МОДЕЛИ И КРИТЕРИИ ДОВЕРИЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

АННОТАЦИЯ

В работе рассматривается проблема оценки доверия и остаточных рисков в условиях отсутствия единых стандартов измерения. Исследуются теоретические основы доверия в информационной безопасности, анализируются современные модели (PKI, Zero Trust).

Ключевые слова: информационная безопасность, уровень доверия, аутентификация.

Введение

В современном мире информационные технологии играют ключевую роль в обеспечении функционирования различных сфер деятельности. Однако рост их сложности и масштабов взаимодействия неизбежно сопровождается увеличением киберугроз и уязвимостей. В этой связи особую значимость приобретает проблема оценки и управления доверием к информационным системам.

Актуальность исследования обусловлена необходимостью поиска баланса между удобством использования систем и обеспечением их безопасности. Некорректная оценка уровня доверия или избыточная уверенность в защищённости системы могут привести к значительным нарушениям конфиденциальности, целостности и доступности данных.

Целью данной работы является анализ механизмов формирования доверия в информационных системах. В рамках исследования предполагается решить следующие задачи:

1. Раскрыть сущность доверия в информационных системах.
2. Проанализировать модели и уровни доверия.
3. Оценить нормативные подходы к определению доверия в современных стандартах.

Понятие доверия

Доверие в контексте информационных систем можно определить, как меру уверенности пользователей и организаций в том, что система:

1.  будет работать предсказуемо;
2. сохраняет конфиденциальность, целостность и доступность данных (триада CIA).

Доверенной мы можем назвать такую систему, в которой знаем все про каждый элемент, и при этом каждый элемент является доверенным.

Модели доверия

Zero Trust («нулевое доверие») концепция информационной безопасности, предполагающая отсутствие доверия к каким бы то ни было объектам IT-инфраструктуры организации, будь то пользователи, устройства или программы.

Цель Zero Trust — это защита от несанкционированного доступа ресурсов компании, которые расположены во внутренней сети и внешней, например, облачные приложения и хранилища данных.

Основные подходы такой модели:

• Микросегментация. Разделение IT-инфраструктуры на небольшие, управляемые сегменты с различными уровнями доступа.
• Принцип минимальных привилегий. Этот принцип предполагает предоставление каждому пользователю, устройству или приложению только тех прав, которые необходимы ему для выполнения конкретной задачи.
• Аутентификация и авторизация при каждом запросе на доступ. Каждый раз, когда пользователи, устройства или программы запрашивают доступ к определённому ресурсу, они обязаны пройти процедуру проверки подлинности и подтвердить свои права на доступ.
• Тотальный контроль на основе политики безопасности [3-4].

Инфраструктура открытых ключей (ИОК, англ. PKI — Public Key Infrastructure) — это термин, подразумевающий набор мер и политик, позволяющих развертывать и управлять одной из наиболее распространенных форм онлайн-шифрования — шифрованием с открытым ключом.

Основные компоненты PKI:

• Цифровой сертификат — это электронный документ, который связывает открытый ключ с определённой сущностью, такой как человек, организация или устройство. Сертификат выдается центром сертификации (CA) и содержит информацию, позволяющую идентифицировать владельца ключа.
• Центр сертификации (CA) — доверенная третья сторона, которая выдает, обновляет и отзывает цифровые сертификаты. CA проверяет личность того, кому выдается сертификат, и гарантирует его подлинность.
• Открытые и закрытые ключи — ключи, которые используются в асимметричном шифровании. Открытый ключ известен публично и может быть использован для шифрования данных, а закрытый ключ должен храниться в секрете и используется для расшифровки данных.
• CRL (Список отозванных сертификатов) — список сертификатов, которые были признаны недействительными до истечения их срока действия. Этот список публикуется центром сертификации, чтобы другие могли убедиться, что сертификат больше не действителен.
• Регистрационный центр (RA) — отвечает за проверку подлинности пользователей, которые запрашивают сертификаты. RA может выполнять функции центра сертификации, но чаще всего работает как его расширение [5-6].

Уровни доверия ИС

В современных стандартах информационной безопасности, включая проект ГОСТ Р ФСТЭК (2024), принята трехуровневая модель оценки доверия к информационным системам. Данная классификация основывается на двух ключевых параметрах:

1. Значимость обрабатываемой информации.
2. Потенциальный ущерб от нарушения её конфиденциальности, целостности или доступности.

Характеристики уровней доверия:

1. Низкий уровень доверия:

• Применяется для систем с минимальными требованиями к защите;
• Используется однофакторная аутентификация (пароль или токен);
• Обеспечивает базовую уверенность в подлинности субъекта.

2. Средний уровень доверия:

• Требуется для систем обработки значимой информации;
• Обязательное использование двух различных факторов аутентификации;
• Обеспечивает умеренную уверенность в подлинности.

3. Высокий уровень доверия:

• Применяется для критически важных систем;
• Требуется многофакторная аутентификация с криптографическими средствами;
• Используются технические средства с неизвлекаемыми ключами.

Выбор конкретного уровня доверия осуществляется на этапе проектирования системы безопасности и должен учитывать, как нормативные требования, так и экономическую целесообразность реализации защитных механизмов [7].

Заключение

Исследование подтвердило, что доверие к информационным системам остается многомерной категорией, требующей как технологических (аутентификация, шифрование), так и нормативных решений. Несмотря на развитие моделей Zero Trust и PKI, ключевой проблемой является отсутствие стандартизированных метрик оценки. Перспективным направлением представляется разработка динамических моделей доверия, учитывающих не только исходные параметры системы, но и её поведение в реальном времени. Внедрение таких подходов, дополненное межотраслевыми стандартами, позволит сократить разрыв между теоретическими концепциями доверия и практикой информационной безопасности.

Список литературы:

1. ГОСТ Р ИСО/МЭК 27005-2010
2. ГОСТ Р 57580.1-2017
3. «Что такое Zero Trust? Модель безопасности». URL: https://habr.com/ru/companies/varonis/articles/472934/
4. «Концепция Zero Trust: не доверяй — всегда проверяй» URL: https://www.kaspersky.ru/blog/zero-trust-security/28780/?ysclid=maio1ff31z264322545
5. «Что такое PKI? Главное об инфраструктуре открытых ключей» URL: https://habr.com/ru/articles/655135/
6. «PKI: основные принципы и российские решения» URL: https://www.securitylab.ru/blog/personal/paragraph/354385.php
7. «Проект национального стандарта ГОСТ Р Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации» URL: https://fstec.ru/tk-362/standarty/proekty/proekt-natsionalnogo-standarta-gost-r-8