Интеграция технологий обеспечения ИБ при оказании государственных услуг в электронном виде

Оказание государственных услуг в электронном виде, прежде всего, требует решения проблемы интеграции информационных систем, участвующих в процессе предоставления услуг. Решение этой проблемы урегулировано целым рядом постановлений Правительства, приказов ведомств и других нормативных правовых и методических документов.

В этих документах определены участники информационного взаимодействия при оказании услуг, к которым отнесены: федеральные органы исполнительной власти, государственные внебюджетные фонды, исполнительные органы государственной власти субъектов Российской Федерации, органы местного самоуправления, государственные и муниципальные учреждения, многофункциональные центры, иные органы и организации.

Взаимодействие участников осуществляется следующими способами: интеграция комплексов предоставления услуг на федеральном уровне реализуется через СМЭВ, а на региональном уровне через региональные системы межведомственного взаимодействия (РСМЭВ), создаваемые в субъектах Российской Федерации и подключаемые к СМЭВ; граждане получают услуги в электронном виде, используя портал госуслуг или возможности МФЦ.

Однозначная идентификация участников взаимодействия (с учетом объема их прав) реализуется применением единой системы идентификации и аутентификации (ЕСИА), в регистры которой должна быть включена информация об участниках взаимодействия федерального, регионального и уровня местного самоуправления, включая также государственные и муниципальные учреждения и другие организации, информационные системы которых используются в процессе межведомственного электронного взаимодействия.

Исходя из действующих нормативных правовых и методических документов, упомянутых выше, комплексы оказания услуг должны быть представлены в СМЭВ (РСМЭВ) в виде электронных сервисов и обеспечивать определенный набор требований к участникам взаимодействия: защита информации в ИС участника, входящей в нее подсистемой информационной безопасности, а также применением соответствующих организационно-технических мер по защите информации, исключающих доступ посторонних лиц к защищаемой (в т.ч. парольной и ключевой) информации; протоколирование фактов приема и отправки каждого информационного сообщения в рамках СМЭВ (РСМЭВ); ответственность за содержание реквизитов электронного сообщения; применение ЭП; санкционированный доступ к электронному сервису участника на основе взаимодействия с ЕСИА; ответственность за защиту канала связи с СМЭВ (РСМЭВ); и т.д.

Основными элементами инфраструктуры, обеспечивающими защищенную интеграцию, являются: СМЭВ, ЕСИА, головной удостоверяющий центр (УЦ), система обеспечения информационной безопасности.

В части обеспечения информационной безопасности особо следует подчеркнуть следующее:

1. СМЭВ обеспечивает фиксацию и хранение сведений об истории движения электронных сообщений при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в электронной форме, а также ведение журнала обращений потребителей к электронным сервисам СМЭВ и электронным сервисам поставщиков.
2. Целостность и авторство электронного сообщения фиксируются электронной подписью (ЭП), легитимное использование которой обеспечивает соответствующий участник взаимодействия. Схема электронного сообщения СМЭВ предусматривает возможность использования ЭП автора, отправителя и оператора СМЭВ.
3. Участник информационного взаимодействия должен обеспечить защиту каналов связи сертифицированными СКЗИ, класса не ниже КС3, а доступ к электронным сервисам должен осуществляться с использованием сертифицированных межсетевых экранов.
4. Защита информации в ИС участников взаимодействия обеспечивается входящими в них подсистемами информационной безопасности в соответствии с уровнями защищенности информации, обрабатываемой в этих системах.
5. Санкционированный доступ пользователей к информации и сервисам ИС, предоставляется посредством обращения к ЕСИА через инфраструктуру взаимодействия, с использованием простых ЭП и (или) усиленных квалифицированных ЭП.
6. Сведения о взаимодействующих ИС указываются в регистре информационных систем ЕСИА.

Исполнение всех выше перечисленных требований влечет за собой или весьма дорогостоящую модернизацию действующих ИС государственных и муниципальных органов со значительными временными затратами или использование типового решения, которое даст возможность обойтись без существенной доработки участвующих во взаимодействии ИС.

Таким решением является создание типового защищенного сертифицированного программно-аппаратного шлюза «агента межведомственного электронного взаимодействия» между СМЭВ (РСМЭВ) и ИС в муниципальных образованиях, региональных и федеральных органах власти, которые на текущий момент не могут обеспечить соответствие требованиям подключения к СМЭВ (РСМЭВ) или не прошли процесс регистрации в системе.

Агент взаимодействия должен обеспечивать решение следующих задач: организация информационного обмена через среду СМЭВ (РСМЭВ), включая процесс регистрации электронного сервиса; предоставление уполномоченным сотрудникам органов власти возможности получения запросов и формирования ответных документов в ходе оказания государственных услуг; интеграция с действующими ИС в ходе оказания государственных услуг; санкционированный доступ к электронному сервису участника на основе взаимодействия с ЕСИА; протоколирование информационного обмена в рамках СМЭВ (РСМЭВ); создание доверенной среды для применения ЭП.

Все указанные задачи успешно решает программно-аппаратный комплекс «Агент межведомственного взаимодействия» (АМВ), разработанный специалистами ФГУП «Конструкторское Бюро Полупроводникового Машиностроения» (ФГУП «КБПМ» ГК «Ростехнологии»).

Наиболее эффективно функционирует АМВ в сопряжении с «Системой подготовки государственных услуг» (СПГУ), модель которой также разработана ФГУП «КБПМ». СПГУ – информационная система, которая обеспечивает реализацию перевода государственных услуг в электронный вид путем организации неразрывного, связного и целостного процесса их подготовки и последующего применения полученных результатов для исполнения государственных услуг в автоматизированном режиме. В состав СПГУ входят Региональная система подготовки государственных услуг и Экспертная система.

АМВ устанавливается на площадках в органах исполнительной власти (ОИВ) всех уровней и вписывается в их информационную инфраструктуру. При этом происходит настройка доверенных соединений.

Аппаратная часть АМВ представляет собой: защищенный компактный сервер с определенными характеристиками; программно-аппаратный комплекс средств защиты информации (ПАК СЗИ) «Аккорд», установленный и настроенный на сервере; комплект персональных средств криптографической защиты информации (ПСКЗИ) «ШИПКА» и средств обеспечения доверенного сеанса связи для защиты АРМ работников органа власти (СОДС) «МАРШ!».

Программная часть АМВ включает в себя: установленную и настроенную ОС Альт Линкус СПТ 6.0 (сертификат ФСТЭК); ПО низкоуровневых средств криптозащиты информации (СКЗИ); программные сертифицированные средства выработки и проверки ЭП; сертифицированные средства организации защищенного VPN-соединения; системное сертифицированное ПО (сервер баз данных, сервер приложений); функциональное ПО, позволяющее уполномоченным сотрудникам органов власти получать, формировать и отсылать документы в рамках исполнения государственных и муниципальных услуг через среду СМЭВ (РСМЭВ).

Предположим, в ходе исполнения услуг возникает необходимость получения информации от организации, в которой установлен АМВ. Поскольку АМВ предоставляет доступ к веб-службе, зарегистрированной в СМЭВ, внешняя ИС запрашивает необходимую информацию в соответствии со спецификацией формата сообщений, задекларированных с помощью WSDL-документа, зарегистрированного в свою очередь в реестре СМЭВ. В результате формируется XML-документ, являющийся ответом на запрос внешней ИС, который передается через СМЭВ.

Если используемые в составе АМВ ПСКЗИ «ШИПКА» и ПАК СЗИ «Аккорд» широко распространены, успешно эксплуатируются и хорошо описаны, то СОДС «МАРШ!» как относительно новая разработка, должен быть здесь охарактеризован подробнее.

«МАРШ!» – активное микропроцессорное устройство, с многоконтурной криптографической подсистемой, проверенной защищенной операционной системой "Linux", браузером, специальной подсистемой управления к памяти и многим другим.

Основная задача «МАРШ!» – создание доверенной среды функционирования криптографии. Для этого в специальном разделе памяти «МАРШ!» размещается все необходимое для этого программное обеспечение. Важнейшей особенностью является обеспечиваемая «МАРШ!» возможность подписи документов в формате XML.

«МАРШ!» подготавливается к эксплуатации как загрузочное устройство. При начале доверенного сеанса связи пользователь загружается с «МАРШ!», обеспечивая тем самым доверенную среду. Далее стартует браузер и все сопутствующее программное обеспечение, необходимое для работы. В браузере в доверенном сеансе обеспечивается защищенный обмен информацией, с соблюдением всех требований № 63-ФЗ.

С точки зрения управления доступом «МАРШ!» представляет собой память, разделенную на несколько разделов. Как правило, это не менее одного раздела Read Only (RO), не менее одного раздела ReadWriteHidden (RWH), используются также разделы AddOnly (AO) и разделы с общим доступом RW. Разделение на разделы осуществляется при производстве, и пользователем изменено быть не может.

Обычно в разделе RO размещается операционная система и другое ПО, которое является неизменяемым достаточно длительное время. Обновления и дополнения ФПО размещаются в одном из разделов RWH, в другом размещается ключевая информация VPN, а раздел AO используется для ведения аппаратных журналов событий безопасности.

Аппаратные ресурсы «МАРШ!» не используются для потоковой криптографии, а только для хранения кода и ключевой информации, что позволяет применять изделие с любыми сертифицированными СКЗИ без изменения систем ключевого менеджмента.

В составе АМВ «МАРШ!» - средство обеспечения доверенного сеанса связи для защиты АРМ работников органа власти, но в то же время, в рамках электронного взаимодействия с использованием WEB-сервисов, СОДС «МАРШ!» может применяться как пользовательское устройство во взаимодействующих системах.

Таким образом, использование типового решения на основе АМВ и СОДС «МАРШ!» позволит обеспечить высокую эффективность внедрения госуслуг в электронном виде с соблюдением всех требований к информационной безопасности систем Электронного правительства, интегрировать существующие информационные системы ОИВ/ОМСУ в процессе оказания услуг через СМЭВ без существенной доработки и обеспечить сохранение вложенных инвестиций.

Автор: Акаткин Ю. М.

Дата публикации: 01.01.2013

Библиографическая ссылка: Акаткин Ю. М. Интеграция технологий обеспечения ИБ при оказании государственных услуг в электронном виде // Information Security/Информационная безопасность. М., 2013. N. 2. С. 6–7.

---