Обеспечение информационной безопасности в процессе оказания услуг удостоверяющих центров через центры оказания государственных и муниципальных услуг

Размещено на http://www.allbest.ru/

Обеспечение информационной безопасности в процессе оказания услуг удостоверяющих центров через центры оказания государственных и муниципальных услуг

Сфера предоставления государственных и муниципальных услуг (далее - Госуслуги) на территории Российской Федерации в настоящее время активно совершенствуется [1]. При этом основным направлением развития сферы Госуслуг является повышение уровня жизни граждан и улучшение бизнес-среды. Убираются административные барьеры, сокращается время оказания услуг, упрощается получение согласований и разрешений. У граждан появилась возможность получать услуги по принципу «одного окна», когда гражданин подает в орган власти минимальный комплект документов, необходимый для принятия решения, а орган власти самостоятельно собирает все необходимые сведения и справки в рамках межведомственного взаимодействия.

Также для оказания Госуслуг открываются специализированные центры оказания государственных и муниципальных услуг «Мои документы» (далее - «Мои документы»). «Мои документы» - организация, созданная в организационно-правовой форме государственного или муниципального учреждения (в том числе являющаяся автономным учреждением), отвечающая требованиям и уполномоченная на организацию предоставления государственных и муниципальных услуг, в том числе в электронной форме, по принципу «одного окна» (Федеральный Закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»).

Дальнейшим развитием сферы Госуслуг стало внедрением сервисов оказания услуг в электронном виде. В качестве площадки для оказания Госуслуг был разработан «Единый портал государственных и муниципальных услуг», на котором предоставляются услуги различных государственных и муниципальных органов (например, Федеральной Таможенной службы [2]). Гражданин может пройти регистрацию на данном портале самостоятельно на своем рабочем месте или в любом офисе «Мои документы» [3]. Согласно данным министерства связи и массовых коммуникаций Российской Федерации [4], на данные момент уже более 30% граждан пользуются электронными услугами.

Принимая во внимание главное достоинство предоставления услуг в электронном формате, а именно существенное снижение издержек социальных коммуникаций для граждан, существует ярко выраженный недостаток - весьма специфичный способ придания электронным документам юридической силы. Юридическая сила документа свойство официального документа вызывать правовые последствия (ГОСТ Р 7.0.8-2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения). Документ приобретает эту силу только при условии, что в нём присутствует ряд обязательных реквизитов, в числе которых есть и подпись, соответственно, если дело касается электронного документа, то электронная подпись. Электронная подпись информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию (Федеральный Закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»). Выделяют несколько видов электронной подписи: простую и усиленную электронные подписи, усиленная электронная подпись разделяется на неквалифицированную и квалифицированную.

Некоторые государственные и муниципальные услуги, предоставляемые в электронном виде, предусматривают использование исключительно квалифицированной электронной подписи (далее - КЭП), например, сдача налоговой декларации 3-НДФЛ в Федеральную налоговую службу, получение сведений из государственного кадастра недвижимости Федеральной службы государственной регистрации, кадастра и картографии и т. д [5].

Для получения КЭП необходимо обратиться в аккредитованный удостоверяющий центр - удостоверяющий центр, прошедший процедуру соответствия требованиям Федерального Закона от 06.04.2011 № 63-ФЗ (далее - УЦ), с комплектом документов, включающий в себя: заявление на создание сертификата ключа проверки электронной подписи, иные документы либо их надлежащим образом заверенные копии, подтверждающие информацию, предоставленной заявителем для включения в квалифицированный сертификат (далее - комплект документов).

Гражданину для получения услуг в электронном виде, которые предусматривают использования КЭП для начала нужно обратиться в УЦ, далее следует взаимодействие с государственными и/или муниципальными органами посредством различных информационных систем государственных и муниципальных органов, либо Единого портала государственных услуг. Данная схема имеет серьёзный недостаток, а именно необходимость обращения в стороннюю организацию для получения электронной подписи.

На данный момент на территории РФ действует 402 аккредитованных УЦ [6]. Однако существует тенденция расположения УЦ исключительно в крупных населенных пунктах, в то время как пользователи в отдаленных пунктах сталкиваются с трудностями при получении сертификата ключа проверки электронной подписи (далее - СКПЭП). Заявитель скорее предпочтёт предоставления услуги в бумажном формате.

В качестве оптимизации предоставления Госуслуг в электронном виде может быть предложена схема взаимодействия между УЦ и «Мои документы», при которой выдача КЭП будет производиться не в самом УЦ, а уже в ближайшем к гражданину офисе «Мои документы».

По данным электронного ресурса мфц.рф, сетью «Мои документы» охвачено 85 регионов РФ, существует порядка 1200 офисов «Мои документы» по всей территории страны [7]. Кроме того, по данным Министерства связи и массовых коммуникаций РФ, ежемесячный прирост пользователей электронных услуг превысил один миллион человек [8].

Однако, поскольку при оказании услуг УЦ обрабатывается большой объем информации, в том числе сведения конфиденциального характера, например персональные данные (далее - ПДн), процесс взаимодействие между УЦ и «Мои документы» требует подробного рассмотрения вопросов безопасности.

Можно выделить по крайней мере один вариант взаимодействия гражданина, обращающегося в УЦ для получения КЭП через офисы «Мои Документы», обеспечивающий сервисы безопасности передаваемой информации (рис. 1):

1) Пользователь выбирает самостоятельно ли он будет готовить комплект документов или комплект документов будет готовиться сотрудником «Мои Документы». При самостоятельной подготовке комплекта документов пользователь оформляет данный комплект по образцам, представленным на сайтах УЦ и «Мои Документы», производит оплату услуг УЦ по реквизитам, которые также представлены на данных информационных ресурсах.

2) Пользователь посредством специализированного программного обеспечения генерирует ключевую пару и создает запрос на создание СКПЭП (формат файла-запроса определён спецификацией Инженерного Общества Интернета (IETF) [9]).

3а) Если пользователь выбрал самостоятельную подготовку комплекта документов, ему необходимо зашифровать созданные им ранее документы в электронном формате, запрос на создание СКПЭП, квитанцию об оплате услуг УЦ для передачи по сетям общего пользования. Шифрование является вынужденной мерой, способной обеспечить конфиденциальной передаваемой информации, в том числе ПДн пользователя. Происходит шифрование с помощью средств ЭП, получивших сертификат соответствия требованиям ФСБ РФ, посредством СКПЭП уполномоченного лица, который будет представлен на сайтах УЦ и «Мои Документы».

4а) При посещении «Мои Документы», пользователь предоставляет оригиналы или должным образом заверенные копии бумажных документов, которые передавались им на этапе № 3 в электронном виде. Необходимость предоставления документов в бумажном виде обусловлена обязанностью хранения данной информации согласно статье № 15 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

3б) Если пользователь выбрал оформление документов для получения СКПЭП (заявление на создание СКПЭП, договор на предоставление услуг УЦ и т.д.) с помощью сотрудника «Мои Документы», то при посещении «Мои Документы» ему потребуется предоставить оригинальный комплект документов. Также необходимо передать запрос на создание СКПЭП на переносном машинном носителе.

4б) Далее пользователь получает счет на отплату услуг УЦ.

5б) После оплаты счета пользователь предоставляет в офис «Мои Документы» квитанцию об оплате.

6б) Следующим этапом оператор «Мои Документы» оформляет документы на создание СКПЭП для пользователя.

После предоставления документов и проверки факта оплаты услуг сотрудник «Мои Документы» обрабатывает полученный запрос на СКПЭП.

Заключительным этапом пользователь получает СКПЭП в бумажном и электронном видах.

Генерация ключевой пары пользователем самостоятельно позволяет обеспечить невозможность компрометации ключа подписи со стороны сотрудника УЦ и свести временные издержки и издержки социальных коммуникаций к минимуму, однако, необходимо отметить, данный процесс должен производиться только с помощью сертифицированных средств ЭП. Это исключает наличие каких-либо программных закладок, способных привести к компрометации ключа подписи пользователя.

Рис. 1. - Схема получения СКПЭП через офис «Мои Документы»

государственный муниципальный информация

В схеме подробно рассмотрен процесс защита информации взаимодействия Пользователь «Мои Документы».

Взаимодействие состоит из двух связей: связь между гражданином и «Мои документы», связь между «Мои документы» и УЦ. В отношении связи «Мои документы» УЦ также существует необходимость передачи информации, причём как в электронном виде, так и в бумажном.

Передача документов в бумажном формате проходит непосредственно между сотрудником «Мои документы» и уполномоченным сотрудником УЦ по принципу «из рук в руки». В офисах «Мои Документы», в силу рода деятельности данной организации, присутствуют необходимые меры для предотвращения несанкционированного доступа к охраняемой информации. Возможен вариант передачи документов через курьерскую службу, в таком случае, ответственность за сохранения конфиденциальности данных несёт курьер.

УЦ является одним из элементов Инфраструктуры открытых ключей [10]. Для реализации своих функций УЦ использует набор программных и аппаратных средств (далее - средства УЦ). Для возможности использования вышеописанной схемы в офисе «Мои Документы» необходимо установить один из компонентов средств УЦ - Автоматизированное рабочее место администратора центра регистрации. Электронная информация во взаимодействии «Мои Документы» УЦ представляет собой информацию, передаваемую между компонентами средств УЦ. Установка средств УЦ должна производиться в строгом соответствии с эксплуатационной и технической документацией этих средств. Документация создаётся разработчиками согласно нормативно-правовым актам регуляторов, регламентирующие процесс информационной безопасности в отношении самих средств УЦ и передаваемой между ними информации.

Таким образом, схема получения СКПЭП через офисы «Мои документы» позволит снизить издержки социальных коммуникаций к минимуму, повысить доступность предоставления Госуслуг в электронном виде, а также обеспечить сервисы безопасности ПДн заявителей.

Литература

1. О. В. бучина, М. В. Корниенко. Совершенствование организации предоставления государственных социальных услуг // Инженерный вестник Дона

2. Зарегистрироваться на портале госуслуг можно в МФЦ // Минкомсвязь России

3. Портал УФО: Аккредитованные УЦ // Портал уполномоченного федерального органа в области использования электронной подписи URL: e-trust.gosuslugi.ru/CA (дата обращения: 28.05.2016).

4. Каталог МФЦ России // МФЦ.РФ

Размещено на Allbest.ru