тезисы к докладу по электронной аутентификации в государственных системах
1. 1
Ванин М.В.
ЭЛЕКТРОННАЯ УДАЛЕННАЯ АУТЕНТИФИКАЦИЯ В ГОСУДАРСТВЕННЫХ СИСТЕМАХ.
R-Style, Москва.
Унификация механизмов электронной идентификации и аутентификации граждан, сотрудников
юридических лиц и должностных лиц органов власти при доступе к электронным сервисам
государственных информационных систем является одной из актуальных задач Правительства России. Эта
задача неоднократно упоминалась Д.А. Медведевым в прессе. По теме этой задачи в последние годы был
принят ряд постановлений Правительства, как-то постановления по ФГИС «Единая система идентификации
и аутентификации» (№ 977 от 28.11.2011 и № 584 от 10.07.2013), постановления по теме электронной
подписи (№ 111 от 09.02.2012 и № 33 от 25.01.2013).На решение данной задачи направлено несколько
крупных проектов последних лет, таких как проекты по «Единой системе идентификации и
аутентификации» и «Информационной системе головного удостоверяющего центра», проект по
«Универсальной электронной карте».Стоит упомянуть и прорабатываемый в настоящий момент проект по
удостоверению личности гражданина Российской Федерации нового поколения в виде электронной
идентификационной карты.
Отметим, что, несмотря на бурное развитие в последние годы законотворчества и проектов в России
по тематике идентификации и аутентификации пользователей, ощущается нехватка государственной
стратегии, формализованной и доступной сообществу. Принятые постановления правительства имеют
взаимные противоречия, а также зачастую не соответствуют существующим и планируемым возможностям
упоминаемых информационных систем.
При выборе стратегии в отношении электронной идентификации и аутентификации пользователей в
государственных системах в нашей стране является полезным обратиться к опыту других стран с похожим
федеративным устройством. В частности, большой интерес может представлять ознакомление с
«Национальной стратегией США по достоверной идентификации в киберпространстве»1
, а также с
материалами выполняющегося сейчас в Евросоюзе проекта «Безопасная трансграничная идентификация
2.0»2
. Эти источники позволяют четко проследить тренды правительств США и Евросоюза на создание
федеративных систем электронной идентификации.
Возможны два подхода к решению задачи электронной удаленной аутентификации в
государственных системах:
Единая система электронной удаленной аутентификации — для ведения учетных записей
пользователей, электронной идентификации и аутентификации используется исключительно ФГИС
ЕСИА, развиваемая государством.
Федерация систем электронной удаленной аутентификации — в границах региона или в границах
ведомства (ФОИВ, РОИВ) внедряется собственная система удаленной электронной аутентификации
пользователей. Данная система в обязательном порядке взаимоувязана с ФГИС ЕСИА. Также эта
система вводит собственные механизмы ведения учетных записей пользователей, электронной
удаленной аутентификации и предоставляет возможность образования федерации с аналогичными
системами удаленной электронной аутентификации пользователей других ведомств и организаций,
соответствующих установленному государством стандарту.
Проведем экспертное сравнение обоих подходов с использованием следующих критериев:
Надежность — способность пользователей при доступе к электронным сервисам ведомства / региона
пройти электронную удаленную аутентификацию в условиях возможных сбоев инфраструктурных
информационных и телекоммуникационных сервисов.
Безопасность —доверие механизмам электронной удаленной аутентификации со стороны
пользователей и операторов информационных систем.
1
National strategy for trusted identities in cyberspace, апрель 2011, http://www.whitehouse.gov.
2
Secure idenTity acrOss boRders linKed 2.0 (STORK 2.0), https://www.eid-stork2.eu/
2. 2
Удобство —простота и доступность для пользователей процедур регистрации, получения и замены
персональных средств аутентификации, процедуры электронной удаленной аутентификации.
Готовность к внедрению —проработанность возможности применения подхода с точки зрения
нормативной базы и готовности необходимых федеральных государственных информационных систем.
Экономический фактор — оценка затрат на внедрение унифицированных механизмов электронной
удаленной аутентификации, в том числе возможностей сохранения инвестиций в существующие
механизмы электронной удаленной аутентификации и возможностей по стимулированию инноваций
поставщиков решений по электронной удаленной аутентификации за счет развития конкуренции.
Таблица 1. Сравнение возможных подходов по обеспечению электронной удаленной аутентификации в
государственных системах.
Критерий Подход «Единая система электронной
удаленной аутентификации»
Подход «Федерация систем
электронной удаленной
аутентификации»
Надежность Преимущества:
ответственность за надежность
решения делегирована Минкомсвязи
России;
не требуются инвестиции региона /
ФОИВ в повышение надежности
решения и в обеспечение
эксплуатации 24x7 — вся
ответственность на Минкомсвязи
России.
Недостатки:
отсутствие контроля.
потенциальные трудности при
создании единой системы
идентификации и аутентификации,
обеспечивающей все транзакции по
электронной удаленной
аутентификации для всех
государственных информационных
систем.
Преимущества:
возможность наращивать надежность
системы за счет собственных
инвестиций региона / ФОИВ;
возможность выбора более
надежного решения из числа
предлагаемых на рынке;
возможность организовать единый
домен доступности информационных
систем потребителей и сервиса
электронной удаленной
аутентификации.
Недостатки:
за надежность решения
региону/ФОИВ необходимо нести
самостоятельную ответственность.
Безопасность Преимущества:
ответственность за обеспечение
безопасности решения делегирована
Минкомсвязи России.
Недостатки:
отсутствие контроля за
безопасностью.
персональные данные всех
пользователей хранятся в единой
информационной системе, что
серьезно увеличивает риск
нарушения безопасности информации
внутренним нарушителем.
Преимущества:
наличие контроля над мерами и
механизмами обеспечения
информационной безопасности.
возможность самостоятельно
контролировать распространение
персональных данных (в том числе
должностных лиц региона / ФОИВ) и
степени их раскрытия подключенным
информационным системам.
возможность выбора наиболее
безопасного решения из числа
предлагаемых на рынке.
Недостатки:
за безопасность решения
региону/ФОИВ необходимо нести
самостоятельную ответственность.
Удобство Преимущества:
единые процедуры регистрации
Преимущества:
регион / ФОИВ могут организовать
3. 3
Критерий Подход «Единая система электронной
удаленной аутентификации»
Подход «Федерация систем
электронной удаленной
аутентификации»
пользователей, а также единые
механизмы удаленной электронной
аутентификации вне зависимости от
того, из какого региона пользователь,
а также вне зависимости от того,
сотрудником какого ФОИВ/РОИВ
является пользователь.
Недостатки:
развитие всей системы, включая и
пользовательский интерфейс,
находится под контролем
Минкомсвязи России. Доступны
лишь те возможности по настройке,
что предоставляются Минкомсвязи
России.
наиболее удобный (как по
пользовательскому интерфейсу, так и
по прохождению процедуры
удостоверения личности) для
пользователей способ регистрации в
системе.
механизмы удаленной электронной
аутентификации сотрудников ФОИВ
/ РОИВ могут быть интегрированы с
механизмами аутентификации при
входе в домен сети и настроены для
работы в режиме сквозной
аутентификации. Сотрудник ФОИВ /
РОИВ будет всегда использовать
свою учетную запись, заведенную
ему ведомством, в независимости от
того, получает ли он доступ к
информационным ресурсам своего
ведомства или иных ведомств.
регионы могут предусмотреть
удобную для пользователей
интеграцию с системами удаленной
электронной аутентификацией
местных банков.
Недостатки:
процедуры, связанные с удаленной
электронной аутентификацией будут
различаться от региона к региону и в
различных ФОИВ. При переезде
пользователя между регионами, а
также при переходе сотрудников с
работы на работу между
ФОИВ/РОИВ им придется
приспосабливаться к изменениям.
Готовность к
внедрению
Преимущества:
При текущем развитии ФГИС ЕСИА
уже обеспечивается возможность
использования единой учетной
записи пользователями при доступе
ко всем федеральным и
региональным информационным
системам в случае их интеграции с
ЕСИА.
Недостатки:
Возможность применения ФГИС
ЕСИА для решения задачи удаленной
аутентификации сотрудников ФОИВ
/ РОИВ при доступе к ведомственным
информационным системам доступна
только в части обеспечения веб-
аутентификации. Дело в том, что
Преимущества:
Системы удаленной электронной
аутентификации должностных лиц
ФОИВ/РОИВ могут быть
сравнительно легко внедрены с
максимально возможным
сохранением инвестиций в уже
созданные ведомственные механизмы
ведения пользователей и
аутентификации. Потенциально
внедрения будут производиться на
основе продуктов, предлагаемых
различными поставщиками.
Недостатки:
Внедрение систем идентификации и
аутентификации пользователей
Интернет и сотрудников
4. 4
Критерий Подход «Единая система электронной
удаленной аутентификации»
Подход «Федерация систем
электронной удаленной
аутентификации»
ФГИС ЕСИА требует обязательного
обеспечения сетевой связности
рабочих мест пользователей ведомств
с системой ФГИС ЕСИА. Для многих
ведомств это неприемлемо, так как их
политиками безопасности
существенно ограничена
возможность подключения
пользователей ведомственной сети к
ресурсам Интернет или к ресурсам
VPN-сети системы
межведомственного электронного
взаимодействия. Зачастую сетевые
взаимодействия с сетью системы
межведомственного электронного
взаимодействия и с Интернет
организованы через устройства типа
«однонаправленные шлюзы», что
также не позволяет осуществлять
взаимодействия с ФГИС ЕСИА.
ФГИС ЕСИА не предоставляет
каких-либо механизмов для
обеспечения электронной удаленной
аутентификации при входе
пользователей в сетевую ОС (при
входе в домен), а также при
использовании приложений типа
«клиент-сервер», например, почтовых
клиентов.
юридических лиц на региональном
уровне в настоящий момент не
позволит пользователю иметь единый
пароль для доступа к федеральным и
региональным информационным
ресурсам и воспользоваться
преимуществами однократной веб-
аутентификации. Для устранения
этого недостатка необходима
поддержка со стороны ФГИС ЕСИА
возможности использования внешних
(региональных) поставщиков
идентификации.
Экономический
фактор
Преимущества:
При небольшом количестве
подлежащих интеграции
информационных систем и малом
количестве пользователей отказ от
создания собственной системы
электронной удаленной
аутентификации в пользу
использования ФГИС ЕСИА является
экономически выгодным.
Недостатки:
Использование ФГИС ЕСИА в
качестве единственного решения по
электронной удаленной
аутентификации для всех
государственных систем не
способствует инновациям, не
порождает конкуренции между
поставщиками решения, и в
стратегическом смысле является
менее выгодным для государства.
Государство фактически единолично
Преимущества:
Существование открытого рынка
систем электронной удаленной
аутентификации для
государственных систем
предусматривает наличие
конкуренции и возможность выбора
ФОИВ/РОИВ поставщика решений
по электронной удаленной
аутентификации из числа лучших.
Поставщик решений по электронной
удаленной аутентификации в
условиях конкуренции стремится
предложить лучшее решение как по
критериям качества, так и по
критериям цены владения. При этом
поставщик привлекает инвестиции в
развитие продукта как в
государственном секторе за счет
продажи решений в ФОИВ и РОИВ,
так и в коммерческом секторе, за счет
продажи решения организациям
5. 5
Критерий Подход «Единая система электронной
удаленной аутентификации»
Подход «Федерация систем
электронной удаленной
аутентификации»
инвестирует в развитие систем
электронной удаленной
аутентификации для всех
государственных систем, не
привлекая при этом частных
инвестиций.
крупного и среднего бизнеса в России
и за рубежом.
Недостатки:
Использование ФГИС ЕСИА для
ФОИВ/РОИВ является бесплатным,
что определено законодательством.
ФОИВ и РОИВ лишь несут затраты
на доработки своих информационных
систем в целях подключения их к
ФГИС ЕСИА. При наличии
небольшого числа систем в
ФОИВ/РОИВ и при небольшом
количестве пользователей создание
собственной системы электронной
удаленной аутентификации для
ФОИВ/РОИВ будет экономически
нецелесообразным.
В качестве выводов заметим, что выполняющиеся государством в последние годы работы по
развитию механизмов электронной удаленной аутентификации являются крайне важными и уже позволили
внести заметный вклад в развитие сервисов электронного правительства в России. В настоящий момент
благодаря созданной государством системе ФГИС ЕСИА более 5 миллионов пользователей имеют
возможность воспользоваться более чем 20 информационными системами. В свою очередь, операторы
информационных систем могут сосредоточиться на развитии их основных функций, не растрачивая ресурсы
на решение задачи организации доступа.
Вместе с тем стоит настороженно отнестись к перспективам развития ФГИС ЕСИА в качестве
единственной возможной системы электронной удаленной аутентификации. Целесообразнее было бы
продолжить дальнейшее развитие ФГИС ЕСИА не только как системы электронной удаленной
аутентификации «по умолчанию», но и как связующего федеративного центра для локальных систем
электронной удаленной аутентификации ФОИВ, РОИВ и даже коммерческих организаций. Также в
перспективе целесообразно развитие ФГИС ЕСИА как шлюза к системам электронной удаленной
аутентификации других государств.
ФОИВ и РОИВ рекомендуется рассматривать как альтернативу непосредственного подключения
ведомственных систем к ФГИС ЕСИА также и возможность создания собственных систем электронной
удаленной аутентификации, интегрированных с ФГИС ЕСИА. В пользу применения федеративного подхода
при решении задачи электронной удаленной аутентификации хочется упомянуть также два конкурса ФОИВ,
опубликованных на портале закупок 94-ФЗ:
Конкурс Минздрава России (проведен в мае 2013 года) — включал работы поразвитию собственной
системы электронной удаленной аутентификации Минздрава России, и ее сопряжения с ФГИС ЕСИА.
Конкурс МВД России (август-сентябрь 2013 года) — заключается в создании унифицированного
сервиса управления доступом к информационным системам и ресурсам единой системы
информационно-аналитического обеспечения деятельности МВД России. В состав работ входит
создание ведомственной системы электронной удаленной аутентификации и ее сопряжение с ФГИС
ЕСИА.