействовать широкому использованию решений Identity
Ecosystem всеми гражданами.
Цель
3: Укрепление доверия и готовности участвовать в Identity Ecosystem.
Частные лица и организации должны доверять
Identity Ecosystem, и должны быть готовы принять в ней участие. Данная
Стратегия будет содействовать укреплению доверия с помощью механизмов, которые
решают проблемы защиты конфиденциальности, сохранности и надежности данных,
связанных с идентификационными решениями. Стратегия также будет рассматривать
вопросы информирования и просвещения как относительно рисков, связанных с
ненадежной идентификацией и аутентификацией, так и методы, при помощи которых
идентификационные решения снижают эти риски.
Федеральное правительство уже осуществляет большую работу
работы в этой области, и намерено использовать существующие мероприятия в
максимально возможной степени. Федеральное правительство объединит сообщения общего
осведомительного характера с информацией, необходимой для внедрения кардинальных
изменений в поведении в долгосрочной перспективе. Мероприятия по просвещению и повышению
осведомленности общественности должны учитывать различные точки зрения лиц,
правительства и частного сектора.
Эта цель направлена на решение
следующих проблем в нынешних условиях:
·
Проблемы, касающиеся личной конфиденциальности и
потенциала для несанкционированного сбора, накопления, использования или
публикации идентификационной информации.
·
Проблемы, касающиеся защиты интеллектуальной
собственности.
·
Общее отсутствие информированности о доверенных цифровых
удостоверениях.
Задача
3.1: Усовершенствование конфиденциальности и безопасности транзакций
посредством справедливого и ответственного управления информацией и
решениями.
Осуществление
Положений Identity Ecosystem должно обеспечить сильную защиту
конфиденциальности и безопасности отдельных лиц в дополнение к созданию четких
правил и руководящих принципов, касающихся обстоятельств, при которых поставщик
услуг или доверенные стороны могут обмениваться информацией, и видов
информации, которой они могут обмениваться. Эти меры защиты поддерживают общее
обязательство защищать пользователей от интернет угроз и уверить частных лиц в
их защищенности для содействия добровольному участию в онлайн транзакциях.
Усилия в этой области помогут устранить несоответствия в способах использования
информации поставщиками услуг в настоящее
время. Новые способы защиты конфиденциальности преобразует текущую модель сбора
идентификационной информации исходя из конкретного применения в модель
дифференцированного сбора, ориентированную на пользователя, которая
поддерживает возможность индивида отстаивать личные данные без необходимости раскрывать
их полностью. Поставщики услуг должны использовать, собирать, обмениваться, и
сохранять информацию только по мере необходимости в рамках выполнения задач
операции. Кроме того, Федеральное Правительство должно сотрудничать с
правительствами штатов и частного сектора в области создания механизмов коррекции для исправления неточных
персональных данных и предоставить потребителям гибкую возможность изменять
неверные данные единовременно, с передачей изменений поставщикам по их выбору.
Задача 3.2: Обеспечение осведомленности и образования для
создания возможности осознанных решений.
Усилия, направленные на информирование и образование, будут
повышать понимание важности доверенных идентификаций, и научат пользователей
создавать доверенные идентификации. Федеральное Правительство в сотрудничестве
с частным сектором будет адаптировать эти усилия по просвещению и повышению
осведомленности в соответствии с демографией. Осознанный потребительский выбор из
множества средств идентификации и поставщиков услуг, а также повышение
осведомленности о доступных вариантах, являются важнейшим аспектом в поощрении
участия со стороны отдельных пользователей. Программы, связанные с этой стратегией, должны обеспечить
осведомленность о доступных вариантах на рынке, их преимуществах и методах
защиты пользователей, и другую информацию, необходимую для осознанного выбора.
Существует также растущая потребность в просвещении и повышении осведомленности среди сообщества поставщиков услуг, особенно в части, касающейся обязанности поставщика услуг, связанных с общей безопасностью и защитой конфиденциальности, установленных Положениями Identity Ecosystem. Федеральное Правительство, совместно с поставщиками услуг, будет развивать образовательные ресурсы для больших и малых предприятий, с тем, чтобы обеспечить стабильность и соответствие Identity Ecosystem. Так же, как и американская общественность, поставщики услуг должны понимать не только свою роль в решении, но также и роль других сторон и способы укрепления доверия, соответствующие этим ролям. Просветительская и образовательная деятельность должна использовать существующие программы и усилия по внедрению, и начать как можно скорее устранять известные риски безопасности и применять передовые практики. Они также должны развиваться, поскольку идентификационная инфраструктура созревает для обеспечения материалами и сообщениями, актуальными на сегодняшний день.
Цель 4: Обеспечить долговременный успех Identity Ecosystem.
Учитывая глобальный характер экономики и Интернета,
масштаб Стратегии выходит за рамки национальных границ. Для создания Identity
Ecosystem требуется управление и руководство на национальном и международном
уровнях, в том числе разработка стандартов, исследования и разработки, а также
координация программ государственных и частных мероприятий. Федеральное
правительство должно принять на себя руководство, координацию и сотрудничество
в области усовершенствования цифровых удостоверений на национальном и
международном уровнях, в целях внедрения идентификационных решений нового
поколения, а также разработать федеральные программы для выполнения настоящей
Стратегии.
Эта цель
направлена на решение следующих проблем в нынешних условиях:
·
Недостаточность ресурсов, предназначенных для участия США
в мероприятиях по созданию национальных и международных стандартов.
·
Потребность в дополнительных ресурсах для научных
исследований и разработок для создания инновационных технологий идентификации.
·
Необходимость усовершенствованной координации между
множеством программ и мероприятий в рамках Федерального правительства, связанных
с доверенными цифровыми удостоверениями.
Задача
4.1: Координация мер, предпринимаемых Федеральным Правительством в отношении
цифровых удостоверений (как на локальном, так и на международном уровне).
Соединенные
Штаты запустили программу создания устойчивой и безопасной кибер инфраструктуры
в правительстве и частном секторе. На местах действуют государственные и частные
механизмы сотрудничества, равно как и оперативные программы по предоставлению
решений по смягчению последствий кибер преступлений. Федеральное правительство
должно опираться на эти меры и поддерживать соответствующие координационные
механизмы для выпуска цифровых идентификаторов. Кроме того, поскольку политика кибербезопасности
становится вопросом дипломатии, действия в рамках стратегии будут направлены на
рассмотрение вопросов действий в области международной политики, важность
которых возросла. Федеральное Правительство, посредством управления и
координации национальных усилий, и в равной степени участия в мероприятиях международной
политики, может внедрить единый подход в сфере доверенных цифровых
удостоверений.
Задача
4.2: Расширение участия в разработке технических стандартов на национальном и
международном уровнях.
Дальнейший
прогресс и инновации в области цифровых идентификаторов и создание глобальной,
надежной инфраструктуры зависит от значительного участия США в развитии
национальных и международных стандартов. Текущая среда управляется мировой
экономикой, с операциями, совершаемыми без учета физических или политических
границ; инфраструктуры, разработанные в рамках этой стратегии будут, по мере
возможности, полностью совместимы со всеми этими условиями, а также соблюдать
законы и политику различных стран. Усилия в рамках этой стратегии должны
способствовать развитию технических стандартов для идентификации и
аутентификации организаций, устройств, программного обеспечения, данных и
пользователей.
Задача
4.3: Стимулировать инновации путем агрессивных, целенаправленных мер по Исследованию
и Развитию. (R&D)
Федеральное Правительство должно согласовать существующие
и будущие Федеральные мероприятия по исследованию и развитию с требованиями Identity
Ecosystem. Для достижения успеха США должны сосредоточить внимание на
технологиях и мерах по исследованию и развитию, имеющих потенциал для развития
парадигмы безопасности, ответственности, устойчивости и надежности в интересах
тех, кто ведет себя ответственно в Интернете. Кроме того, Федеральное
Правительство должно продолжать содействовать передаче результатов
исследований, финансируемых правительством, связанных с Identity Ecosystem в коммерческий сектор. Наконец, меры по
исследованию и развитию должны быть всеобъемлющими и объединять усилия партнеров
из разнообразных общественных групп и организаций в государственном и частном
секторе в целях быстрой разработки инновационных решений.
Приведение в Действие
Внедрение Identity Ecosystem требует сложного комплекса
мер, включающих политические, юридические, технологические и образовательные
процессы, которые затрагивают широкий спектр автономных заинтересованных
сторон. Данная стратегия представляет задачи, которые правительство и частный
сектор могут решить вместе для улучшения идентификации в киберпространстве.
Успешная реализация требует долевого участия, совместной работы и подотчетности
всех участников, как в государственном, так и в частном секторах, равно как и
за пределами национальных границ. В этом разделе определяются Первоочередные
меры, которые имеют решающее значение для осуществления программы. Федеральное
правительство нацелено на осуществление этих мер, и будет двигаться вперед в
качестве лидера, первопроходца и вдохновителя Identity Ecosystem.
Приоритетные Действия
Приоритетные действия, перечисленные здесь, не охватывают
всех мер, необходимых для достижения целей и задач. Скорее, они представляют
собой обобщение множества рабочих направлений, которые Федеральное Правительство
представит более подробно в Плане Внедрения Доверенных Идентификаций в
Киберпространстве. (см. Приложение 2).
Д1 Назначить Федеральное Агентство для
проведения мер в общественном и частном секторе по продвижении Концепции.
Федеральное
Правительство должно организовать обеспечение управления, подотчетности и
руководства во внедрении Identity Ecosystem. Белый Дом выберет агентство и
возложит на него ответственность за координацию процесса и организации, которые
будут осуществлять стратегии. Многие другие федеральные агентства будут
выполнять обязанности по внедрению, связанные с их сферами деятельности, и
некоторые из них обозначены в этом документе. Ведущее Агентство будет:
•
• Оценивать прогресс в отношении целей, задач и действий, изложенных в данном документе;
• Гарантировать руководящую роль правительства на примерах разработки и поддержки
Identity Ecosystem;
• Координировать сотрудничество и долевое участия частных и государственные структур, вовлеченных в деятельность по разработке Identity Ecosystem;
• Поддерживать межведомственное сотрудничество и координацию межведомственных усилий по внедрению концепции
• Оценивать прогресс в отношении целей, задач и действий, изложенных в данном документе;
• Гарантировать руководящую роль правительства на примерах разработки и поддержки
Identity Ecosystem;
• Координировать сотрудничество и долевое участия частных и государственные структур, вовлеченных в деятельность по разработке Identity Ecosystem;
• Поддерживать межведомственное сотрудничество и координацию межведомственных усилий по внедрению концепции
•
Создавать консультационные механизмы в частном
секторе и стратегии привлечения.
Ведущее агентство должно активно стремиться к межведомственному сотрудничеству, привлекать к участию различные организации и секторы, и обеспечить коллективное управление идеями посредством правительства, в целях гармонизации и интеграции различных правил и мероприятий в государственном и частном секторе. Кабинет Координатора Кибербезопасности в EOP будет продолжать руководить межучрежденческой политикой развития, определенной в настоящем плане действий. Ведущее агентство будет работать в тесном контакте с Кабинетом Координатора Кибербезопасности. Кроме того, Руководящее Агентство примет участие в Федеральном Совете CIO и обеспечит координацию в рамках существующих и будущих соответствующих инициатив.
Д2 Разработать Общий, Всеобъемлющий план внедрения в государственном и частном секторе.
Мероприятия,
предусмотренные в этом разделе, создают основу и тон для будущей деятельности,
которая будет осуществляться совместно партнерами из государственного и
частного сектора, однако этого не достаточно. Федеральное правительство будет
разрабатывать подробный План Внедрения, стимулирующий быстрое развертывание Identity
Ecosystem, включающий выявление и разработку ближайших и долгосрочных
перспектив. Развитие и социализация
Плана Внедрения в государственном и частном секторе будет стимулироваться
межведомственными процессами и форумами на местах, чтобы сохранить динамику.
Планирование задач, сроков, отношений и собственников будет сфокусировано на возможности использования существующих разработок, стандартов, инноваций и передовых практик всех заинтересованных групп. Сотрудничество государственного и частного сектора будет необходимо для определения точки интеграции проводимых мероприятий, для доступа к консультативным и коммуникационным каналам, постановки задач для индивидуальных и совместных владельцев, определения сроков, исходных и конечных задач, и определения критических факторов успеха для гарантии полноты и контролируемости Целей и Задач. Все мероприятия, проводимые как государственным, так частным сектором, будут координироваться посредством Плана Внедрения.
Планирование задач, сроков, отношений и собственников будет сфокусировано на возможности использования существующих разработок, стандартов, инноваций и передовых практик всех заинтересованных групп. Сотрудничество государственного и частного сектора будет необходимо для определения точки интеграции проводимых мероприятий, для доступа к консультативным и коммуникационным каналам, постановки задач для индивидуальных и совместных владельцев, определения сроков, исходных и конечных задач, и определения критических факторов успеха для гарантии полноты и контролируемости Целей и Задач. Все мероприятия, проводимые как государственным, так частным сектором, будут координироваться посредством Плана Внедрения.
Д3 Ускорить
Расширение Государственных Услуг, Экспериментальных проектов и Политики,
соответствующей Identity Ecosystem
Федеральное
правительство должно быть образцом для подражания и пионером внедрения Identity
Ecosystem. Все уровни правительства будут принимать участие в усвоении Identity
Ecosystem государственными службами. В качестве одного из главных поставщиков услуг, охватывающих
физических лиц, частный сектор и другие сферы управления, Федеральное
Правительство призвано обеспечить широкое воздействие и проникновение услуг Identity
Ecosystem. Масштаб и разнообразие предлагаемых услуг и заинтересованных
сторон обеспечивают отличную почву для Identity Ecosystem. Кроме того, передача знаний и уроков,
извлеченных из федеральных инициатив и других экспериментальных проектов для
частного сектора, приведет к повышению числа попыток применения и их общему
успеху.
Программы
управляемые и финансируемые правительством, в том числе экспериментальные
проекты, внедряющие федеральные услуги согласно требованиям Identity Ecosystem,
являются важной частью этой меры. Федеральное правительство будет уделять
особое внимание потенциальным возможностям для экспериментальных проектов,
существующих в системе здравоохранения, связи, информационных технологий, оборонной
промышленности, энергетики, финансового сектора и государственной власти. Для
содействия согласованию, Ведущее Агентство в координации с Белым домом должно
пересмотреть внутренние Федеральные инвестиции в идентификационные решения для
максимального соответствия Identity Ecosystem. Кроме того, Федеральные
экспериментальные проекты должны быть расширены по мере возможности для
включения транзакций, поддерживающих одновременно частный сектор и физических
лиц. Федеральное правительство будет также принимать во внимание участие в
международных экспериментальных проектах, для поощрения глобального
соответствия функций Identity Ecosystem.
Федеральному правительству следует ускорить принятие и осуществление существующей политики и мандатов, поддерживающих Identity Ecosystem. Многие аспекты федеральной политики и директивы поддерживают развертывание инфраструктуры аутентификации для НФЛ и частных лиц. Они могут сразу помочь снизить вероятность кибер угроз в отношении правительства, предприятий и частных лиц. Кроме того, Федеральное Правительство располагает многими существующими программами идентификации, экспериментальных проектов и планов, отвечающими требованиям Identity Ecosystem, такими, как внедрение Президентской директивы Национальной Безопасности 12, Федеральной инфраструктуры открытых ключей, DNSSEC, IPSEC, и мероприятий Руководства по Управлению Федеральной Идентификацией, Удостоверениями и Доступом. Они должны активно финансироваться и внедряться для поддержки Identity Ecosystem.
Федеральному правительству следует ускорить принятие и осуществление существующей политики и мандатов, поддерживающих Identity Ecosystem. Многие аспекты федеральной политики и директивы поддерживают развертывание инфраструктуры аутентификации для НФЛ и частных лиц. Они могут сразу помочь снизить вероятность кибер угроз в отношении правительства, предприятий и частных лиц. Кроме того, Федеральное Правительство располагает многими существующими программами идентификации, экспериментальных проектов и планов, отвечающими требованиям Identity Ecosystem, такими, как внедрение Президентской директивы Национальной Безопасности 12, Федеральной инфраструктуры открытых ключей, DNSSEC, IPSEC, и мероприятий Руководства по Управлению Федеральной Идентификацией, Удостоверениями и Доступом. Они должны активно финансироваться и внедряться для поддержки Identity Ecosystem.
Д4 Проводить
работу, Направленную на Укрепление Защиты Конфиденциальности
Федеральное
правительство будет работать с частным сектором для определения подходов к
осуществлению ППДИ. Концентрация на
политике конфиденциальности, процессах и технологиях реализации позволит участникам
Identity Ecosystem разработать передовые методы, руководства и стандарты,
которые помогут усовершенствовать способы сбора, использования, защиты, передачи,
сохранения и уничтожения личной информации организациями. Федеральное
правительство будет создавать подробные планы действий по укреплению политики
конфиденциальности и внедрению таким образом, что поставщики Identity Ecosystem
будут:
• Представлять краткие, содержательные, своевременные и легкие для понимания уведомления конечных пользователей в отношении сбора, использования, распространения и технического обслуживания ПИИ в решениях идентификационных гарантий.
• Ограничивать сбор и передачу информации по идентификации участников Identity Ecosystem
минимумом информации, необходимой для выполнения целей операции.
• Ограничивать вторичное использование личных данных, собираемых и передаваемых в
Identity Ecosystem.
• Ограничивать хранение данных до срока, необходимого для предоставления услуг
отдельным конечным пользователям, для которых были собраны данные, если иное не предусмотрено законом.
• Минимизировать накопление данных и ссылок в результате транзакций в Identity Ecosystem.
• Создавать механизмы, предоставляющие отдельным лицам возможность доступа, исправления, и удаления информации, равно как и минимизировать препятствия для прекращения физическими лицами их отношений с участниками Identity Ecosystem.
• Устанавливать стандарты точности для данных, используемых в решениях идентификационных гарантий.
• Защищать и надежно уничтожать информацию при расторжении бизнеса или общего участия
в Identity Ecosystem.
• Предлагать механизмы компенсации лицам, которые считают, что их данные могли быть использованы не по назначению.
Ориентированный на пользователя характер Identity Ecosystem открывает новые возможности для физических лиц в области контроля и раскрытия их личных данных действительно инновационными способами. Стратегия призывает к действиям, которые будут определять способы предоставления пользователями данных организациям, а также способы, при помощи которых пользователи могут наслаждаться простыми и эффективными механизмами обновления, публикации и редактирования их частной информации.
.
Д5 Координировать Разработку
и Уточнение Моделей Риска и Стандартов Операционной Совместимости
Набор основанных на оценке риска моделей и инструментов
оценки будет поддерживать решения, принимаемые организациями при определении их
способа взаимодействия с Identity Ecosystem. Модель рисков позволит свести к
минимуму неопределенность, посредством распространения методов контроля рисков
в масштабах страны. Стандарты, отвечающие требованиям совместимости, критериям
трастмарки и аккредитации проложат путь к выбору решений, в конечном счете,
ускоряющих воплощение Identity Ecosystem. Все конкретные действия, связанные со
стандартами Identity Ecosystem, будут опираться на существующие усилия,
предпринимаемые Федеральным Правительством, поставщиками трастмарок, частным
сектором, органами стандартизации и международными организациями.
Стандарты, установленные в Identity Ecosystem, потребует включения руководящих принципов конфиденциальности. Они должны также потребовать принятия протоколов, сводящих по мере возможности к минимуму возможность оставлять ссылки или накапливать данные об участниках Identity Ecosystem и доверенных сторонах, сохраняя при этом отдельные истории транзакций, целостность и контролируемость. Принятие или расширение стандартов разработки принесет независимость и возможность выбора поставщикам Identity Ecosystem, а также гибкость в отраслях промышленности, в то же время, облегчая межсекторальное и международное взаимодействие.
Стандарты, установленные в Identity Ecosystem, потребует включения руководящих принципов конфиденциальности. Они должны также потребовать принятия протоколов, сводящих по мере возможности к минимуму возможность оставлять ссылки или накапливать данные об участниках Identity Ecosystem и доверенных сторонах, сохраняя при этом отдельные истории транзакций, целостность и контролируемость. Принятие или расширение стандартов разработки принесет независимость и возможность выбора поставщикам Identity Ecosystem, а также гибкость в отраслях промышленности, в то же время, облегчая межсекторальное и международное взаимодействие.
Д6 Решить
вопросы ответственности Поставщиков Услуг и Частных лиц
Данная
Стратегия определяет Identity Ecosystem, в которой один субъект проверяет и
устанавливает идентификацию, а другой субъект подтверждает ее. На сегодняшний
день соответствующее распределение ответственности не позволяет межсекторальный
выпуск и внедрение цифровых удостоверений идентификации. Федеральное
правительство должно решить эту проблему путем реформирования ответственности, для
обеспечения всесторонней надежности для всех участников сделки. Identity
Ecosystem предлагает модель сужения ответственности до приемлемого уровня,
соответствующего выгодам, связанным с участием в Identity Ecosystem. Кроме
того, стратегия будет и впредь содействовать поддержанию существующих моделей
ответственности и укреплению законодательства по защите отдельных лиц, и препятствовать
организациям перекладывать ответственность за потери от неавторизованных
транзакций на частных лиц.
Д7 Осуществлять
Пропаганду и Просвещение Всех Заинтересованных Сторон
Частные лица и частный
сектор играют решающую роль в успехе Identity Ecosystem. Они должны понимать
риски, преимущества и свои возможности участия в Identity Ecosystem.
Следовательно, образовательная информация должна быть легкодоступной и
понятной. Деятельность по повышению осведомленности общественности в
государственном и частном секторе будет включать в себя усилия по обучению лиц
и организаций работе со слабо приспособленными к идентификации и аутентификации
методами и способам их улучшения. Федеральное правительство будет развивать эти
усилия, в сочетании с Национальной Инициативой в области Образования
Кибербезопасности (NICE). Федеральные агентства будут включать методы проверки
цифровых удостоверений и защиты в существующие и будущие просветительские и
образовательные программы. Частный сектор и другие правительственные органы выполняют
различные функции во взаимодействии с заинтересованными сторонами – как физическими
лицами, так и организациями.
Федеральное
правительство в сотрудничестве с частным сектором будет адаптировать
просветительскую деятельность к характеру аудитории, и использовать
разнообразные средства массовой информации, чтобы донести до людей сведения о
соответствующем поведении для безопасности сегодня и в будущем. Долгосрочная
кампания должна пропагандировать информацию о действиях, предложениях и
поставщиках для поддержки Identity Ecosystem, и, в конечном счете, будут тем
самым содействовать участию в ней. Любые механизмы, разработанные для поддержки
этих высоко приоритетных действий, будут повышать эффективность просветительской
работы и сообщений о дальнейших усовершенствованиях в Identity Ecosystem.
Д8 Продолжать
Сотрудничество в Международном Масштабе
Федеральное
правительство увеличит свое участие в глобальной деятельности, связанной с
конфиденциальностью и надежностью цифровых удостоверений. Федеральное
правительство будет уделять первостепенное внимание и надлежащим образом
подбирать персонал для существующих международных мероприятий, связанных с
доверенными идентификациями.
Как уже говорилось ранее, разработка стандартов и принятие на международном уровне является краеугольным камнем мировой торговли и обмена информацией. Чтобы избежать локализованных разработок и принятия стандартов, национальные усилия должны стремиться к принятию международных стандартов, при их соответствии национальным целям. Кроме того, обмен информацией, международный форум и участие в экспериментальных проектах обеспечит постоянное совершенствование в развитии Identity Ecosystem. Сотрудничество в международных мероприятиях – это ответственность не только Федерального Правительства. Частный сектор разделяет ответственность за внедрение и принятие Стратегии. Успех Identity Ecosystem зависит от участия транснациональных корпораций и глобальных поставщиков в использовании Федеральных идентификаций, совместимых и масштабируемых в соответствии с Интернет уровнями.
Федеральное правительство усилит приоритетность, координацию и участие представителей правительства, и будет поощрять приоритетность, координацию и участие представителей частного сектора в разработке международных стандартов деятельности, связанной с Identity Ecosystem . Эта деятельность будет включать в себя международные политические и технические рабочие группы, форумы и советы для выполнения соответствующей работы. Для участия США в международном сотрудничестве и извлечения пользы из накопленного опыта, лучших практик и международной интеграции, американское присутствие на этих форумах должно возрасти и поддерживать стандарты, соответствующие Identity Ecosystem.
Как уже говорилось ранее, разработка стандартов и принятие на международном уровне является краеугольным камнем мировой торговли и обмена информацией. Чтобы избежать локализованных разработок и принятия стандартов, национальные усилия должны стремиться к принятию международных стандартов, при их соответствии национальным целям. Кроме того, обмен информацией, международный форум и участие в экспериментальных проектах обеспечит постоянное совершенствование в развитии Identity Ecosystem. Сотрудничество в международных мероприятиях – это ответственность не только Федерального Правительства. Частный сектор разделяет ответственность за внедрение и принятие Стратегии. Успех Identity Ecosystem зависит от участия транснациональных корпораций и глобальных поставщиков в использовании Федеральных идентификаций, совместимых и масштабируемых в соответствии с Интернет уровнями.
Федеральное правительство усилит приоритетность, координацию и участие представителей правительства, и будет поощрять приоритетность, координацию и участие представителей частного сектора в разработке международных стандартов деятельности, связанной с Identity Ecosystem . Эта деятельность будет включать в себя международные политические и технические рабочие группы, форумы и советы для выполнения соответствующей работы. Для участия США в международном сотрудничестве и извлечения пользы из накопленного опыта, лучших практик и международной интеграции, американское присутствие на этих форумах должно возрасти и поддерживать стандарты, соответствующие Identity Ecosystem.
Д9 Определить Другие Средства
Адаптации Идентификационных Identity Ecosystem в Масштабе Страны
Широкое
распространение более надежных идентификационных решений, скорее всего, не произойдет
без всеобъемлющих стимулов. Федеральное правительство будет предпринимать действия
для оценки эффективности экономических стимулов для частного сектора или
отдельных лиц, в целях побуждения к принятию устойчивых и совместимых
идентификационных решений. Федеральное правительство рассмотрит программы
стимулирования, такие как налоговые льготы или снижение налоговых ставок, страхование
кибербезопасности, грантовые программы или кредиты для первых участников. Федеральное правительство также должно проанализировать,
как можно лучше согласовать требования идентификационных решений с
существующими грантовыми программами в рамках Identity Ecosystem.
Федеральное правительство будет также проводить экономический анализ для оценки необходимых нормативных изменений в важнейших секторах инфраструктуры. В частности, Федеральное Правительство будет оценивать риски, затраты и выгоды, прежде чем рекомендовать изменения в определенных типах транзакций в регулируемых секторах, например, в операциях, требующих более высокого уровня аутентификации для транзакций по кредитным картам.
Федеральное правительство будет также проводить экономический анализ для оценки необходимых нормативных изменений в важнейших секторах инфраструктуры. В частности, Федеральное Правительство будет оценивать риски, затраты и выгоды, прежде чем рекомендовать изменения в определенных типах транзакций в регулируемых секторах, например, в операциях, требующих более высокого уровня аутентификации для транзакций по кредитным картам.
Заключение
Данная Стратегия обеспечивает видение
того, как пользователи, поставщики услуг, и другие заинтересованные стороны
могут улучшить использование цифровых идентификаторов в онлайн транзакциях.
Предлагаются интенсивные меры для поддержки развития и обслуживания управления,
организации и реализации мероприятий на уровне, необходимом для воплощения Identity
Ecosystem.
Наша зависимость от киберпространства как средства ведения бизнеса и обмена информацией будет продолжать расти в ближайшие годы, и вместе ней будут расти наши потребности в проверке идентичности тех, с кем мы взаимодействуем в Интернете. Защита идентичности отдельных лиц и организаций при проведении онлайновых транзакций имеет решающее значение для защиты открытой торговли, поощрения инноваций и охраны критически важных активов нашей страны. Identity Ecosystem демонстрирует способность защищать права личности, обеспечивает повышенную конфиденциальность, и предотвращает мошенничества, снижая риск хищения личных данных и правонарушений онлайн.
Федеральное правительство в сотрудничестве с частными лицами, компаниями, некоммерческими организациями, правозащитными группами, ассоциациями и другими образованиями, должны проложить путь для улучшения методов проверки идентичности и их использования в киберпространстве. Постоянное сотрудничество между частным и государственным секторами уже привело к значительным успехам в разработке компонентов Identity Ecosystem. Однако, многое еще предстоит сделать.
Существует настоятельная необходимость решения этих проблем в кратчайшие сроки, преуспевая в краткосрочных проектах и планируя долгосрочные перспективы. Для реализации концепции этой Стратегии и связанных с ней выгод в масштабах страны, все заинтересованные стороны должны объединиться в совместное партнерство. Объем этой работы требует координации во многих областях, а также участия и руководства во всех секторах.
Наша зависимость от киберпространства как средства ведения бизнеса и обмена информацией будет продолжать расти в ближайшие годы, и вместе ней будут расти наши потребности в проверке идентичности тех, с кем мы взаимодействуем в Интернете. Защита идентичности отдельных лиц и организаций при проведении онлайновых транзакций имеет решающее значение для защиты открытой торговли, поощрения инноваций и охраны критически важных активов нашей страны. Identity Ecosystem демонстрирует способность защищать права личности, обеспечивает повышенную конфиденциальность, и предотвращает мошенничества, снижая риск хищения личных данных и правонарушений онлайн.
Федеральное правительство в сотрудничестве с частными лицами, компаниями, некоммерческими организациями, правозащитными группами, ассоциациями и другими образованиями, должны проложить путь для улучшения методов проверки идентичности и их использования в киберпространстве. Постоянное сотрудничество между частным и государственным секторами уже привело к значительным успехам в разработке компонентов Identity Ecosystem. Однако, многое еще предстоит сделать.
Существует настоятельная необходимость решения этих проблем в кратчайшие сроки, преуспевая в краткосрочных проектах и планируя долгосрочные перспективы. Для реализации концепции этой Стратегии и связанных с ней выгод в масштабах страны, все заинтересованные стороны должны объединиться в совместное партнерство. Объем этой работы требует координации во многих областях, а также участия и руководства во всех секторах.
Приложение A – Глоссарий
Термин
|
Определение
|
|
Accreditation
|
Аккредитация
|
Акт авторизации, предоставление права выполнять
определенную услугу
|
Accreditation
Authority
|
Орган Аккредитации
|
Оценивает и заверяет, что поставщики идентификаций,
предъявители атрибутов, доверенные стороны и средства идентификации соблюдают
согласованные Условия Доверия.
|
Anonymous
|
Аноним
|
Не названный и не идентифицированный
субъект. Анонимные транзакции позволяют осуществлять обмен информацией между
сторонами, не требующий идентификации вовлеченных сторон.
|
Attribute
|
Атрибут
|
Определенное
качество или характеристика, присущая или приписываемая кому-либо или
чему-либо. Атрибуты могут включать персональные характеристики (например,
возраст), внешнюю информацию, такую как местоположение, или сертификацию, подтверждающую заявленные полномочия.
|
Attribute
Provider
|
Поставщик или Провайдер Атрибутов
|
Отвечает
за все процессы, связанные с установлением и обслуживанием идентификационных
атрибутов субъекта; обеспечивает предъявление атрибутов отдельным лицам,
другим поставщикам и связанным сторонам.
|
Authentication
|
Аутентификация
|
Проверка подлинности пользователя, процесса или устройства,
часто являющаяся предварительным условием предоставления доступа к ресурсам
информационной системы
|
Authorization
|
Авторизация
|
Официальное
управленческое решение разрешить работу информационной системы с четким
пониманием рисков, связанных с операциями (в том числе для задач, функций,
имиджа или репутации), а также устройств или лиц, на основе осуществления
согласованных мер контроля безопасности.
Акт разрешения или согласия. |
Availability
|
Доступность
|
Обеспечение
своевременного и надежного доступа к информации и возможности ее
использования.
|
Confidentiality
|
Конфиденциальность
|
Соблюдение авторизованных ограничений на доступ к
информации и раскрытие информации для предотвращения её раскрытия неуполномоченным лицам,
организациям или процессам, а также средства для защиты частной
конфиденциальности и служебной информации.
|
Credential
|
Удостоверение идентификации
|
Информационный объект, созданный поставщиком
удостоверений, представляющий собой свидетельство полномочий, роли, прав,
привилегий и прочих атрибутов субъекта. Удостоверение обычно связано с
приемлемым средством идентификации.
|
Cybersecurity
|
Кибербезопасность
|
Меры, принимаемые для защиты компьютеров, компьютерных
систем и сетей и данных от неавторизованного доступа или атак.
|
Cyberspace
|
Киберпространство
|
Независимая
сеть инфраструктур информационных технологий, включающая интернет,
телекоммуникационную сеть, компьютерные системы, мобильные устройства, а
также встроенные процессоры и устройства критических отраслей. Общепринятое
использование термина также подразумевает виртуальную информационную и
коммуникативную среду.
|
Device
|
Устройство
|
Физическая конструкция, как правило, электронная,
предназначенная для хранения и обработки информации, например, персональный
компьютер, сетевой сервер, мобильный телефон или смарткарта.
|
Digital Identity
|
Цифровое
Удостоверение
|
Электронная
репрезентация лица или организации (в том числе, устройства, программного
обеспечения, услуги, организации или частного лица) в киберпространстве,
содержащая информационные артефакты или сопоставительные наборы информации.
|
Identity
Ecosystem
|
Identity Ecosystem
|
Интернет-среда, где отдельные лица, организации, услуги и
устройства могут доверять друг другу, потому что авторитетные источники
установили и проверили подлинность их цифровых удостоверений. Как и в Identity
Ecosystemх, которые мы находим в природе, она требует совместной работы
различных организаций и отдельных лиц,
выполняющих свои уникальные роли и обязанности, регулируемые всеобъемлющей
системой стандартов и правил.
|
Identity
Ecosystem Framework
|
Положения
Identity Ecosystem Идентификаци
|
Всеобъемлющее множество стандартов взаимодействия, моделей
риска, политики конфиденциальности и ответственности, требований трастмарок,
а также правоприменительных механизмов, управляющих Identity Ecosystem
Идентификаций.
|
Identity
|
Идентичность
|
Уникальные физические
характеристики, определяющие кого-либо или что-либо. Идентификации могут применяться к физическим
лицам и нематериальным объектам.
|
Identity
Assurance
|
Гарантии Идентификации
|
Средства
обеспечения целостности и подлинности идентификационной информации.
|
Identity
Provider
|
Поставщик или Провайдер Идентификации
|
Ответственный за процессы, связанные с регистрацией
субъекта, а также созданием и обслуживанием цифровой идентификации отдельных
лиц или НФЛ. Эти процессы включают в себя проверку идентификации, а также
отзыв, приостановление и восстановление цифровой идентификации. ПИ отвечает
за выдачу учетных данных и информации об объекте или устройстве, используемых
во время сделки для предъявления доказательств идентичности субъекта, он
также может предоставлять ссылки на полномочия, функции, права, привилегии, и
другие атрибуты.
|
Identity Medium
|
Средство
Идентификации
|
Устройство или объект хранения одного или нескольких
удостоверений учетных данных, заявок, или атрибутов, связанных с каким-либо
субъектом, а в случае устройства – способное преобразовывать эти объекты
информации для конкретных целей.
Любое удостоверение, карта, значок, USB, смартфон или другое средство связи, вне зависимости от формы, выданное или уполномоченное для идентификации в рамках онлайн транзакций. |
Identity
Proofing
|
Проверка Идентификации
|
Процесс предоставления достаточной информации
(например, идентификационной истории, удостоверений, документов) поставщику
услуг, с целью доказать, что лицо или объект является тем же лицом или
объектом, за который он себя выдает.
|
Infrastructure
|
Инфраструктура
|
Состоит из интегрированных технических компонентов
(например, аппаратные средства, программное обеспечение, сети, приложения и
протоколы), необходимых для предоставления интерактивных услуг в соответствии
с Условиями Доверия, и программ, необходимых для их поддержки.
|
Integrity
|
Целостность
|
Гарантия того, что данные не были
изменены или удалены
несанкционированным или незаметным образом.
|
Interoperability
|
Совместимость
|
Способность двух или более сетей, систем, устройств,
приложений и компонентов к обмену и использованию информации - надежно,
эффективно и практически без неудобств для пользователя.
Пригодность независимо реализуемых систем, устройств, приложений или компонентов к использованию в качестве взаимозаменяемых. |
Level of
Assurance
|
Уровень
надежности
|
Степень надежности в процессе проверки и установления
идентичности лица (лиц) или устройства (устройств), участвующих в сделке.
Степень уверенности, что человек, который использует учетные данные, на самом деле является физическим лицом, которому было выдано удостоверение. |
Non-Person Entity
(NPE)
|
Не Физическое Лицо (НФЛ)
|
Лица с цифровой идентификацией, действующие в
киберпространстве, не являющиеся физическими лицами. Это могут быть
организации, аппаратные устройства, программные приложения, а также
информационные артефакты.
|
Online
|
Онлайн
|
Состояние, связанное с возможностью подключения и
коммуникации с другими сетями, системами, компьютерами, субъектами или
компонентами в режиме реального времени через Интернет.
|
Privacy
|
Неприкосновенность частной информации
|
Надлежащее использование личной информации сообразно
обстоятельствам. Что именно уместно в данном случае, будет зависеть от
контекста, законодательства и ожиданий субъекта, а также права отдельных лиц
контролировать сбор, использование и раскрытие персональной информации.
|
Relying Party
|
Доверенная сторона
|
Доверенная сторона является поставщиком интернет-услуг
субъектам. В Identity Ecosystemдоверенная сторона отвечает за взаимодействие
с удостоверениями, идентификациями, и предъявителями атрибутов, необходимых
для проверки лиц, с которыми они обмениваются информацией.
|
Resilient
|
Эластичность
|
Готовность выдерживать изменения
(например, атаки), не испытывая постоянных повреждений. Способность решений
или услуг вернуться в исходное состояние после произошедших нарушений.
|
Secure
|
Безопасность
|
Интернет-транзакции
являются безопасными, если механизмы их реализации отвечают своему
предназначению правильной аутентификации сторон сделки, предотвращения
несанкционированного доступа и публикации данных, обеспечения доступности,
добросовестного проведения и записи любых переговоров, и сохраняют
конфиденциальность и целостность информации. Предварительно определенные цели
безопасности могут варьироваться по мере необходимости.
|
Service Provider
|
Поставщик
услуг
|
Поставщики услуг могут предоставлять шлюз доступа в
Интернет, услуги безопасности, услуги по обработке, хранению и доступу к
информации и приложениям, или комплекс этих услуг.
|
Standart
|
Стандарт
|
Опубликованные спецификации
характеристик, как правило, измеримых, которые должны быть удовлетворены в
целях соблюдения стандарта.
|
Transaction
|
Транзакция
|
Электронная коммуникация между двумя или более
сторонами (например, деловые переговоры, мероприятия и т.д.) в отдельной
части работы, приводящей к взаимно согласованному решению или сделке. Стороны
обязаны выполнять свои функции в течение операции, как и выполнять свои
обязательства после сделки.
|
Trust Framework
|
Условия Доверия
|
Базовая структура стандартов и политики, определяющих
права и обязанности различных участников Identity Ecosystem, определяет
правила, регулирующие их участие, определяет общую канву процессов и процедур
обеспечения гарантий, а также предоставляет правоприменительные механизмы для
обеспечения их соблюдения.
|
Trustmark
|
Трастмарка
|
Значок, печать, изображение или логотип, определяющий
соответствие продукта, устройства или услуг требованиям Identity Ecosystem
Идентификаций, определенной органом аккредитации. Для поддержания целостности
трастмарки, трастмарка сама по себе должна быть устойчива к фальсификации и
подделке документов, участники должны быть в состоянии как визуально, так и в
электронном виде проверить ее подлинность. Трастмарка представляет собой
визуальный символ, помогающий отдельным лицам и организациям сделать
осознанный выбор в отношении поставщиков и средств идентификации, которые они
используют.
|
Voluntary
|
Добровольность
|
Действие без принуждения или
обязательства.
|
Приложение B – Участники
В разработке.
Приложение C – ППДИ (FIPPs)
Практические
Принципы Достоверной Информации (Fair Information Practice Principles – FIPPs)
В целях реального укрепления
конфиденциальности при проведении онлайновых транзакций, Практические Принципы
Правдивой Информации (ППДИ) должны быть универсальными, а также последовательно
осваиваемыми и применяемыми в Identity Ecosystem. ППДИ представляют собой
общепринятую структуру определения принципов, которые будут использоваться при
оценке и рассмотрении систем, процессов или программ, воздействующих на
неприкосновенность частной информации8.
В кратком изложении, Принципы Правдивой
Информации подразумевают:
· Прозрачность:
Организации
должны быть прозрачными и обеспечивать осведомление отдельных лиц в отношении
сбора, использования, распространения и технического обслуживания персональной
идентификационной информации - ПИИ (personally identifiable information - PII)
· Личное
участие: Организации должны вовлекать лиц в процесс использования ПИИ, и,
по мере возможности, стремиться согласовывать с ними сбор, использование,
распространение и техническое обслуживание ПИИ. Организации должны также
предоставлять механизмы обеспечения надлежащего доступа, корректировки, и
восстановления ПИИ.
· Уточнение
цели: Организации должны конкретно указать орган, который уполномочил
их собирать ПИИ, а также цели, для которых будет использоваться ПИИ.
· Минимизация
Данных: Организациям следует собирать только ПИИ, имеющую
непосредственное отношение и необходимую для выполнения указанной цели (целей),
и хранить ПИИ только до тех пор, пока это необходимо для выполнения указанной
цели (целей).
· Ограниченное
Использование: Организациям следует использовать ПИИ исключительно для
цели (целей), указанной в уведомлении. Обмен ПИИ должен производиться только
для тех целей, с которыми ПИИ была предоставлена.
· Качество и Полнота Данных: Организации
должны, по мере возможности, убедиться, что ПИИ является точной, актуальной,
своевременной и полной.
· Безопасность:
Организации
должны защищать ПИИ (на всех носителях) с помощью соответствующих гарантий
безопасности в отношении рисков, таких, как потери, несанкционированный доступ
или злоупотребление, уничтожение, изменение, или непреднамеренное или
ненадлежащее разглашение.
· Подотчетность
и Аудит: Организации должны нести ответственность за соблюдение этих
принципов, обеспечивая подготовку всех сотрудников и подрядчиков, использующих
ПИИ, а также контролировать фактическое использование ПИИ, чтобы
продемонстрировать соблюдение этих принципов и всех применимых требований
защиты конфиденциальности.
Универсальное
применение ПППИ создает основу для доверия к онлайновым операциям.
8 Основанные
на докладе Департамента Здравоохранения и Образования Соединенных Штатов 1973 г., под названием
«Записи, Компьютеры и Права Граждан» (Records, Computers and the Rights of Citizens), эти принципы легли в основу Акта о Конфиденциальности (Privacy Act) 1974 года, и отражены в законах многих
штатов США, равно как и многих зарубежных стран и международных организаций.
Множество частных и некоммерческих организаций также включили эти принципы в
свою политику конфиденциальности.
