SlideShare a Scribd company logo

тезисы к докладу по электронной аутентификации в государственных системах

Mikhail Vanin
Mikhail Vanin

Тезисы к докладу с моего выступления на PKI Forum по теме электронной аутентификации в государственных системах.

Technology
1 of 5
1 Ванин М.В. ЭЛЕКТРОННАЯ УДАЛЕННАЯ АУТЕНТИФИКАЦИЯ В ГОСУДАРСТВЕННЫХ СИСТЕМАХ. R-Style, Москва. Унификация механизмов электронной идентификации и аутентификации граждан, сотрудников юридических лиц и должностных лиц органов власти при доступе к электронным сервисам государственных информационных систем является одной из актуальных задач Правительства России. Эта задача неоднократно упоминалась Д.А. Медведевым в прессе. По теме этой задачи в последние годы был принят ряд постановлений Правительства, как-то постановления по ФГИС «Единая система идентификации и аутентификации» (№ 977 от 28.11.2011 и № 584 от 10.07.2013), постановления по теме электронной подписи (№ 111 от 09.02.2012 и № 33 от 25.01.2013).На решение данной задачи направлено несколько крупных проектов последних лет, таких как проекты по «Единой системе идентификации и аутентификации» и «Информационной системе головного удостоверяющего центра», проект по «Универсальной электронной карте».Стоит упомянуть и прорабатываемый в настоящий момент проект по удостоверению личности гражданина Российской Федерации нового поколения в виде электронной идентификационной карты. Отметим, что, несмотря на бурное развитие в последние годы законотворчества и проектов в России по тематике идентификации и аутентификации пользователей, ощущается нехватка государственной стратегии, формализованной и доступной сообществу. Принятые постановления правительства имеют взаимные противоречия, а также зачастую не соответствуют существующим и планируемым возможностям упоминаемых информационных систем. При выборе стратегии в отношении электронной идентификации и аутентификации пользователей в государственных системах в нашей стране является полезным обратиться к опыту других стран с похожим федеративным устройством. В частности, большой интерес может представлять ознакомление с «Национальной стратегией США по достоверной идентификации в киберпространстве»1 , а также с материалами выполняющегося сейчас в Евросоюзе проекта «Безопасная трансграничная идентификация 2.0»2 . Эти источники позволяют четко проследить тренды правительств США и Евросоюза на создание федеративных систем электронной идентификации. Возможны два подхода к решению задачи электронной удаленной аутентификации в государственных системах: Единая система электронной удаленной аутентификации — для ведения учетных записей пользователей, электронной идентификации и аутентификации используется исключительно ФГИС ЕСИА, развиваемая государством. Федерация систем электронной удаленной аутентификации — в границах региона или в границах ведомства (ФОИВ, РОИВ) внедряется собственная система удаленной электронной аутентификации пользователей. Данная система в обязательном порядке взаимоувязана с ФГИС ЕСИА. Также эта система вводит собственные механизмы ведения учетных записей пользователей, электронной удаленной аутентификации и предоставляет возможность образования федерации с аналогичными системами удаленной электронной аутентификации пользователей других ведомств и организаций, соответствующих установленному государством стандарту. Проведем экспертное сравнение обоих подходов с использованием следующих критериев: Надежность — способность пользователей при доступе к электронным сервисам ведомства / региона пройти электронную удаленную аутентификацию в условиях возможных сбоев инфраструктурных информационных и телекоммуникационных сервисов. Безопасность —доверие механизмам электронной удаленной аутентификации со стороны пользователей и операторов информационных систем. 1 National strategy for trusted identities in cyberspace, апрель 2011, http://www.whitehouse.gov. 2 Secure idenTity acrOss boRders linKed 2.0 (STORK 2.0), https://www.eid-stork2.eu/
2 Удобство —простота и доступность для пользователей процедур регистрации, получения и замены персональных средств аутентификации, процедуры электронной удаленной аутентификации. Готовность к внедрению —проработанность возможности применения подхода с точки зрения нормативной базы и готовности необходимых федеральных государственных информационных систем. Экономический фактор — оценка затрат на внедрение унифицированных механизмов электронной удаленной аутентификации, в том числе возможностей сохранения инвестиций в существующие механизмы электронной удаленной аутентификации и возможностей по стимулированию инноваций поставщиков решений по электронной удаленной аутентификации за счет развития конкуренции. Таблица 1. Сравнение возможных подходов по обеспечению электронной удаленной аутентификации в государственных системах. Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» Надежность Преимущества: ответственность за надежность решения делегирована Минкомсвязи России; не требуются инвестиции региона / ФОИВ в повышение надежности решения и в обеспечение эксплуатации 24x7 — вся ответственность на Минкомсвязи России. Недостатки: отсутствие контроля. потенциальные трудности при создании единой системы идентификации и аутентификации, обеспечивающей все транзакции по электронной удаленной аутентификации для всех государственных информационных систем. Преимущества: возможность наращивать надежность системы за счет собственных инвестиций региона / ФОИВ; возможность выбора более надежного решения из числа предлагаемых на рынке; возможность организовать единый домен доступности информационных систем потребителей и сервиса электронной удаленной аутентификации. Недостатки: за надежность решения региону/ФОИВ необходимо нести самостоятельную ответственность. Безопасность Преимущества: ответственность за обеспечение безопасности решения делегирована Минкомсвязи России. Недостатки: отсутствие контроля за безопасностью. персональные данные всех пользователей хранятся в единой информационной системе, что серьезно увеличивает риск нарушения безопасности информации внутренним нарушителем. Преимущества: наличие контроля над мерами и механизмами обеспечения информационной безопасности. возможность самостоятельно контролировать распространение персональных данных (в том числе должностных лиц региона / ФОИВ) и степени их раскрытия подключенным информационным системам. возможность выбора наиболее безопасного решения из числа предлагаемых на рынке. Недостатки: за безопасность решения региону/ФОИВ необходимо нести самостоятельную ответственность. Удобство Преимущества: единые процедуры регистрации Преимущества: регион / ФОИВ могут организовать
3 Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» пользователей, а также единые механизмы удаленной электронной аутентификации вне зависимости от того, из какого региона пользователь, а также вне зависимости от того, сотрудником какого ФОИВ/РОИВ является пользователь. Недостатки: развитие всей системы, включая и пользовательский интерфейс, находится под контролем Минкомсвязи России. Доступны лишь те возможности по настройке, что предоставляются Минкомсвязи России. наиболее удобный (как по пользовательскому интерфейсу, так и по прохождению процедуры удостоверения личности) для пользователей способ регистрации в системе. механизмы удаленной электронной аутентификации сотрудников ФОИВ / РОИВ могут быть интегрированы с механизмами аутентификации при входе в домен сети и настроены для работы в режиме сквозной аутентификации. Сотрудник ФОИВ / РОИВ будет всегда использовать свою учетную запись, заведенную ему ведомством, в независимости от того, получает ли он доступ к информационным ресурсам своего ведомства или иных ведомств. регионы могут предусмотреть удобную для пользователей интеграцию с системами удаленной электронной аутентификацией местных банков. Недостатки: процедуры, связанные с удаленной электронной аутентификацией будут различаться от региона к региону и в различных ФОИВ. При переезде пользователя между регионами, а также при переходе сотрудников с работы на работу между ФОИВ/РОИВ им придется приспосабливаться к изменениям. Готовность к внедрению Преимущества: При текущем развитии ФГИС ЕСИА уже обеспечивается возможность использования единой учетной записи пользователями при доступе ко всем федеральным и региональным информационным системам в случае их интеграции с ЕСИА. Недостатки: Возможность применения ФГИС ЕСИА для решения задачи удаленной аутентификации сотрудников ФОИВ / РОИВ при доступе к ведомственным информационным системам доступна только в части обеспечения веб- аутентификации. Дело в том, что Преимущества: Системы удаленной электронной аутентификации должностных лиц ФОИВ/РОИВ могут быть сравнительно легко внедрены с максимально возможным сохранением инвестиций в уже созданные ведомственные механизмы ведения пользователей и аутентификации. Потенциально внедрения будут производиться на основе продуктов, предлагаемых различными поставщиками. Недостатки: Внедрение систем идентификации и аутентификации пользователей Интернет и сотрудников
4 Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» ФГИС ЕСИА требует обязательного обеспечения сетевой связности рабочих мест пользователей ведомств с системой ФГИС ЕСИА. Для многих ведомств это неприемлемо, так как их политиками безопасности существенно ограничена возможность подключения пользователей ведомственной сети к ресурсам Интернет или к ресурсам VPN-сети системы межведомственного электронного взаимодействия. Зачастую сетевые взаимодействия с сетью системы межведомственного электронного взаимодействия и с Интернет организованы через устройства типа «однонаправленные шлюзы», что также не позволяет осуществлять взаимодействия с ФГИС ЕСИА. ФГИС ЕСИА не предоставляет каких-либо механизмов для обеспечения электронной удаленной аутентификации при входе пользователей в сетевую ОС (при входе в домен), а также при использовании приложений типа «клиент-сервер», например, почтовых клиентов. юридических лиц на региональном уровне в настоящий момент не позволит пользователю иметь единый пароль для доступа к федеральным и региональным информационным ресурсам и воспользоваться преимуществами однократной веб- аутентификации. Для устранения этого недостатка необходима поддержка со стороны ФГИС ЕСИА возможности использования внешних (региональных) поставщиков идентификации. Экономический фактор Преимущества: При небольшом количестве подлежащих интеграции информационных систем и малом количестве пользователей отказ от создания собственной системы электронной удаленной аутентификации в пользу использования ФГИС ЕСИА является экономически выгодным. Недостатки: Использование ФГИС ЕСИА в качестве единственного решения по электронной удаленной аутентификации для всех государственных систем не способствует инновациям, не порождает конкуренции между поставщиками решения, и в стратегическом смысле является менее выгодным для государства. Государство фактически единолично Преимущества: Существование открытого рынка систем электронной удаленной аутентификации для государственных систем предусматривает наличие конкуренции и возможность выбора ФОИВ/РОИВ поставщика решений по электронной удаленной аутентификации из числа лучших. Поставщик решений по электронной удаленной аутентификации в условиях конкуренции стремится предложить лучшее решение как по критериям качества, так и по критериям цены владения. При этом поставщик привлекает инвестиции в развитие продукта как в государственном секторе за счет продажи решений в ФОИВ и РОИВ, так и в коммерческом секторе, за счет продажи решения организациям
5 Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» инвестирует в развитие систем электронной удаленной аутентификации для всех государственных систем, не привлекая при этом частных инвестиций. крупного и среднего бизнеса в России и за рубежом. Недостатки: Использование ФГИС ЕСИА для ФОИВ/РОИВ является бесплатным, что определено законодательством. ФОИВ и РОИВ лишь несут затраты на доработки своих информационных систем в целях подключения их к ФГИС ЕСИА. При наличии небольшого числа систем в ФОИВ/РОИВ и при небольшом количестве пользователей создание собственной системы электронной удаленной аутентификации для ФОИВ/РОИВ будет экономически нецелесообразным. В качестве выводов заметим, что выполняющиеся государством в последние годы работы по развитию механизмов электронной удаленной аутентификации являются крайне важными и уже позволили внести заметный вклад в развитие сервисов электронного правительства в России. В настоящий момент благодаря созданной государством системе ФГИС ЕСИА более 5 миллионов пользователей имеют возможность воспользоваться более чем 20 информационными системами. В свою очередь, операторы информационных систем могут сосредоточиться на развитии их основных функций, не растрачивая ресурсы на решение задачи организации доступа. Вместе с тем стоит настороженно отнестись к перспективам развития ФГИС ЕСИА в качестве единственной возможной системы электронной удаленной аутентификации. Целесообразнее было бы продолжить дальнейшее развитие ФГИС ЕСИА не только как системы электронной удаленной аутентификации «по умолчанию», но и как связующего федеративного центра для локальных систем электронной удаленной аутентификации ФОИВ, РОИВ и даже коммерческих организаций. Также в перспективе целесообразно развитие ФГИС ЕСИА как шлюза к системам электронной удаленной аутентификации других государств. ФОИВ и РОИВ рекомендуется рассматривать как альтернативу непосредственного подключения ведомственных систем к ФГИС ЕСИА также и возможность создания собственных систем электронной удаленной аутентификации, интегрированных с ФГИС ЕСИА. В пользу применения федеративного подхода при решении задачи электронной удаленной аутентификации хочется упомянуть также два конкурса ФОИВ, опубликованных на портале закупок 94-ФЗ: Конкурс Минздрава России (проведен в мае 2013 года) — включал работы поразвитию собственной системы электронной удаленной аутентификации Минздрава России, и ее сопряжения с ФГИС ЕСИА. Конкурс МВД России (август-сентябрь 2013 года) — заключается в создании унифицированного сервиса управления доступом к информационным системам и ресурсам единой системы информационно-аналитического обеспечения деятельности МВД России. В состав работ входит создание ведомственной системы электронной удаленной аутентификации и ее сопряжение с ФГИС ЕСИА.

Recommended

Eficientizarea IT - Temperfield
Eficientizarea IT - TemperfieldEficientizarea IT - Temperfield
Eficientizarea IT - TemperfieldTemperfield
 
Working with disconnected data in Windows Store apps
Working with disconnected data in Windows Store appsWorking with disconnected data in Windows Store apps
Working with disconnected data in Windows Store appsAlex Casquete
 
Everyday - mongodb
Everyday - mongodbEveryday - mongodb
Everyday - mongodbelliando dias
 
OAuth 2.0
OAuth 2.0OAuth 2.0
OAuth 2.0Andreas Åkre Solberg
 
Nuxeo World Session: Nuxeo Distributions
Nuxeo World Session: Nuxeo DistributionsNuxeo World Session: Nuxeo Distributions
Nuxeo World Session: Nuxeo DistributionsNuxeo
 
Sso every where
Sso every whereSso every where
Sso every wherePaul Seiler
 
Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системахMikhail Vanin
 
Всеведа для ресурсоснабжающих организаций
Всеведа для ресурсоснабжающих организацийВсеведа для ресурсоснабжающих организаций
Всеведа для ресурсоснабжающих организацийArsen Mirzayan
 

Recommended

Eficientizarea IT - Temperfield
Eficientizarea IT - TemperfieldEficientizarea IT - Temperfield
Eficientizarea IT - TemperfieldTemperfield
 
Working with disconnected data in Windows Store apps
Working with disconnected data in Windows Store appsWorking with disconnected data in Windows Store apps
Working with disconnected data in Windows Store appsAlex Casquete
 
Everyday - mongodb
Everyday - mongodbEveryday - mongodb
Everyday - mongodbelliando dias
 
OAuth 2.0
OAuth 2.0OAuth 2.0
OAuth 2.0Andreas Åkre Solberg
 
Nuxeo World Session: Nuxeo Distributions
Nuxeo World Session: Nuxeo DistributionsNuxeo World Session: Nuxeo Distributions
Nuxeo World Session: Nuxeo DistributionsNuxeo
 
Sso every where
Sso every whereSso every where
Sso every wherePaul Seiler
 
Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системахMikhail Vanin
 
Всеведа для ресурсоснабжающих организаций
Всеведа для ресурсоснабжающих организацийВсеведа для ресурсоснабжающих организаций
Всеведа для ресурсоснабжающих организацийArsen Mirzayan
 
презентация министр 07мар2012 финал
презентация министр 07мар2012 финалпрезентация министр 07мар2012 финал
презентация министр 07мар2012 финалGraf De Gan
 
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceАлександр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceProcontent.Ru Magazine
 
10649
1064910649
10649ivanov156635995534
 
Единая платежно-сервисная система "Универсальная электронная карта". Презента...
Единая платежно-сервисная система "Универсальная электронная карта". Презента...Единая платежно-сервисная система "Универсальная электронная карта". Презента...
Единая платежно-сервисная система "Универсальная электронная карта". Презента...Мария Булатова
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
СМЭВ, осень 2014 , ситуация и преспективы
СМЭВ, осень 2014 , ситуация и преспективыСМЭВ, осень 2014 , ситуация и преспективы
СМЭВ, осень 2014 , ситуация и преспективыSerge Dobridnjuk
 
Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...
Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...
Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...Ekaterina Morozova
 
Intervale
IntervaleIntervale
Intervalebankiua
 
Интеграция Docsvision с системой межведомственного документооборота
Интеграция Docsvision с системой межведомственного документооборотаИнтеграция Docsvision с системой межведомственного документооборота
Интеграция Docsvision с системой межведомственного документооборотаDocsvision
 
Развитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеРазвитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеКРОК
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
 
Развитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеРазвитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеКРОК
 
4
44
4mcheremenina
 
Sabanov
SabanovSabanov
SabanovEgor Sulkin
 
Презентация Данила Николаева, Росстандарт
Презентация Данила Николаева, РосстандартПрезентация Данила Николаева, Росстандарт
Презентация Данила Николаева, РосстандартБанковское обозрение
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014ISSP Russia
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity ProviderMikhail Vanin
 
Asi dostov-2015
Asi dostov-2015Asi dostov-2015
Asi dostov-2015Petr Didenko
 
РТК от электронного правительства к информационному обществу 01_10_2014
РТК от электронного правительства к информационному обществу 01_10_2014РТК от электронного правительства к информационному обществу 01_10_2014
РТК от электронного правительства к информационному обществу 01_10_2014Victor Gridnev
 
Blitz Smart Card Plugin
Blitz Smart Card PluginBlitz Smart Card Plugin
Blitz Smart Card PluginMikhail Vanin
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияMikhail Vanin
 

More Related Content

Similar to тезисы к докладу по электронной аутентификации в государственных системах

презентация министр 07мар2012 финал
презентация министр 07мар2012 финалпрезентация министр 07мар2012 финал
презентация министр 07мар2012 финалGraf De Gan
 
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceАлександр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceProcontent.Ru Magazine
 
Единая платежно-сервисная система "Универсальная электронная карта". Презента...
Единая платежно-сервисная система "Универсальная электронная карта". Презента...Единая платежно-сервисная система "Универсальная электронная карта". Презента...
Единая платежно-сервисная система "Универсальная электронная карта". Презента...Мария Булатова
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковКРОК
 
СМЭВ, осень 2014 , ситуация и преспективы
СМЭВ, осень 2014 , ситуация и преспективыСМЭВ, осень 2014 , ситуация и преспективы
СМЭВ, осень 2014 , ситуация и преспективыSerge Dobridnjuk
 
Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...
Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...
Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...Ekaterina Morozova
 
Intervale
IntervaleIntervale
Intervalebankiua
 
Интеграция Docsvision с системой межведомственного документооборота
Интеграция Docsvision с системой межведомственного документооборотаИнтеграция Docsvision с системой межведомственного документооборота
Интеграция Docsvision с системой межведомственного документооборотаDocsvision
 
Развитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеРазвитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеКРОК
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
 
Развитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеРазвитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеКРОК
 
Презентация Данила Николаева, Росстандарт
Презентация Данила Николаева, РосстандартПрезентация Данила Николаева, Росстандарт
Презентация Данила Николаева, РосстандартБанковское обозрение
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014ISSP Russia
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity ProviderMikhail Vanin
 
РТК от электронного правительства к информационному обществу 01_10_2014
РТК от электронного правительства к информационному обществу 01_10_2014РТК от электронного правительства к информационному обществу 01_10_2014
РТК от электронного правительства к информационному обществу 01_10_2014Victor Gridnev
 

Similar to тезисы к докладу по электронной аутентификации в государственных системах (20)

презентация министр 07мар2012 финал
презентация министр 07мар2012 финалпрезентация министр 07мар2012 финал
презентация министр 07мар2012 финал
 
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS ConferenceАлександр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
Александр Соболев, банк "Таврический", презентация для VI Mobile VAS Conference
 
10649
1064910649
10649
 
Единая платежно-сервисная система "Универсальная электронная карта". Презента...
Единая платежно-сервисная система "Универсальная электронная карта". Презента...Единая платежно-сервисная система "Универсальная электронная карта". Презента...
Единая платежно-сервисная система "Универсальная электронная карта". Презента...
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
 
СМЭВ, осень 2014 , ситуация и преспективы
СМЭВ, осень 2014 , ситуация и преспективыСМЭВ, осень 2014 , ситуация и преспективы
СМЭВ, осень 2014 , ситуация и преспективы
 
Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...
Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...
Д.В.Гуртов - Риски и перспективы развития проекта "Информационное общество" в...
 
Intervale
IntervaleIntervale
Intervale
 
Интеграция Docsvision с системой межведомственного документооборота
Интеграция Docsvision с системой межведомственного документооборотаИнтеграция Docsvision с системой межведомственного документооборота
Интеграция Docsvision с системой межведомственного документооборота
 
Развитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеРазвитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банке
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Развитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банкеРазвитие удаленных каналов обслуживания в крупном универсальном банке
Развитие удаленных каналов обслуживания в крупном универсальном банке
 
4
44
4
 
Sabanov
SabanovSabanov
Sabanov
 
Презентация Данила Николаева, Росстандарт
Презентация Данила Николаева, РосстандартПрезентация Данила Николаева, Росстандарт
Презентация Данила Николаева, Росстандарт
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
 
Asi dostov-2015
Asi dostov-2015Asi dostov-2015
Asi dostov-2015
 
РТК от электронного правительства к информационному обществу 01_10_2014
РТК от электронного правительства к информационному обществу 01_10_2014РТК от электронного правительства к информационному обществу 01_10_2014
РТК от электронного правительства к информационному обществу 01_10_2014
 

More from Mikhail Vanin

Blitz Smart Card Plugin
Blitz Smart Card PluginBlitz Smart Card Plugin
Blitz Smart Card PluginMikhail Vanin
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияMikhail Vanin
 
ТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угрозТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угрозMikhail Vanin
 
Семинар по Federated Identity Management
Семинар по Federated Identity ManagementСеминар по Federated Identity Management
Семинар по Federated Identity ManagementMikhail Vanin
 
Cloud Access Management
Cloud Access ManagementCloud Access Management
Cloud Access ManagementMikhail Vanin
 
Семинар по IdM
Семинар по IdMСеминар по IdM
Семинар по IdMMikhail Vanin
 

More from Mikhail Vanin (9)

Blitz Smart Card Plugin
Blitz Smart Card PluginBlitz Smart Card Plugin
Blitz Smart Card Plugin
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификация
 
ТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угрозТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угроз
 
Семинар по Federated Identity Management
Семинар по Federated Identity ManagementСеминар по Federated Identity Management
Семинар по Federated Identity Management
 
Cloud Access Management
Cloud Access ManagementCloud Access Management
Cloud Access Management
 
ФГИС ЕСИА
ФГИС ЕСИАФГИС ЕСИА
ФГИС ЕСИА
 
Database security
Database securityDatabase security
Database security
 
Cloud security
Cloud securityCloud security
Cloud security
 
Семинар по IdM
Семинар по IdMСеминар по IdM
Семинар по IdM
 

тезисы к докладу по электронной аутентификации в государственных системах

  • 1. 1 Ванин М.В. ЭЛЕКТРОННАЯ УДАЛЕННАЯ АУТЕНТИФИКАЦИЯ В ГОСУДАРСТВЕННЫХ СИСТЕМАХ. R-Style, Москва. Унификация механизмов электронной идентификации и аутентификации граждан, сотрудников юридических лиц и должностных лиц органов власти при доступе к электронным сервисам государственных информационных систем является одной из актуальных задач Правительства России. Эта задача неоднократно упоминалась Д.А. Медведевым в прессе. По теме этой задачи в последние годы был принят ряд постановлений Правительства, как-то постановления по ФГИС «Единая система идентификации и аутентификации» (№ 977 от 28.11.2011 и № 584 от 10.07.2013), постановления по теме электронной подписи (№ 111 от 09.02.2012 и № 33 от 25.01.2013).На решение данной задачи направлено несколько крупных проектов последних лет, таких как проекты по «Единой системе идентификации и аутентификации» и «Информационной системе головного удостоверяющего центра», проект по «Универсальной электронной карте».Стоит упомянуть и прорабатываемый в настоящий момент проект по удостоверению личности гражданина Российской Федерации нового поколения в виде электронной идентификационной карты. Отметим, что, несмотря на бурное развитие в последние годы законотворчества и проектов в России по тематике идентификации и аутентификации пользователей, ощущается нехватка государственной стратегии, формализованной и доступной сообществу. Принятые постановления правительства имеют взаимные противоречия, а также зачастую не соответствуют существующим и планируемым возможностям упоминаемых информационных систем. При выборе стратегии в отношении электронной идентификации и аутентификации пользователей в государственных системах в нашей стране является полезным обратиться к опыту других стран с похожим федеративным устройством. В частности, большой интерес может представлять ознакомление с «Национальной стратегией США по достоверной идентификации в киберпространстве»1 , а также с материалами выполняющегося сейчас в Евросоюзе проекта «Безопасная трансграничная идентификация 2.0»2 . Эти источники позволяют четко проследить тренды правительств США и Евросоюза на создание федеративных систем электронной идентификации. Возможны два подхода к решению задачи электронной удаленной аутентификации в государственных системах: Единая система электронной удаленной аутентификации — для ведения учетных записей пользователей, электронной идентификации и аутентификации используется исключительно ФГИС ЕСИА, развиваемая государством. Федерация систем электронной удаленной аутентификации — в границах региона или в границах ведомства (ФОИВ, РОИВ) внедряется собственная система удаленной электронной аутентификации пользователей. Данная система в обязательном порядке взаимоувязана с ФГИС ЕСИА. Также эта система вводит собственные механизмы ведения учетных записей пользователей, электронной удаленной аутентификации и предоставляет возможность образования федерации с аналогичными системами удаленной электронной аутентификации пользователей других ведомств и организаций, соответствующих установленному государством стандарту. Проведем экспертное сравнение обоих подходов с использованием следующих критериев: Надежность — способность пользователей при доступе к электронным сервисам ведомства / региона пройти электронную удаленную аутентификацию в условиях возможных сбоев инфраструктурных информационных и телекоммуникационных сервисов. Безопасность —доверие механизмам электронной удаленной аутентификации со стороны пользователей и операторов информационных систем. 1 National strategy for trusted identities in cyberspace, апрель 2011, http://www.whitehouse.gov. 2 Secure idenTity acrOss boRders linKed 2.0 (STORK 2.0), https://www.eid-stork2.eu/
  • 2. 2 Удобство —простота и доступность для пользователей процедур регистрации, получения и замены персональных средств аутентификации, процедуры электронной удаленной аутентификации. Готовность к внедрению —проработанность возможности применения подхода с точки зрения нормативной базы и готовности необходимых федеральных государственных информационных систем. Экономический фактор — оценка затрат на внедрение унифицированных механизмов электронной удаленной аутентификации, в том числе возможностей сохранения инвестиций в существующие механизмы электронной удаленной аутентификации и возможностей по стимулированию инноваций поставщиков решений по электронной удаленной аутентификации за счет развития конкуренции. Таблица 1. Сравнение возможных подходов по обеспечению электронной удаленной аутентификации в государственных системах. Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» Надежность Преимущества: ответственность за надежность решения делегирована Минкомсвязи России; не требуются инвестиции региона / ФОИВ в повышение надежности решения и в обеспечение эксплуатации 24x7 — вся ответственность на Минкомсвязи России. Недостатки: отсутствие контроля. потенциальные трудности при создании единой системы идентификации и аутентификации, обеспечивающей все транзакции по электронной удаленной аутентификации для всех государственных информационных систем. Преимущества: возможность наращивать надежность системы за счет собственных инвестиций региона / ФОИВ; возможность выбора более надежного решения из числа предлагаемых на рынке; возможность организовать единый домен доступности информационных систем потребителей и сервиса электронной удаленной аутентификации. Недостатки: за надежность решения региону/ФОИВ необходимо нести самостоятельную ответственность. Безопасность Преимущества: ответственность за обеспечение безопасности решения делегирована Минкомсвязи России. Недостатки: отсутствие контроля за безопасностью. персональные данные всех пользователей хранятся в единой информационной системе, что серьезно увеличивает риск нарушения безопасности информации внутренним нарушителем. Преимущества: наличие контроля над мерами и механизмами обеспечения информационной безопасности. возможность самостоятельно контролировать распространение персональных данных (в том числе должностных лиц региона / ФОИВ) и степени их раскрытия подключенным информационным системам. возможность выбора наиболее безопасного решения из числа предлагаемых на рынке. Недостатки: за безопасность решения региону/ФОИВ необходимо нести самостоятельную ответственность. Удобство Преимущества: единые процедуры регистрации Преимущества: регион / ФОИВ могут организовать
  • 3. 3 Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» пользователей, а также единые механизмы удаленной электронной аутентификации вне зависимости от того, из какого региона пользователь, а также вне зависимости от того, сотрудником какого ФОИВ/РОИВ является пользователь. Недостатки: развитие всей системы, включая и пользовательский интерфейс, находится под контролем Минкомсвязи России. Доступны лишь те возможности по настройке, что предоставляются Минкомсвязи России. наиболее удобный (как по пользовательскому интерфейсу, так и по прохождению процедуры удостоверения личности) для пользователей способ регистрации в системе. механизмы удаленной электронной аутентификации сотрудников ФОИВ / РОИВ могут быть интегрированы с механизмами аутентификации при входе в домен сети и настроены для работы в режиме сквозной аутентификации. Сотрудник ФОИВ / РОИВ будет всегда использовать свою учетную запись, заведенную ему ведомством, в независимости от того, получает ли он доступ к информационным ресурсам своего ведомства или иных ведомств. регионы могут предусмотреть удобную для пользователей интеграцию с системами удаленной электронной аутентификацией местных банков. Недостатки: процедуры, связанные с удаленной электронной аутентификацией будут различаться от региона к региону и в различных ФОИВ. При переезде пользователя между регионами, а также при переходе сотрудников с работы на работу между ФОИВ/РОИВ им придется приспосабливаться к изменениям. Готовность к внедрению Преимущества: При текущем развитии ФГИС ЕСИА уже обеспечивается возможность использования единой учетной записи пользователями при доступе ко всем федеральным и региональным информационным системам в случае их интеграции с ЕСИА. Недостатки: Возможность применения ФГИС ЕСИА для решения задачи удаленной аутентификации сотрудников ФОИВ / РОИВ при доступе к ведомственным информационным системам доступна только в части обеспечения веб- аутентификации. Дело в том, что Преимущества: Системы удаленной электронной аутентификации должностных лиц ФОИВ/РОИВ могут быть сравнительно легко внедрены с максимально возможным сохранением инвестиций в уже созданные ведомственные механизмы ведения пользователей и аутентификации. Потенциально внедрения будут производиться на основе продуктов, предлагаемых различными поставщиками. Недостатки: Внедрение систем идентификации и аутентификации пользователей Интернет и сотрудников
  • 4. 4 Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» ФГИС ЕСИА требует обязательного обеспечения сетевой связности рабочих мест пользователей ведомств с системой ФГИС ЕСИА. Для многих ведомств это неприемлемо, так как их политиками безопасности существенно ограничена возможность подключения пользователей ведомственной сети к ресурсам Интернет или к ресурсам VPN-сети системы межведомственного электронного взаимодействия. Зачастую сетевые взаимодействия с сетью системы межведомственного электронного взаимодействия и с Интернет организованы через устройства типа «однонаправленные шлюзы», что также не позволяет осуществлять взаимодействия с ФГИС ЕСИА. ФГИС ЕСИА не предоставляет каких-либо механизмов для обеспечения электронной удаленной аутентификации при входе пользователей в сетевую ОС (при входе в домен), а также при использовании приложений типа «клиент-сервер», например, почтовых клиентов. юридических лиц на региональном уровне в настоящий момент не позволит пользователю иметь единый пароль для доступа к федеральным и региональным информационным ресурсам и воспользоваться преимуществами однократной веб- аутентификации. Для устранения этого недостатка необходима поддержка со стороны ФГИС ЕСИА возможности использования внешних (региональных) поставщиков идентификации. Экономический фактор Преимущества: При небольшом количестве подлежащих интеграции информационных систем и малом количестве пользователей отказ от создания собственной системы электронной удаленной аутентификации в пользу использования ФГИС ЕСИА является экономически выгодным. Недостатки: Использование ФГИС ЕСИА в качестве единственного решения по электронной удаленной аутентификации для всех государственных систем не способствует инновациям, не порождает конкуренции между поставщиками решения, и в стратегическом смысле является менее выгодным для государства. Государство фактически единолично Преимущества: Существование открытого рынка систем электронной удаленной аутентификации для государственных систем предусматривает наличие конкуренции и возможность выбора ФОИВ/РОИВ поставщика решений по электронной удаленной аутентификации из числа лучших. Поставщик решений по электронной удаленной аутентификации в условиях конкуренции стремится предложить лучшее решение как по критериям качества, так и по критериям цены владения. При этом поставщик привлекает инвестиции в развитие продукта как в государственном секторе за счет продажи решений в ФОИВ и РОИВ, так и в коммерческом секторе, за счет продажи решения организациям
  • 5. 5 Критерий Подход «Единая система электронной удаленной аутентификации» Подход «Федерация систем электронной удаленной аутентификации» инвестирует в развитие систем электронной удаленной аутентификации для всех государственных систем, не привлекая при этом частных инвестиций. крупного и среднего бизнеса в России и за рубежом. Недостатки: Использование ФГИС ЕСИА для ФОИВ/РОИВ является бесплатным, что определено законодательством. ФОИВ и РОИВ лишь несут затраты на доработки своих информационных систем в целях подключения их к ФГИС ЕСИА. При наличии небольшого числа систем в ФОИВ/РОИВ и при небольшом количестве пользователей создание собственной системы электронной удаленной аутентификации для ФОИВ/РОИВ будет экономически нецелесообразным. В качестве выводов заметим, что выполняющиеся государством в последние годы работы по развитию механизмов электронной удаленной аутентификации являются крайне важными и уже позволили внести заметный вклад в развитие сервисов электронного правительства в России. В настоящий момент благодаря созданной государством системе ФГИС ЕСИА более 5 миллионов пользователей имеют возможность воспользоваться более чем 20 информационными системами. В свою очередь, операторы информационных систем могут сосредоточиться на развитии их основных функций, не растрачивая ресурсы на решение задачи организации доступа. Вместе с тем стоит настороженно отнестись к перспективам развития ФГИС ЕСИА в качестве единственной возможной системы электронной удаленной аутентификации. Целесообразнее было бы продолжить дальнейшее развитие ФГИС ЕСИА не только как системы электронной удаленной аутентификации «по умолчанию», но и как связующего федеративного центра для локальных систем электронной удаленной аутентификации ФОИВ, РОИВ и даже коммерческих организаций. Также в перспективе целесообразно развитие ФГИС ЕСИА как шлюза к системам электронной удаленной аутентификации других государств. ФОИВ и РОИВ рекомендуется рассматривать как альтернативу непосредственного подключения ведомственных систем к ФГИС ЕСИА также и возможность создания собственных систем электронной удаленной аутентификации, интегрированных с ФГИС ЕСИА. В пользу применения федеративного подхода при решении задачи электронной удаленной аутентификации хочется упомянуть также два конкурса ФОИВ, опубликованных на портале закупок 94-ФЗ: Конкурс Минздрава России (проведен в мае 2013 года) — включал работы поразвитию собственной системы электронной удаленной аутентификации Минздрава России, и ее сопряжения с ФГИС ЕСИА. Конкурс МВД России (август-сентябрь 2013 года) — заключается в создании унифицированного сервиса управления доступом к информационным системам и ресурсам единой системы информационно-аналитического обеспечения деятельности МВД России. В состав работ входит создание ведомственной системы электронной удаленной аутентификации и ее сопряжение с ФГИС ЕСИА.