Презентация по ФГИС ЕСИА. Показана на 21-ой научно-технической конференции "Методы и технические средства обеспечения безопасности информации", Санкт-Петербург, 2012.
3. Задачи
ЕСИА
Обработка
запросов
на
Ведение
регистров
идентификацию
и
пользователей,
организаций,
аутентификацию
пользователей
систем
и
полномочий
Обеспечение
безопасности
персональных
данных
3
4. ЕСИА
сегодня
Порталы открытого
www.gosuslugi.ru правительства,
электронной демократии,
общественного обсуждения
законопроектов
и другие …
ЕСИА
Региональные порталы
государственных услуг
Сервисы национальной
лето
2012
облачной платформы
www.o7.com
Системы инфраструктуры Сайт размещения 4
электронного правительства заказов (223-ФЗ)
5. Единая
учетная
запись
пользователя
Роли
пользователей
в
ЕСИА
Физическое
лицо
(граждане
РФ
и
иностранцы)
Индивидуальный
предприниматель
Должностное
лицо
Юридического
лица
Должностное
лицо
государственной
организации
Оператор
/
Администратор
+
1
особый
тип
пользователей
Информационная
система
5
6. Различие
пользователей
при
идентификации.
Уровни
достоверности
1
2
3
4
Подтверждение
личности
Подтверждение
Регистрация
регистрации
Регистрация
(Почта
России,
личности
в
офисе
сотрудника
Метод
через
Интернет
офис
регистрации)
регистрации
гос.организации
(без
верификации
(в
соответствии
с
данных)
Верификация
Регистрация
с
ЭП
политикой
своего
данных
(63-‐ФЗ)
Ведомства)
пользователя
аутентификации
Вход
по
ЭП
Вход
по
ЭП
Метод
Вход
по
паролю
Вход
по
паролю
Вход
по
Вход
по
одноразовому
одноразовому
ключу
ключу
6
7. Открытые
стандарты
взаимодействия
с
ЕСИА
Идентификация
и
аутентификация
• взаимодействие
основано
на
SAML
2.0
• ЕСИА
соответствует
профилям
web
browser
SSO
profile,
single
logout
profile
• опубликованы
«Методические
рекомендации
по
использованию
ЕСИА»
Работа
с
пользователями
и
полномочиями
• Web-‐интерфейс,
все
распространенные
браузеры
• API
в
форме
web-‐сервисов,
доступных
по
SOAP
с
WS-‐Security
7
8. Сценарий
1.
Идентификация
и
аутентификация
пользователей
…Хочу
войти
в
личный
ЕСИА
кабинет
ИС
(web-‐
НTTPs
GET портал)
1.
Пользователь
обращается
к
защищённому
ресурсу
ИС
2.
ИС
перенаправляет
пользователя
в
ЕСИА
3.
Пользователь
проходит
аутентификацию
в
ЕСИА
4.
ЕСИА
передаёт
в
ИС
утверждения
о
пользователе
и
перенаправляет
пользователя
в
ИС
8
9. Сценарий
1.
Идентификация
и
аутентификация
пользователей
…Хочу
войти
Нужно
авторизо-‐
в
личный
ЕСИА
кабинет
ваться…
SAML/НTT
Ps
Redirec
t
ИС
(web-‐
НTTPs
GET портал)
1.
Пользователь
обращается
к
защищённому
ресурсу
ИС
2.
ИС
перенаправляет
пользователя
в
ЕСИА
3.
Пользователь
проходит
аутентификацию
в
ЕСИА
4.
ЕСИА
передаёт
в
ИС
утверждения
о
пользователе
и
перенаправляет
пользователя
в
ИС
9
10. Сценарий
1.
Идентификация
и
аутентификация
пользователей
НTTPs
POS
Ввожу
T
логин
и
ЕСИА
пароль
SAML/НTT
Ps
Redirec
t
ИС
(web-‐
портал)
1.
Пользователь
обращается
к
защищённому
ресурсу
ИС
2.
ИС
перенаправляет
пользователя
в
ЕСИА
3.
Пользователь
проходит
аутентификацию
в
ЕСИА
4.
ЕСИА
передаёт
в
ИС
утверждения
о
пользователе
и
перенаправляет
пользователя
в
ИС
10
11. Сценарий
1.
Идентификация
и
аутентификация
пользователей
НTTPs
POS
T
J
ЕСИА
SAML/НTT
Ps
РОST
ИС
(web-‐
портал)
1.
Пользователь
обращается
к
защищённому
ресурсу
ИС
2.
ИС
перенаправляет
пользователя
в
ЕСИА
3.
Пользователь
проходит
аутентификацию
в
ЕСИА
4.
ЕСИА
передаёт
в
ИС
утверждения
о
пользователе
и
перенаправляет
пользователя
в
ИС
11
12. Сценарий
2.
Идентификация
систем
при
межведомственном
взаимодействии
1,2
Отправка
межведомственного
запроса
3
Запрос
идентификации
ИС
в
ЕСИА
Орган власти,
оказывающий 4,5
Проверка
действительности
сертификата
ЭП
услугу
6
Результат
идентификации
ИС
и
ее
полномочия
7,8
Обработка
запроса
в
ведомстве
9,10
Передача
результата
исполнения
запроса
СМЭВ
Взаимодействие
ЕСИА
Полномочия
ИС ГУЦ
Доверие
Орган власти,
поставщик
информации
12
13. Сценарий
3.
Ведение
регистров
должностных
лиц
и
полномочий
графический
интерфейс
ЕСИА
…Ввожу
данные
о
ДЛ
и
полномочиях
Администратор
профиля организации
HR-‐
или
IdM-‐система
организации
Данные о
сотруднике электронные
сервисы
ЕСИА
Необходимо
проверить
полномочия
Информационная 13
система организации
14. Выгоды
использования
ЕСИА
Для
пользователей
Для
операторов
ИС
Для
государства
n Единая
учетная
запись
n Поставщик
качественных
n Оптимизация
затрат
на
идентификационных
развитие
n Единые
механизмы
данных
населения
РФ
информационных
доступа
n Потенциальный
технологий
n Потенциальная
стандарт
РФ
по
n Расширение
возможность
контроля
идентификации
возможностей
доступа
к
своим
ПДн
пользователей
электронного
n Аутсорсинг
задачи
межведомственного
организации
доступа
и
взаимодействия
защиты
ПДн
n Единая
база
учетных
записей
должностных
лиц
органов
власти
и
их
полномочий
n Качественная
база
идентификационных
данных
населения
РФ
14
16. Особенности
обеспечения
безопасности
ЕСИА
ЕСИА
–
«некорпоративная»
информационная
система
1 • ИБ
«последней
мили»
• Ограниченные
возможности
распространения
политики
безопасности
• Внешний
информационный
обмен
Угрозы
Угрозы
Пользователи ЕСИА
Угрозы
ИС 16
18. Особенности
обеспечения
безопасности
ЕСИА
Акценты
на
3 • меры
доверия
(а
не
функции
безопасности)
• апостериорные
(а
не
априорные)
методы
защиты
• снижение
(а
не
предотвращение)
рисков
18
19. Механизмы
безопасности
в
некорпоративных
системах
• Управление
событиями
безопасности
Универсальные
• Мониторинг
состояния
ИТ
механизмы
• Контроль
соответствия
требованиям
Бизнес-‐ • Управление
правами
доступа
ориентированные
• Управление
идентификацией
механизмы
• Электронная
подпись
• Управление
информационными
ресурсами
Смежные
• Обеспечение
непрерывности
деятельности
механизмы
• Управление
операционными
рисками
(GRC)
19
20. Как
начать
использовать
ЕСИА
Документы
Инструментарий
n Постановление
Правительства
РФ
от
n Тестовый
контур
ЕСИА
для
отработки
28.11.2011
г.
№
977
«О
Единой
присоединения
ведомственных
системе
идентификации
и
информационных
систем
аутентификации…»
n Технологический
портал
ЕСИА
для
n Положение
о
ЕСИА:
Приказ
автоматизации
процедур,
Минкомсвязи
России
от
13.04.2012
г.
предусмотренных
регламентом
№
107
взаимодействия
h•ps://esia-‐portal.gosuslugi.ru
n Методические
рекомендации
по
использованию
ЕСИА
Контакты
n Регламент
взаимодействия
при
n Единая
«точка
входа»
по
вопросам
использовании
ЕСИА
использования
ЕСИА,
esia@gosuslugi.ru
n ОАО
«Ростелеком»
–
Обидовский
Сергей
Владимирович,
Sergey.Obidovskiy@rt.ru
n AT
Consul”ng
–
Ванин
Михаил
Владимирович,
mvanin@at-‐consul”ng.ru
20