Безопасность доступа организаций и граждан к порталам государственных услуг Д.М.Гусев, В.В.Филиппов ОАО «ИнфоТеКС»
Безопасность электронных услуг
Категории информации на государственных порталах Конфиденциальная информация Конфиденциальная информация РД ФСБ России и ФСТЭК России РД ФСБ России и ФСТЭК России Нормативная база по обеспечению информационной безопасности О О К К ПДн
Задачи двухстороннего информационного взаимодействия Безопасность электронных услуг Задачи вещательного характера Задачи, решаемые госпорталами Зашел на портал посмотреть информацию о состоянии своего пенсионного накопительного счета или график работы какого-то ведомства и т.д. Размещение на портале заявок на выдачу тех или иных справок и документов, отправка запросов и получение ответов от ведомств, оплата госпошлин и т.п.
– граждане – госслужащие, которые должны иметь возможность получать расширенный перечень услуг в соответствии со своими должностными полномочиями – граждане – госслужащие, которые должны иметь возможность получать расширенный перечень услуг в соответствии со своими должностными полномочиями Государственные организации Безопасность электронных услуг Участники информационного взаимодействия коммерческие организации физические лица Двойная роль: – являются источниками информации и поддерживают функционирование системы госпорталов; – являются потребителями услуг, получая доступ к информации других госструктур Двойная роль: – являются источниками информации и поддерживают функционирование системы госпорталов; – являются потребителями услуг, получая доступ к информации других госструктур – являются потребителями услуг, получая доступ к информации госструктур
Навязывание ложной информации Основные угрозы и задачи безопасности Внедрение на компьютеры вредоносного ПО Подмена пользователя Несанкционированный перехват информации Безопасность электронных услуг Задача обеспечения целостности и достоверности информации Задача обеспечения надежности и закрытости схемы взаимодействия от третьих лиц Задача надежной аутентификации и авторизации пользователя Задача защиты от утечки данных
Безопасность электронных услуг
Единого универсального подхода и решения по защите информации в системе электронных госуслуг, который бы устраивал всех по возможностям и цене, не существует Вывод Вывод Необходимо каждый раз детализировать постановку задачи и по результатам выбирать те или иные средства ИБ, которые представлены на рынке. Необходимо каждый раз детализировать постановку задачи и по результатам выбирать те или иные средства ИБ, которые представлены на рынке.
Первый пример – обращение гражданина на портал гос.услуг для получения информации о графике работы какого-то местного отделения госоргана Безопасность электронных услуг Информация с портала гос.услуг о времени работы местного отделения Портал гос.услуг Информация – открытая, общедоступная Авторизация пользователя на портале не требуется Риск (угроза) подделки информации – крайне мал Ущерб - несущественен
Безопасность электронных услуг Указ Президента РФ 351 от Указ Президента РФ 351 от «Государственные органы в целях защиты общедоступной информации, размещаемой в информационно-телекоммуникационных сетях международного информационного обмена, используют только средства защиты информации, прошедшие в установленном законодательством РФ порядке сертификацию в Федеральной службе безопасности РФ и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю».
Два способа обеспечения достоверности информации на портале Два способа обеспечения достоверности информации на портале Безопасность электронных услуг Указ Президента РФ 351 от требует от госпортала обеспечить достоверность информации, размещенную на сайте портала Указ Президента РФ 351 от требует от госпортала обеспечить достоверность информации, размещенную на сайте портала 1. Подписывать размещаемую на портале информацию ЭЦП 1. Подписывать размещаемую на портале информацию ЭЦП 2. Обеспечить защищенный доступ к информации на портале 2. Обеспечить защищенный доступ к информации на портале
1. Подписывать размещаемую на портале информацию ЭЦП Указ Президента РФ 351 от Указ Президента РФ 351 от требует от гос.портала обеспечить достоверность информации с применением сертифицированных средств защиты Указ Президента РФ 351 от Указ Президента РФ 351 от требует от гос.портала обеспечить достоверность информации с применением сертифицированных средств защиты Безопасность электронных услуг 2. Обеспечить защищенный доступ к информации на портале Криптопровайдер ViPNet CSP Поставляется бесплатно Поставляется бесплатно Одобрено ФСБ России
Предназначен для выработки ключей ЭЦП и шифрования, хэширования данных, генерации и проверки ЭЦП, шифрования и имитозащиты данных, защиты данных с использованием протокола TLS Реализация российских криптографических алгоритмов ГОСТ ГОСТ Р , Р Поддержка протоколов SSL/TLS MS Internet Explorer MS IIS Поддержка продуктов MS Office 2003, 2007 Web-утилита создания запросов на сертификат Безопасность электронных услуг ViPNet CSP криптопровайдер
Второй пример – обращение гражданина на портал гос.услуг для заполнения налоговой декларации Безопасность электронных услуг Аутентификация пользователя, извещение о получении ПДн Авторизация пользователя, ПДн пользователя Требуется: - криптопровайдер - антивирус - персональный сетевой экран - электронный ключ – смарт-карта, токен Информация – ПДн Угрозы НСД к информации, навязывания ложной информации и т.д. Ущерб – существенный Требуется авторизация и аутентификация пользователя на портале Защита компьютера от угроз из Интернета Портал гос.услуг
- Из приведенных примеров хорошо видно, как существенно усложняется и удорожается решение вопроса ИБ для пользователя после того, как он захочет перейти от пассивного считывания информации с портала к активным действиям по взаимодействию через портал с госорганами. - В других сценариях использования гос.порталов коммерческими организациями или государственными служащими ситуация с точки зрения ИБ окажется еще более серьезной и потребует применения СЗИ более высоких классов безопасности и, как следствие, более дорогих. Но такова цена безопасности. Безопасность электронных услуг
Можно ли упростить решение рассматриваемого вопроса? На данный момент ответ - «нет», если строго следовать букве закона и требованиям регуляторов. Нужно ли упрощать эти решения? Для ответа на данный вопрос необходимо сначала самим себе ответить на вопрос: С какой системой электронных госуслуг мы хотим работать? С надежной и безопасной? Или простой и дешевой, но при этом неспособной защитить интересы каждого их нас? Безопасность электронных услуг
Спасибо за внимание! Владимир Филиппов ОАО «ИнфоТеКС» Безопасность электронных услуг