W w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Алексей Сабанов, Зам. ген. директора ЗАО «Аладдин Р.Д.» г. Москва, 19 апреля 2011 г. Вопросы аутентификации. - презентация

1 w w w. a l a d d i n. r uw w w. a l a d d i n – r d. r u Алексей Сабанов, Зам. ген. директора ЗАО «Аладдин Р.Д.» г. Москва, 19 апреля 2011 г. Вопросы аутентификации и предоставления доступа в системах юридически значимого электронного документооборота Инфофорум.док

2 w w w. a l a d d i n – r d. r u Актуальность. Федеральные проекты Информационное общество 2010 – 2020гг. Отв. – Минкомсвязи РФ Электронное правительство. Отв. – Минкомсвязи РФ Проект межведомственного электронного документооборота (МЭДО). Отв. – ФСО РФ Из этого проекта вырастет система межведомственного документооборота не только федеральных органов власти, но и региональных. Проект строительства единой системы межведомственного электронного взаимодействия (СМЭВ). Отв. – Минкомсвязи РФ 2 В этих проектах требуются надежные способы идентификации и аутентификации

3 w w w. a l a d d i n – r d. r u Актуальность. Трансграничное взаимодействие КТС: соглашение о применении информационных технологий при обмене электронными документами во внешней и взаимной торговле на единой таможенной территории таможенного союза Создан макет ИС для проведения on-line аукционов с участием иностранных поставщиков на основе Доверенной Третьей Стороны («Русское техническое общество»)

4 w w w. a l a d d i n – r d. r u Юридические факты 4 "Священникам о приходских людях и о духовных детях иметь записныя книги, кто, у кого в приходе, когда родился, и кто молитву давал, где который младенец крещен и кем, и кто восприемник и восприемница были, и от которых лет кто у кого исповедывался; аще кто, кем, где и при ком обручен; аще кто умреть, при смерти - онаго кто исповедовали приобщал, и кто тому, аще и отвне, свидетелем был

5 w w w. a l a d d i n – r d. r u Бумажные документы, фиксирующие юридические факты 5

6 w w w. a l a d d i n – r d. r u 6 Нотариат Нотариат (от лат. notarius писец, секретарь), система органов, в функции которых входит удостоверение сделок, оформление наследств. прав, засвидетельствование документов для придания им юридической достоверности и т.д. В СССР организация и деятельность. (БСЭ) Нотариат - правовой институт, носители которого - нотариусы - уполномочены государством совершать и свидетельствовать юридические акты, придавая тем последним значение актов публичных.(Брокгауз, Ефрон) Нотариат представляет собой систему государственных органов и должностных лиц, на которых возложено удостоверение бесспорных прав и фактов, свидетельствование документов, выписок из них, придание документам исполнительной силы (wikipedia.org) Записи, имеющие юрид.силу выписки (документы)

7 w w w. a l a d d i n – r d. r u Компоненты инфраструктуры юридической значимости бумажного документооборота 7 Технико-криминалистическая экспертиза документов Законодательные и нормативно-правовые акты Нотариат Защитные элементы Удостоверение бесспорных прав Свидетельствование документов Апостиль Текст документа и собственноручная подпись Защитные элементы печатей и штампов Защитные элементы бланка документа Придание документам исполнительной силы

8 w w w. a l a d d i n – r d. r u 8 Защита печатей для бумажных документов Старинные печати Современные печати

9 w w w. a l a d d i n – r d. r u 9 Защита бланков бумажных документов Защита бланков документов

10 w w w. a l a d d i n – r d. r u 10 Экспертиза документов в конфликтны ситуациях Задачи технико-криминалистической экспертизы документов –установление способа изготовления документа и его частей; –установление факта и способа внесения изменений в документ либо его части; –определение рода, вида документа; –установления первоначального содержания документа (выявление невидимых и слабовидимых текстов, выцветших, залитых, зачеркнутых, замазанных, вытравленных, подчищенных записей, текстов на сгоревших документах, текстов по вдавленным штрихам и др.); –определение возраста документа и последовательности выполнения его реквизитов. Методики решения отдельных задач экспертизы документов –Экспертиза документов с измененным содержанием –Установление технических приемов воспроизведения подписи –Установление последовательности выполнения реквизитов документа –Экспертиза бланков документов –Экспертиза денежных билетов и ценных бумаг –Экспертиза оттисков печатей и штампов –Экспертиза машинописных текстов

11 w w w. a l a d d i n – r d. r u Система реквизитов очно-бумажного документооборота 11 Бланк документа Реквизиты ведомства г.Москва16-00 ДиректорИванов И.И УПЛАЧЕНО пошлина 1 руб. Текст документа В соответствии с Федеральным законом ……… Постановление Правительства РФ 477 от г. «Об утверждении Правил делопроизводства в федеральных органах исполнительной власти» (24 реквизита)

12 w w w. a l a d d i n – r d. r u Соответствие реквизитов очно-бумажного и электронного документов 12 Бланк документа Реквизиты ведомства г.Москва16-00 ДиректорИванов И.И. Правовой статус МестоВремя Полномочие Подпись Правомочие Нотариальное заверение Апостиль Квитанция об оплате 678 УПЛАЧЕНО пошлина 1 руб. Текст документа В соответствии с Федеральным законом ………

13 w w w. a l a d d i n – r d. r u Система реквизитов электронного документа 13 Бланк документа Правовой статус МестоВремя Полномочие Подпись Правомочие Нотариальное заверение Апостиль Квитанция об оплате 678 Текст документа В соответствии с Федеральным законом ……… Служба документирования (ГОСТ 15489) Служба атрибутирования е-архив

14 w w w. a l a d d i n – r d. r u 14 Доверенная третья сторона ITU-T X.842

15 w w w. a l a d d i n – r d. r u Модель Единого пространства доверия 15 Технологии обращения с электронными записями, документами и сообщениями, позволяющие обеспечивать юридическую их силу Создание правового поля для юридически - значимого электронного документооборота Организация документирования, передачи, хранения и обработки информации для участников информационного взаимодействия и операторов

16 w w w. a l a d d i n – r d. r u Организационный уровень Операторы: Регламенты деятельности Договора Аудит Участники информационного взаимодействия (клиентский уровень): Правила документирования информации в электронном виде Безопасные, но удобные условия применения электронной подписи

17 w w w. a l a d d i n – r d. r u Правовой уровень Международные соглашения Торговые обычаи Страховые механизмы Судейские процедуры

18 w w w. a l a d d i n – r d. r u 18 Иерархия нормативной базы Международные документы Конвенция о защите физических лиц при автоматизированной обработке ПДн европейская спецификация MoReq (Model Requirements for the Management of Electronic Records), Законы РФ 63-ФЗ, 128-ФЗ, 184-ФЗ, 149-ФЗ, 210-ФЗ, … Подзаконные акты (Госпрограмма «Информационное общество») ГОСТ Р Системы ЭДО, нормативная база ФСБ, ФСТЭК, РКН) Отраслевая нормативная база Нормативная база предприятия (приказы, регламенты, распоряжения)

19 w w w. a l a d d i n – r d. r u Элементы технологического уровня Доверенная третья сторона Учетные системы Инфраструктура документирования информации Инфраструктура мониторинга правовых статусов Инфраструктура актуальности правомочий юридических и физических лиц Инфраструктура мониторинга полномочий Инфраструктура валидации Служба определения места события Служба доверенного времени Инфраструктура управления ключами и сертификатами 19

20 w w w. a l a d d i n – r d. r u Технологический уровень Учетные системы Мониторинг правовых статусов Инфраструктура документирования Электронные передаваемые записи Доверенная третья сторона Защищённая область

21 w w w. a l a d d i n – r d. r u Реквизиты юридической значимости электронных документов 21 Разделение доступа. Службы идентификации и аутентификации. Платформа ИБ Законодательные и нормативно-правовые акты Службы Электронные реестры Службы доверенного времени Электронный нотариат Службы апостиля Удостоверяющий центр Службы разбора конфликтных ситуаций Правовой статус организаций Полномочия должностных лиц Правомочия физических лиц Службы документирования е-архивы

22 w w w. a l a d d i n – r d. r u 22 Основные СУД Основные функциональные возможности PKIIDMSSOHR ORACLE IBM TMS MS FIM Функциональные возможности СИАУД (Identity&Access Management, IAM) Отсутствие Наличие Частично

23 w w w. a l a d d i n – r d. r u Идентификация и аутентификация Идентификация – процедура распознавания субъекта по его идентификатору. В процессе регистрации субъект предъявляет свой идентификатор информационной системе, которая проверяет его наличие в своей базе данных (LDAP-каталоге). Простейшим примером идентификатора является учетная запись, содержащая логин пользователя. Лучшая технология идентификации – по цифровым сертификатам электронной подписи. Аутентификация – процедура проверки подлинности субъекта, проводимая, как правило, с помощью криптографических преобразований, позволяющая достоверно убедиться в том, что субъект, предъявивший свой идентификатор, на самом деле является именно тем субъектом, идентификатор которого он использует. Лучшая технология аутентификации – ЭЦП. 23

24 w w w. a l a d d i n – r d. r u 24 0, $ Идентификация и аутентификация с точки зрения применяемых технологий

25 w w w. a l a d d i n – r d. r u Бизнес-процесс подготовки записи 25 Уполномоченное лицо Заявитель Набор справок и документов Задача+++++ БД WWW…… БД Ххххххххх Хххххх Ххх Хххххххх Хххххх ххххххххх Ххххххххх Хххх Ххх Ххххххх Хххххх ххххххххх Ххххххххх Хххххх Ххх Ххххххх Хххххх ххх Записи в БД

26 w w w. a l a d d i n – r d. r u Идентификация и аутентификация 26

27 w w w. a l a d d i n – r d. r u 27 Идентификация и аутентификация

28 w w w. a l a d d i n – r d. r u Некоторые нерешенные вопросы Архитектура и сроки начала действия единой системы аккредитованных удостоверяющих центров во главе с корневым Выбор единого идентификатора служащего, подтверждающего его полномочия (OID или что?); Кто и как будет отвечать за правильность построения инфраструктур доверия: полномочий, правомочий, юридически-значимых записей, подписей, времени, идентификационных и др. параметров доверия? Кто и когда правильно напишет и быстро утвердит регламенты и правила (пример: Х.509)? Какова должна быть единая универсальная карта? Будет ли реализована электронная подпись? 28

29 w w w. a l a d d i n – r d. r u 29 Вопросы ?

30 w w w. a l a d d i n – r d. r u Основные компоненты ЮЗЭДО 30

31 w w w. a l a d d i n – r d. r u Документооборот- основа электронного правительства 31 Запрос без юридических последствий ответ Запрос с юридическими последствиями

32 w w w. a l a d d i n – r d. r u Понятийный аппарат Информационные системы: информационно-справочные, информационно-аналитические, учетные электронные передаваемые записи (ЭПЗ), под которыми предлагается понимать разновидность электронных документов, зафиксированных в учетных системах, базирующихся на общей инфраструктуре документирования информации. Типичными аналогами ЭПЗ в бумажном виде являются записи актов гражданского состояния, учетные записи нотариальных действий, выдачи паспорта, справок и т.д. Понятие ЭПЗ взято из анализа мирового опыта работы с ЮЗЭДО в качестве перевода англоязычного термина Electronic Transferable Records, использующегося в документах ЮНСИТРАЛ [1]. Кроме того, понятие ЭПЗ используется в ряде других документов, в частности, аналог ЭПЗ имеется в отечественном стандарте [5]. Под учетной системой предлагается понимать регистрационную систему, содержащую информацию из правоустанавливающих документов субъектов электронного взаимодействия, на основании которой составляются или выдаются ЭПЗ, обладающие юридической силой. инфраструктура документирования информации в электронной форме (далее – общая инфраструктура), под которой предлагается понимать совокупность информационно- технологических и организационно-правовых мероприятий, правил и решений, реализуемых в целях придания юридической силы электронным передаваемым записям, содержащимся в учетных системах. 32

33 w w w. a l a d d i n – r d. r u Компоненты электронного правительства Информирование граждан и бизнеса Электронный документооборот Электронные услуги организациям и населению G2B, G2C Электронная коммерция B2G, B2B, B2C –Госторги –Ведомственные электронные площадки –Интернет-торговля Межведомственное взаимодействие Трансграничные операции, в том числе B2B, B2G 33

34 w w w. a l a d d i n – r d. r u Реестры, кадастры, регистры 34 БД Матрица баз данных Ведомство «А»Ведомство «C» Ведомство «B»

35 w w w. a l a d d i n – r d. r u Решения по аутентификации: Пример ведомства 35