w w w. a l a d d i n. r u 28 апреля 2010г. Роль идентификации и аутентификации в системах защищенного электронного документооборота и в электронном правительстве А.Г.Сабанов, к.т.н., зам.ген.директора ЗАО «Аладдин Р.Д.» Эксперт по информационной безопасности APEC Electronic Commerce Steering Group

w w w. a l a d d i n. r u 2 0, $ Идентификация и аутентификация с точки зрения применяемых технологий

w w w. a l a d d i n. r u Цели создания электронного правительства повышение качества и доступности предоставляемых организациям и гражданам государственных услуг, упрощение процедуры и сокращение сроков их оказания, снижение административных издержек со стороны граждан и организаций, связанных с получением государственных услуг, а также внедрение единых стандартов обслуживания граждан; повышение открытости информации о деятельности органов государственной власти и расширение возможности доступа к ней и непосредственного участия организаций, граждан и институтов гражданского общества в процедурах формирования и экспертизы решений, принимаемых на всех уровнях государственного управления; повышение качества административно-управленческих процессов; совершенствование системы информационно-аналитического обеспечения принимаемых решений на всех уровнях государственного управления, обеспечение оперативности деятельности органов государственной власти и требуемого уровня информационной безопасности электронного правительства при его функционировании. 3

w w w. a l a d d i n. r u Задачи создания электронного государства Развитие электронных сервисов для предприятий и граждан, повышение качества и доступности предоставляемых организациям и гражданам государственных услуг, упрощение процедуры и сокращение сроков их оказания Создание электронных баз данных (реестры, регистры, кадастры) Устранение дублирования данных в БД Оптимизация подчинения БД определенным ведомствам – «административная реформа» Обеспечение прозрачности и доступности e- Government … 4

w w w. a l a d d i n. r u Компоненты электронного правительства Информирование граждан и бизнеса Электронный документооборот Электронные услуги организациям и населению G2B, G2C Электронная коммерция B2G, B2B, B2C –Госторги –Ведомственные электронные площадки –Интернет-торговля Межведомственное взаимодействие Трансграничные операции, в том числе бизнес B2B, B2G 5

w w w. a l a d d i n. r u Участники электронного взаимодействия граждане Российской Федерации; организации; федеральные органы государственной власти; федеральные органы исполнительной власти; органы государственной власти субъектов Российской Федерации; государственные корпорации; иностранные граждане. 6

w w w. a l a d d i n. r u Модели взаимодействия 7

w w w. a l a d d i n. r u Идентификация и аутентификация 8 участники электронного обменаидентификация аутентиф икация гражданедада/нет представители организацийда уполномоченные сотрудники ОГВда иностранные гражданедада/нет

w w w. a l a d d i n. r u Базовые компоненты инфраструктуры ЭП распределенная защищенная сеть на базе магистральных каналов, сегменты частных локальных сетей ведомств; центры обработки данных различного уровня; компоненты обеспечения межведомственного взаимодействия (брокеры сообщений, шины данных); инфраструктура доступа (центры общественного доступа граждан к электронным услугам, центры телефонного обслуживания, единый портал государственных услуг). 9

w w w. a l a d d i n. r u Центры обработки данных, обеспечивающие функционирование информационных систем общегосударственного, ведомственного и регионального значения; межведомственный обмен данными, своевременную доставку информационных сообщений; функционирование служебных сервисов единого пространства электронной цифровой подписи и пространства идентификационных элементов; инфраструктурные сервисы, повышающие устойчивость и эффективность работы прикладных систем (виртуализация вычислительных ресурсов, управление хранением данных, отказоустойчивость и резервное копирование); информационную безопасность работы электронного правительства. 10

w w w. a l a d d i n. r u На базе центрального узла ЦОД общероссийские порталы (портал госуслуг, портал госзаказа, портал госпродаж); государственные и ведомственные информационные системы; компоненты межведомственного взаимодействия (единый реестр сервисов, брокер сообщений); общероссийский корневой удостоверяющий центр электронной цифровой подписи; общероссийский сервис идентификации субъектов, взаимодействующих с электронным правительством (органы власти, граждане и организации). 11

w w w. a l a d d i n. r u Необходимые инфраструктурные решения Инфраструктура электронных баз данных документов (реестры, регистры, кадастры), принадлежащих разным ведомствам; Инфраструктура ЭЦП, включающая уполномоченные удостоверяющие центры, входящие в единую систему (инфраструктура открытых ключей - PKI); Инфраструктура доверенного времени для проставления меток времени, прилагаемых к электронному документу, на основе доверенного источника времени; Инфраструктура удостоверения места издания документа (сделки, контракта, договора, соглашения) двумя или более сторонами на основе доверенной третьей стороны; Инфраструктура электронных реестров участников информационного взаимодействия, для подтверждения их правового статуса, правомочий, полномочий, и права подписи. 12

w w w. a l a d d i n. r u 13

w w w. a l a d d i n. r u Электронное правительство в АТЭС 14 International Trade e - Commerce E - Government Paperless Trading

w w w. a l a d d i n. r u Электронное правительство в России 15

w w w. a l a d d i n. r u Док. НСИ Документы НСИ Архивы Портал Система документооборота Документооборот- основа электронного правительства Запрос без юр.последствий Запрос с юр.последствиями Ответ Уполномоченного лица

w w w. a l a d d i n. r u Защита документооборота Решать классическую задачу защиты информации для систем, содержащих конфиденциальную информацию Выделить объекты доступа и их расположение Рассмотреть субъекты доступа, уровень возможностей, перечень защищаемых ресурсов, типы доступа Обосновать перечень угроз Сформировать модель нарушителя Разработать и внедрить эффективную систему защиты Регулярно проводить аудит системы защиты 17

w w w. a l a d d i n. r u Объекты доступа (объекты защиты) Электронные документы – ЭД Базы данных – СУБД Функциональное программное обеспечение– ФПО Программное обеспечение операционных систем Устройства ввода-вывода информации – УВВ Технические средства обработки информации – ТС Каналы связи - КС 18

w w w. a l a d d i n. r u Субъекты доступа Разработчик АИС Администратор АИС Пользователь корпоративной сети АИС Неавторизованные пользователи ЛВС (внутренний нарушитель) Внешние неавторизованные пользователи (внешний нарушитель) 19

w w w. a l a d d i n. r u Перечень угроз защищаемой информации Нарушение целостности –Дефекты, сбои, отказы, аварии ТС и систем –Несанкционированное изменение информации –Использование дефектов программного обеспечения –Использование программных закладок –Применение программных вирусов –Нарушение режима функционирования ТС обработки информации –Хищение носителя защищаемой информации Нарушение конфиденциальности –Несанкционированное копирование информации на отчуждаемые физические носители –Разглашение информации лицам, не имеющим права доступа к защищаемой информации –Передача информации по открытым линиям связи –Обработка информации на незащищенных ТС –Передача носителя информации лицу, не имеющему права доступа к ней Нарушение прав доступа 20

w w w. a l a d d i n. r u Технологии защиты Аутентификация и разграничение доступа Контроль целостности Регистрация событий Криптографическая защита Межсетевое экранирование Виртуальные частные сети Антивирусная защита Аудит информационной безопасности 21

w w w. a l a d d i n. r u Аутентификация и управление доступом Строгая аутентификация для доступа к защищаемым и информационно-значимым ресурсам Ограничение доступа к конфиденциальной информации и персональным данным Блокирование несанкционированного доступа Обеспечение доступности публичной информации 22

w w w. a l a d d i n. r u Спасибо за внимание! 23

w w w. a l a d d i n. r u Универсальная электронная карта идентификация держателя карты в целях получения им доступа к государственным услугам и услугам организаций; предоставление держателю карты государственных (муниципальных) услуг в сфере обязательного медицинского страхования; предоставление держателю карты государственных (муниципальных) услуг в сфере обязательного пенсионного страхования; предоставление держателю карты банковских услуг по проведению расчетов. 24