Аладдин "Проблемы идентификации и аутентификации при построении электронного правительства"

w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u

Алексей Сабанов,Зам. ген. директора ЗАО «Аладдин Р.Д.»

Алексей Сабанов,Зам. ген. директора ЗАО «Аладдин Р.Д.»

г. Н.Новгород 27 апреля 2011 г.г. Н.Новгород 27 апреля 2011 г.

Проблемы идентификации и аутентификации при построении

электронного правительства

IT-форум_2020

w w w. a l a d d i n – r d. r u

Актуальность. Федеральные проекты

• Информационное общество 2010 – 2020гг.

Отв. – Минкомсвязи РФ

• Электронное правительство. Отв. – Минкомсвязи РФ

• Проект межведомственного электронного документооборота (МЭДО). Отв. – ФСО РФ

Из этого проекта вырастет система межведомственного документооборота не только федеральных органов власти, но и региональных.

• Проект строительства единой системы межведомственного электронного взаимодействия (СМЭВ). Отв. – Минкомсвязи РФ

2

В этих проектах требуются надежные способы идентификации и аутентификации


Актуальность. Трансграничное взаимодействие

КТС: соглашение о применении информационных технологий при обмене электронными документами во внешней и взаимной торговле на единой таможенной территории таможенного союза

Создан макет ИС для проведения on-line аукционов с участием иностранных поставщиков на основе Доверенной Третьей Стороны («Русское техническое общество»)


Информационные системы массового использования

• Участники электронного взаимодействия:«Информационная система общего пользования – информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано» (ст.2 №63-ФЗ «Об электронной подписи»)

• Классы информационных систем:–Информационно – справочные–Информационно – аналитические–Учетные

• Виды электронного взаимодействия:–Сообщение (e-message)–Документ (e-Document)–Электронная –Элеткронная передаваемая запись (Electronic Transferable Records)

4


Некоторые основные понятия

• электронные передаваемые записи (ЭПЗ) - разновидность электронных документов, зафиксированных в учетных системах, базирующихся на общей инфраструктуре документирования информации. Типичными аналогами ЭПЗ в бумажном виде являются записи актов гражданского состояния, учетные записи нотариальных действий, выдачи паспорта, справок и т.д. Понятие ЭПЗ взято из анализа мирового опыта работы с ЮЗЭДО в качестве перевода англоязычного термина Electronic Transferable Records, использующегося в документах ЮНСИТРАЛ [1]. Кроме того, понятие ЭПЗ используется в ряде других документов, в частности, аналог ЭПЗ имеется в ГОСТ Р-52636 – 2006.

• Под учетной системой предлагается понимать регистрационную систему, содержащую информацию из правоустанавливающих документов субъектов электронного взаимодействия, на основании которой составляются или выдаются ЭПЗ, обладающие юридической силой.

• инфраструктура документирования информации в электронной форме (далее – общая инфраструктура), под которой предлагается понимать совокупность информационно-технологических и организационно-правовых мероприятий, правил и решений, реализуемых в целях придания юридической силы электронным передаваемым записям, содержащимся в учетных системах.

5


Юридические факты

6

• "Священникам о приходских людях и о духовных детях иметь записныя книги, кто, у кого в приходе, когда родился, и кто молитву давал, где который младенец крещен и кем, и кто восприемник и восприемница были, и от которых лет кто у кого исповедывался; аще кто, кем, где и при ком обручен; аще кто умреть, при смерти - онаго кто исповедовали приобщал, и кто тому, аще и отвне, свидетелем был»


Бумажные документы, фиксирующие юридические факты

7

w w w. a l a d d i n – r d. r u 8

Нотариат

•Нотариат (от лат. notarius — писец, секретарь), система органов, в функции которых входит удостоверение сделок, оформление наследств. прав, засвидетельствование документов для придания им юридической достоверности и т.д. В СССР организация и деятельность. (БСЭ)

•Нотариат - правовой институт, носители которого - нотариусы -уполномочены государством совершать и свидетельствовать юридические акты, придавая тем последним значение актов публичных.(Брокгауз, Ефрон)

•Нотариат представляет собой систему государственных органов и должностных лиц, на которых возложено удостоверение бесспорных прав и фактов, свидетельствование документов, выписок из них, придание документам исполнительной силы (wikipedia.org)

Записи,имеющиеюрид.силу

выписки(документы)


Компоненты инфраструктуры юридической значимости бумажного документооборота

9

Технико-криминалистическая экспертиза документов

Законодательные и нормативно-правовые акты

НотариатЗащитные элементы

Удостоверение бесспорных прав

Свидетельствование документов

Апостиль

Текст документа и собственноручная подпись

Защитные элементы печатей и штампов

Защитные элементы бланка документа

Придание документам исполнительной силы


Защита печатей для бумажных документов

• Старинные печати

• Современные печати


Защита бланков бумажных документов

• Защита бланков документов


Экспертиза документов в конфликтны ситуациях

• Задачи технико-криминалистической экспертизы документов– установление способа изготовления документа и его частей;

– установление факта и способа внесения изменений в документ либо его части;

– определение рода, вида документа;

– установления первоначального содержания документа (выявление невидимых и слабовидимых текстов, выцветших, залитых, зачеркнутых, замазанных, вытравленных, подчищенных записей, текстов на сгоревших документах, текстов по вдавленным штрихам и др.);

– определение возраста документа и последовательности выполнения его реквизитов.

• Методики решения отдельных задач экспертизы документов

– Экспертиза документов с измененным содержанием

– Установление технических приемов воспроизведения подписи

– Установление последовательности выполнения реквизитов документа

– Экспертиза бланков документов

– Экспертиза денежных билетов и ценных бумаг

– Экспертиза оттисков печатей и штампов

– Экспертиза машинописных текстов


Система реквизитов очно-бумажного документооборота

13

Бланкдокумента

Реквизитыведомства г.Москва 16-00

Директор Иванов И.И.

4 5

13 2

6 7 8

УПЛАЧЕНО пошлина 1 руб.

Текст документа

В соответствии с Федеральным законом ………

Постановление Правительства РФ № 477 от 15.06.09г.«Об утверждении Правил делопроизводства в федеральных органах исполнительной власти»(24 реквизита)


Соответствие реквизитов очно-бумажного и электронного документов

14


Реквизитыведомства г.Москва 16-00

Директор Иванов И.И.

Правовой статус

4 5

13 2

Место Время

Полномочие Подпись Правомочие

Нотариальное заверение

Апостиль Квитанция об оплате

6 7 8

УПЛАЧЕНО пошлина 1 руб.




Система реквизитов электронного документа

15


Правовой статус

4 5

13 2

Место Время

Полномочие Подпись Правомочие

Нотариальное заверение

Апостиль Квитанция об оплате

6 7 8



Службадокументирования (ГОСТ 15489)

Служба атрибутирования

е-архив


Доверенная третья сторонаITU-T X.842


Модель Единого пространства доверия

17

Технологии обращения с электронными записями, документами и сообщениями, позволяющие обеспечивать юридическую их силу

Создание правового поля для юридически -значимого электронного документооборота

Организация документирования, передачи , хранения и обработки информации для участников информационного взаимодействия и операторов


Организационный уровень

Операторы:•Регламенты деятельности•Договора•Аудит

Участники информационного взаимодействия (клиентский уровень):•Правила документирования информации в электронном виде•Безопасные, но удобные условия применения электронной подписи


Правовой уровень

• Международные соглашения

• Торговые обычаи

• Страховые механизмы

• Судейские процедуры


Иерархия нормативной базы

Международные документыКонвенция о защите физических лиц при автоматизированной обработке ПДн европейская спецификация MoReq (Model Requirements for the Management of Electronic Records),

Законы РФ 63-ФЗ, 128-ФЗ, 184-ФЗ, 149-ФЗ, 210-ФЗ, …

Подзаконные акты (Госпрограмма «Информационное общество») ГОСТ Р 53898-2010 Системы ЭДО, нормативная база ФСБ, ФСТЭК, РКН)

Отраслевая нормативнаябаза

Нормативная база предприятия (приказы, регламенты, распоряжения)


Элементы технологического уровня

• Доверенная третья сторона

• Учетные системы

• Инфраструктура документирования информации

• Инфраструктура мониторинга правовых статусов

• Инфраструктура актуальности правомочий юридических и физических лиц

• Инфраструктура мониторинга полномочий

• Инфраструктура валидации

• Служба определения места события

• Служба доверенного времени

• Инфраструктура управления ключами и сертификатами

21


Технологический уровень

Учетные системы

Мониторинг правовых статусов

Инфраструктура документирования

Электронные передаваемые

записи

Доверенная третья сторона

Защ

ищ

ённ

ая о

бл

аст

ь


Реквизиты юридической значимости электронных документов

23

Разделение доступа. Службы идентификации и аутентификации. Платформа ИБ

Законодательные и нормативно-правовые акты

Службы Электронные реестры

Службы доверенного времени

Электронный нотариат

Службы апостиля

Удостоверяющий центр

Службы разбора конфликтных ситуаций

Правовой статус организаций

Полномочия должностных лиц

Правомочия физических лиц

Службы документированияе-архивы


ОсновныеСУД

Основные функциональные возможности

PKI IDM SSO HR

ORACLE

IBM

TMS

MS FIM

Функциональные возможности СИАУД(Identity&Access Management, IAM)

ОтсутствиеОтсутствиеНаличиеНаличие ЧастичноЧастично


Идентификация и аутентификация

• Идентификация – процедура распознавания субъекта по его идентификатору. В процессе регистрации субъект предъявляет свой идентификатор информационной системе, которая проверяет его наличие в своей базе данных (LDAP-каталоге). Простейшим примером идентификатора является учетная запись, содержащая логин пользователя.

Лучшая технология идентификации – по цифровым сертификатам электронной подписи.

• Аутентификация – процедура проверки подлинности субъекта, проводимая, как правило, с помощью криптографических преобразований, позволяющая достоверно убедиться в том, что субъект, предъявивший свой идентификатор, на самом деле является именно тем субъектом, идентификатор которого он использует.

Лучшая технология аутентификации – ЭЦП.25


0,2 10 - 15 25 - 40 50 - 100$


с точки зрения применяемых технологий


Бизнес-процесс подготовки записи

27

Уполномоченное лицо

Заявитель

Набор справок и документов

Задача + + + + +

БД БД БД

WWW……БД

•Ххххххххх•Хххххх•Ххх•Хххххххх•Хххххх•ххххххххх

•Ххххххххх•Хххх•Ххх•Ххххххх•Хххххх•ххххххххх

•Ххххххххх•Хххххх•Ххх•Ххххххх•Хххххх•ххх

Записи в БД



28




Некоторые нерешенные вопросы

• Архитектура и сроки начала действия единой системы аккредитованных удостоверяющих центров во главе с корневым

• Выбор единого идентификатора служащего, подтверждающего его полномочия (OID или что?);

• Кто и как будет отвечать за правильность построения инфраструктур доверия: полномочий, правомочий, юридически-значимых записей, подписей, времени, идентификационных и др. параметров доверия?

• Кто и когда правильно напишет и быстро утвердит регламенты и правила (пример: Х.509)?

• Какова должна быть единая универсальная карта? Будет ли реализована в ней электронная подпись?

30


Вопросы [email protected]


Основные компоненты ЮЗЭДО

32


Документооборот- основа электронного правительства

33

Док.

НСИ

Документы

НСИ

Архивы

Запрос без юридических последствий

ответ

Запрос с юридическими последствиями


Компоненты электронного правительства

• Информирование граждан и бизнеса

• Электронный документооборот

• Электронные услуги организациям и населению G2B, G2C

• Электронная коммерция B2G, B2B, B2C– Госторги– Ведомственные электронные площадки– Интернет-торговля

• Межведомственное взаимодействие

• Трансграничные операции, в том числе B2B, B2G

34


Реестры, кадастры, регистры

35

БД

БД

БД

БД

БД

БД

БД

БД

БД

БД

БД

БД

БД

БД

БД

БД

БД

БД

БД

БД

Матрица баз данных

Ведомство «А» Ведомство «C»

Ведомство «B»


Решения по аутентификации: Пример ведомства

36

Documents

Аладдин "Проблемы идентификации и аутентификации при построении электронного правительства"