Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Обеспечение защиты ПДн граждан при предоставлении государственных услуг в электронном виде

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Обеспечение защиты ПДн граждан при предоставлении государственных услуг в электронном виде

В официальных заявлениях о развитии оказания гражданам России государственных и муниципальных услуг в электронном виде в рамках функционирования электронного правительства неоднократно подчеркивалось, что защита ПДн в этом процессе является приоритетом.
Юрий Акаткин
Директор ФГУП "КБПМ"

Реальная политика государства также направлена на решение этой задачи, что подтверждает объемное законодательство, принятое за последние восемь лет1.

Примечание
  • '№ 160-ФЗОТ2005Г. "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и № 152-ФЗот2006 г. "О персональных данных"
  • №261-ФЗот2011 г. "О внесении изменений в Федеральный закон "О персональных данных""
  • Постановление Правительства РФ № 1119 от 2012 г (отменило действовавшее ранее Постановление № 781 от 2007 г. и утвердило новые, измененные концептуально требования к защите ПДн в информационных системах персональных данных-ИСПДн):
  • Постановление Правительства РФ № 211 от 2012 г. "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами"
  • другие многочисленные нормативные правовые акты различного уровня (более 15)

В настоящее время государство реализует две важные задачи: ознакомление подавляющего большинства граждан России с правилами обращения с ПДн и интенсивное развитие правоприменительной практики.

Самым крупным оператором ПДн сегодня является электронное правительство (ЭлПр). А основными составляющими инфраструктуры ЭлПр [1] - Единый портал государственных услуг (ЕПГУ) и Система межведомственного электронного взаимодействия (СМЭВ).

Инфраструктура ЭлПр предназначена в первую очередь для обеспечения взаимодействия граждан и должностных лиц. Содержательная часть этого взаимодействия представлена в таблице.

Важно обратить внимание, что взаимодействие гражданина и ИС ЭлПр общего доступа (левая колонка таблицы) должно обеспечиваться в открытой коммуникационной среде. А стало быть проблема обеспечения ИБ ПДн в ИС ЭлПр должна решаться в коммуникационных средах, доступных неопределенному кругу лиц. Поэтому такая базовая характеристика процессов информационного взаимодействия, как доверие, приобретает особое значение.

При электронном обращении граждан в госорганы механизмы идентификации и аутентификации являются важнейшими элементами юридически значимого взаимодействия, так как волеизъявление и изменение прав могут оказать влияние и на других граждан. Это должны учитывать как граждане, так и должностные лица.

При создании ЕПГУ проводился анализ возможных угроз, на основе которого создана соответствующая модель угроз и сформированы требования по защите информации, включая ПДн, при использовании портала. Однако важно помнить, что безопасность обмена информацией определяется не только уровнем защиты ЕПГУ, но и уровнем защиты рабочего места, с которого осуществляется доступ.

Защита

Достаточные условия защиты коммуникаций, как известно, включают требование доверенности компьютера пользователя, которое может быть обеспечено лишь в том случае, если осуществляется доверенная загрузка проверенной ОС и обеспечивается изолированность программной среды. Обычно для этого используется дооснащение компьютера специальным встроенным аппаратным средством - резидентным компонентом безопасности, в частности аппаратным модулем доверенной загрузки (АМДЗ) [2].

Данное техническое решение, обеспечивающее твердые гарантии целостности компьютера пользователя и изолированности его программной среды вне каких-либо временных ограничений, достаточно эффективно и универсально, однако оно, к сожалению, далеко не всегда технически возможно и экономически целесообразно.


Альтернативой является организация доверенного сеанса связи - то есть проверенная ОС и минимальный набор ПО загружаются со специального съемного носителя информации с USB-интерфейсом, гарантирующего целостность своего содержимого.

Средства обеспечения ДСС (рис. 1) позволяют проводить идентификацию/аутентификацию участника (заявителей категории: юридические лица, пользователи и прикладные администраторы) при доступе к инфраструктуре ЭлПр [1], а также обеспечивают установление защищенного соединения с инфраструктурой ЭлПр. При этом цена такого решения в разы меньше, чем при использовании АМДЗ.


Таким образом, если граждане используют АМДЗ или средства обеспечения ДСС, то они могут получить полный доступ к услугам ЭлПр. Во всех остальных случаях граждане могут регистрироваться на защищенных терминалах ЭлПр (инфоматах, банкоматах, почте и т.д.).

Необходимо отметить, что в отличие от открытой среды взаимодействия гражданина и ИС ЭлПр коммуникации операторов электронных услуг с ИС ЭлПр (правая колонка таблицы) происходят в СМЭВ, которая представляет собой коммуникационную среду, защищенную сертифицированными средствами. Такие же требования предъявляются к региональным системам межведомственного взаимодействия (РСМЭВ), которые создаются в субъектах Российской Федерации и подключаются к СМЭВ. РСМЭВ обеспечивает подключение ИС уровня местного самоуправления, включая государственные и муниципальные учреждения и другие организации, чьи информационные системы используются в процессе межведомственного электронного взаимодействия.


Комплексы оказания услуг различного уровня должны быть представлены в СМЭВ (РСМЭВ) в виде электронных сервисов и обеспечивать необходимый набор требований, установленный нормативными правовыми актами. При этом частные модели угроз безопасности ПДн создаются в соответствии с методическими документами ФСТЭК России и включают перечень угроз безопасности ПДн с оценкой их актуальности для конкретного оператора. На основе разработанных моделей угроз ПДн формируются организационно-технические требования к ИСПДн.

Уязвимость

Можно смело утверждать, что сегодня имеется достаточно полная правовая база защиты ПДн при оказании государственных услуг. Для реализации принятых норм имеются необходимые методы и средства, обеспечивающие защиту ПДн.

Наиболее уязвимыми в настоящее время с точки зрения защиты ПДн являются ИС муниципального уровня в силу ряда известных причин, в первую очередь потому, что эти ИС должны были в соответствии с № 210-ФЗ от 2010 г. подключиться к СМЭВ с 1 июля 2012 г., а многие органы и организации не смогли обеспечить своевременную подготовку этого подключения. Нам представляется, что для эффективного и быстрейшего решения проблемы подключения названных ИС следует использовать имеющиеся типовые методы и средства, прежде всего предлагаемые ниже.

Для решения задачи массового подключения ИС различного уровня к СМЭВ в обозримые сроки видятся два взаимосвязанных пути. Первый - развитие сервисов системы информационного взаимодействия и доставка их до ИС необходимого уровня. И второй путь: создание типового защищенного сертифицированного программно-аппаратного комплекса - Агента межведомственного (электронного) взаимодействия (АМВ) для организации взаимодействия с РСМЭВ (СМЭВ) без существенной модернизации действующих ИС [3, 4]. АМВ предоставляет уполномоченным сотрудникам взаимодействующих ИС возможности получения запросов и формирования ответных документов в ходе оказания услуг на основе форм документов Системы подготовки государственных услуг (СПГУ) с учетом особенностей информации о ПДн [3, 4].


Установка АМДЗ - мероприятие весьма дорогостоящее, и в условиях, когда компьютер большую часть времени эксплуатации изолированной программной среды не требует, для подавляющего большинства владельцев и пользователей - неприемлемое.

Инфраструктурная и ценовая доступность АМВ достигается за счет реализации решения по принципу "сервисной модели", реализованной на технологиях виртуализации и облачных вычислений на информационно-вычислительных ресурсах ЦОД. Такой ЦОД должен отвечать требованиям всех категорий ИС и соответствовать требованиям Федерального закона № 261-ФЗ от 25.07.2011 "О внесении изменений в Федеральный закон "О персональных данных".

АМВ устанавливаются в ЦОД (рис. 2). При этом АРМ оператора через сервер доверенного сеанса связи (сервер ДСС) взаимодействуют с АМВ, которые, в свою очередь, через шлюз ViPNet взаимодействуют с РСМЭВ/СМЭВ.

Применение АМВ в сочетании с уже используемым для защиты каналов связи и межсетевого экранирования шлюзом ViPNet позволяет принципиально снизить порог возможности присоединения к инфраструктуре ЭлПр.


Защищенность функционирования АМВ с учетом защиты ПДн, как важнейшей части информационных ресурсов, обеспечивается программной и аппаратной составляющими.

Подводя итоги

Можно смело утверждать, что сегодня имеется достаточно полная правовая база защиты ПДн при оказании государственных услуг. Для реализации принятых норм имеются необходимые методы и средства, обеспечивающие защиту ПДн.

Литература

  1. Постановление Правительства РФ от 8 июня 2011 № 451 "Об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме".
  2. Конявский В.А. Управление защитой информации на базе СЗИ НСД "Аккорд". - М.: Радио и связь, 1999. - 325 с.
  3. Акаткин Ю.М. Интеграция технологий обеспечения ИБ при оказании государственных услуг в электронном виде // Information Securiti/Информационная безопасность. - 2013. - № 2. - С. 6-7.
  4. Акаткин Ю.М. Проблемы подготовки и предоставления электронных услуг в субъектах РФ. Унификация электронного взаимодействия ОИВ/ОМСУ на основе единой модели данных/ Доклад на заседании совета главных конструкторов информатизации регионов Российской Федерации. 31 октября 2012 г. www.kbpm.ru/Новости компании.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2013
Посещений: 17419


  Автор
Юрий Акаткин

Юрий Акаткин

директор ФГУП "КБПМ"

Всего статей:  6

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций


Обсуждение

Автор: Прохожий, | 01-12-2013 18:55

СМЭВ нет - есть прожект!
Если СМЭВ есть и ФЗ 7 работает - где информация об электронных почтовых адресах всех отделений МВД - Прокуратуры - и далее по списку всех ведомств?
Россия - родина слонов!
Просто автор так высоко летает что земли уже не видит!

Автор: Прохожий, | 29-01-2014 14:40

Для понимания глубины катаклизма в СМЭВ
предлагаю ознакомиться со статьей

SOA. СМЭВ. Электронный обмен или обман
Слов много но все по делу
http://www.tadviser.ru/index.php/Статья:SOA._СМЭВ._Электронный_обмен_или_обман
В общем Улита едет...вопрос куда?

https://www.google.com/accounts/ServiceLogin?service=wise&passive=true&go=true&continue=https://docs.google.com/a/gosbook.ru/document/d/19QOWfXDpSh3ZHOlEh0nU3kNdCIJD7-_zrcNOaeoelZY/edit?pref%3D2%26pli%3D1
Требования к составу информации первоочередных наборов данных, подлежащих публикации в форме открытых данных
Требования к доступности информации
Одним из способов обеспечения прозрачности деятельности государства является свобода доступа к государственной информации для граждан.
Для создания качественной основы взаимоотношений государства с обществом проводится комплексное повышение качества информатизации российских государственных органов, предусматривающее реализацию нескольких направлений работы.
Основным направлением является повышение качества информационных ресурсов органов государственной власти, доступных в сети Интернет и содержащих актуальную информацию о деятельности государственных органов и порядке предоставления государственных услуг. Необходимым информационным ресурсом в данном контексте становится официальный интернет-сайт государственного органа.
...

В федеральный закон от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»
...Статья 25. Ответственность за нарушение права на доступ к информации о деятельности государственных органов и органов местного самоуправления
Должностные лица государственных органов и органов местного самоуправления, государственные и муниципальные служащие, виновные в нарушении права на доступ к информации о деятельности государственных органов и органов местного самоуправления, несут дисциплинарную, административную, гражданскую и уголовную ответственность в соответствии с законодательством Российской Федерации.

Обсуждение на форуме


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.