gasu.gov.ru – ГАСУ Управление Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 26 июня 2022 года; проверки требует 1 правка.
Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 26 февраля 2023 года; проверки требуют 26 правок.
Идентификация всея Руси. Как это будет?
Минкомсвязь предпринимает шаги, которые позволят сделать Единую систему идентификации и аутентификации (ЕСИА) по-настоящему массовой и всенародной.
31 июля 2013 года на заседании президиума Совета по модернизации экономики и инновационному развитию России премьер-министр Дмитрий Медведев в очередной раз возмущался неудобством Единого портала госуслуг:
— Я сейчас открыл этот наш сайт госуслуг — там такая сложная регистрация! Я смотрел до этого, и она с тех пор не изменилась. Во-первых, обычному человеку вообще трудно разобраться, что там написано: «загрузить плагин веб-браузера» и так далее. Я знаю, что это такое, присутствующие, наверное, тоже знают, но далеко не все, кто стучит пальцами по клавиатуре, понимают, зачем это надо.
Отдельно Медведев остановился на теме электронной подписи.
— Нужно радикально упростить ее получение, — заявил глава правительства. — Она же может быть различных категорий, это же не электронная подпись для того, чтобы управлять средствами по счету крупной компании, здесь все-таки приоритетность другая. Надо упростить, иначе у нас это не превратится в нормальный сервис.
Резюмируя, премьер сообщил собравшимся, что «пока это выглядит кисло очень». Чиновники сочувственно покивали головами.
Заседание было посвящено информационным технологиям в госуправлении. Один из основных докладчиков — глава Минкомсвязи Николай Никифоров — попытался ответить Медведеву.
— У меня есть такое предложение, — прервал его премьер-министр. — Чтобы это сделать наглядным, вы все это подготовьте, принесите, и я буду одним из зарегистрированных пользователей. Я хочу сам посмотреть, как все это работает. А то мы рассказываем-рассказываем людям, как это все хорошо, правильно, здорово, нужно, а они сюда заходят, и у них желание полностью теряется.
— Есть! Будет сделано, — согласился Никифоров.
На вопрос о сроках министр предложил обсудить проект нормативного акта на ближайшем заседании правительственной комиссии по информационным технологиям, но Медведева такой ответ не устроил.
— Дмитрий Анатольевич, технически это готово уже сегодня, — признался министр. — Но еще раз хочу повторить, что самое главное — это юридическая значимость этого вопроса.
Никифоров пообещал сделать это в «ближайшие дни», чем и завершил диалог. За регистрацию пользователей Единого портала госуслуг (ЕПГУ) отвечает Единая система идентификации и аутентификации (ЕСИА). Именно принципы ее работы и вызвали очередные нарекания премьер-министра.
Активировать свою учетную запись гражданин сможет только после того, как получит код подтверждения. Сделать это можно двумя способами: лично посетить центр обслуживания клиентов «Ростелекома» или заказать письмо с кодом по почте. На всю Россию «Ростелеком» имеет только около 200 центров, способных активировать учетную запись. В Москве их шесть, но, к примеру, на Курганскую область с населением более 800 тыс. человек — всего один. Удобным для всей страны этот способ назвать нельзя. Как и второй — письмо «Почтой России» в среднем идет 2 недели, при этом не исключена его потеря или существенная задержка.
ЕСИА — одна из самых молодых государственных информационных систем. Официальным днем рождения можно считать 28 ноября 2011 года, когда глава правительства Владимир Путин подписал постановление о ее создании. В то же время ЕСИА — одна из наиболее важных систем в инфраструктуре «Электронного правительства». Зарегистрированные в ней граждане со временем получат возможность пользоваться большинством государственных услуг, не отходя от компьютера, а государство с ее помощью сформирует электронный реестр активного населения, который будет содержать не только паспортные данные или идентификационные номера (СНИЛС, ИНН), но и актуальные мобильные телефоны и адреса электронной почты.
Оператором ЕСИА, ответственным за ее развитие, согласно постановлению Владимира Путина, является Минкомсвязь. Формальный разработчик системы — «Ростелеком», имеющий статус единственного исполнителя по проекту «Электронное правительство». Реальным создателем системы была компания AT Consulting, главный подрядчик «Ростелекома» по развитию государственных ИТ-систем.
Самый защищенный уровень ЕСИА — квалифицированная электронная подпись. Чтобы стать ее обладателем, гражданин должен получить сертификат на USB-носителе в одном из удостоверяющих центров, аккредитованных в Минком-связи (таких центров в России более 200). В качестве квалифицированной электронной подписи также можно использовать Универсальную электронную карту.
Уровни подтверждения личности, необходимые для предоставления госуслуг, определяют органы власти. На едином портале в настоящее время нет услуг, для которых необходима квалифицированная электронная подпись. В будущем она понадобится для некоторых услуг, в том числе ФНС и Росреестра (сделки с недвижимостью). В то же время для получения информации о задолженностях (просроченных налогах) ФНС достаточно простой подписи.
В этой же базе данных хранится информация о чиновниках и регулируются права доступа информационных систем госорганов (эту функцию выполняет т.н. «матрица доступа»). « При этом должностным лицам госорганов регистрироваться в ЕСИА необязательно, — рассказывает CNews Алексей Козырев, директор департамента развития электронного правительства Минкомсвязи. — Сейчас это зависит от того, как в ведомствах и регионах реализована информатизация. Например, в обязательном порядке в ЕСИА регистрируются те, кто использует систему исполнения регламентов (Программу для обработки запросов граждан, обратившихся за госуслугами. — Прим. C News) «Ростелекома», т.к. она требует наличия учетной записи».
Жесткой позиции по этому поводу у Минкомсвязи нет. « Однако мы всегда проверяем, чтобы любое заявление в рамках межведомственного взаимодействия было подписано электронной подписью чиновника и электронной подписью органа власти, от имени которого действует чиновник. Электронные подписи органов власти, в свою очередь, проверяются на привязку к информационным системам, которые в обязательном порядке должны быть зарегистрированы в ЕСИА», — уточняет Козырев.
Таким образом, ЕСИА не может управлять правами доступа всех чиновников (они должны быть реализованы в их собственных ИС), но может контролировать доступ информационных систем к инфраструктуре «Электронного правительства». « То есть мы имеем возможность допустить или не допустить к нему тот или иной орган власти. А полномочия конкретного чиновника, включая их прекращение в случае увольнения, отслеживают сами органы власти», — говорят в Минкомсвязи.
Цепи поставок: как не дать импортозамещению увязнуть в плену противоречий
Модернизация и инновации
До конца 2013 года, в соответствии с пожеланиями Дмитрия Медведева, Минкомсвязь обещает внести ряд изменений в ЕСИА, которые должны стать заметны с точки зрения пользовательского опыта. В дальнейшем также планируется исправить архитектурные погрешности, заложенные на этапе создания системы.
«Для предварительной регистрации пользователю будет достаточно ввести номер мобильного телефона, на который отправится СМС с кодом подтверждения. Его нужно будет ввести в систему. После успешного подтверждения номера телефона пользователю будет предложено задать личный пароль», — описывает Алексей Козырев процесс регистрации, к которому стремится Минкомсвязь.
Как оцифровать поступление в вуз?
ИТ в госсекторе
Далее ЕСИА предложит пользователю указать основные данные о себе в личном кабинете, который откроется после завершения регистрации. Система автоматически проверит соответствие ФИО, паспортных данных и номера СНИЛС. Если они соответствуют друг другу, то пользователь сможет пройти процедуру верификации, и его аккаунту будет присвоен статус простой электронной подписи.
В нынешнем виде (через личный визит в «Ростелеком» или письмо по почте) процесс получения простой электронной подписи неудобен, говорят в Минкомсвязи: «Мы хотим сделать в ЕСИА интерфейс сотрудника (АРМ) для проведения верификации. Этот АРМ должен быть доступен чиновникам, сотрудникам МФЦ и отделений «Почты России», имеющим право удостоверять личность. При этом сами сотрудники будут авторизованы по квалифицированной электронной подписи».
В итоге процесс выдачи подписи гражданину должен выглядеть так: чиновник (сотрудник «Почты» или МФЦ) открывает интерфейс, подключает в USB-порт носитель с сертификатом своей электронной подписи. К нему приходит гражданин и предъявляет только паспорт. Сотрудник вводит в веб-интерфейс номер паспорта (без ФИО), нажимает «Найти». По запросу находится учетная запись гражданина, созданная им самостоятельно. Сотрудник идентифицирует личность и активирует учетную запись. После этого человек становится обладателем простой электронной подписи.
«Подключение к регистрации граждан в ЕСИА чиновников, сотрудников МФЦ и «Почты России» должно значительно расширить доступность сервиса. По нашему плану, в 2014 году возможность регистрировать граждан в ЕСИА получат сотрудники 5 тыс. отделений «Почты». А с учетом чиновников эта цифра должна стать еще больше», — говорит Козырев.
Процесс получения квалифицированной подписи в Минкомсвязи менять не планируют. Для этого по-прежнему будет необходимо обратиться в аккредитованный удостоверяющий центр, который за определенную плату выдаст ключ на физическом криптоконтейнере (USB, смарт-карте и т.п.).
Базы данных граждан, подобные ЕСИА, уже существуют. Их ведут Пенсионный фонд, ФНС и ФМС.
«Эти три базы дают значительно большее «покрытие», чем ЕСИА, — отмечает Мартынов. — Однако есть важный момент: в ЕСИА мы стараемся сделать так, чтобы пользователь указывал мобильный телефон — это полезно и государству, и гражданину. На мобильный можно присылать уведомления о штрафах, напоминать, что пора поменять загранпаспорт, наконец, получать обратную связь о customer satisfaction (и это уже работает в пилотном режиме в системе «Мониторинг качества государственных услуг»). Такая же история с e-mail. То есть фактически мы налаживаем канал коммуникации с человеком — более эффективный и удобный, чем традиционные способы, – личные визиты и почтовые отправления».
Претензии к безопасности
По мнению Муругова, правильнее было бы использовать две разные пары ключей с разным набором политик применения: «Например, в Эстонии это второй сертификат на ID-card (при этом все настолько автоматизирован но, что люди не замечают никаких неудобств). В Беларуси удостоверяющий центр выпускает один сертификат, но тот содержит два ключевых объекта с разными наборами KeyUsage. Один — только для личного волеизъявления, второй — для шифрования, ключевого обмена, доступа, сетевой аутентификации».
В Минкомсвязи говорят, что «обсуждают идею двух ЭЦП разного уровня доступа», но с претензиями к безопасности не согласны. « Для защиты от MITM-атак используется ряд практик, основное — общение с сервером по защищенному каналу. Разумеется, госуслуги работают по протоколу https, и это защищает от вторжения злоумышленника в канал связи, — говорит Сергей Мартынов. — Однако это не защищает, например, от вирусов на компьютере пользователя, которые могут осуществлять перехват и подмену данных на стороне клиента. И не защищает от человеческого фактора, который вообще является самой большой проблемой безопасности в массовых сервисах: если человек сам отдаст свою ЭЦП злоумышленнику и скажет пин-код, то никакие технические средства не помогут. Поэтому очень важно повышать грамотность населения и объяснять, что такое ЭЦП и как ею пользоваться».
Какова глобальная цель ЕСИА с точки зрения государства?
Вариант ответа на этот вопрос можно получить из книги «Новый цифровой мир. Как технологии меняют жизнь людей, модели бизнеса и понятие государств». Ее авторы — экс-гендиректор Google Эрик Шмидт и глава Google Ideas Джаред Коэн — попытались представить будущее на несколько десятилетий вперед.
«Некоторые правительства, решив, что иметь тысячи анонимных, бесконтрольных и непроверенных граждан — «подполье» — слишком рискованно, захотят узнать, кто скрывается за каждым онлайн-аккаунтом, и потребуют верификации на государственном уровне для усиления контроля над виртуальным пространством», — пишут футурологи из Google.
Виртуальная личность человека, по мнению Шмидта и Коэна, «станет целым созвездием профилей, созданных в интернете, которое будет верифицироваться и даже регулироваться властями».
Впрочем, в Минкомсвязи не склонны видеть в своей системе дополнительные скрытые возможности.
Единственная цель ЕСИА – наладить канал коммуникации с человеком, более эффективный и удобный, чем традиционные личные визиты и почтовые отправления, – настаивают в министерстве.
Часть бюллетеня Роспатента (№ 22; 2021 г.)
Например, сценарий идентификации и аутентификации выглядит следующим образом:
Для осуществления аутентификации пользователей в ведомственной ИС посредством ЕСИА необходимо выполнить следующее:
К основным функциональным возможностям ЕСИА относятся:
Для физических лиц
Помимо перечисленных выше разделов, здесь присутствуют дополнительные подразделы:
2013 — Постановлением Правительства Российской Федерации от 25 января 2013 года № 33 «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг» предусмотрено создание в ЕСИА регистра органов и организаций, имеющих право создания (замены) и выдачи ключа простой электронной подписи в целях оказания государственных и муниципальных услуг. Однако информация о сроках исполнения данного постановления и появлении соответствующих функциональных возможностей в ЕСИА отсутствует.