ФГИС ЕСИА
1 like•3,196 views
Доклад описывает единую систему идентификации и аутентификации (ЕСИА) в России, ее структуру, функции и механизмы безопасности. Основные задачи ЕСИА включают идентификацию и аутентификацию пользователей, а также обработку запросов на ведение регистров. Документ также акцентирует внимание на использовании открытых стандартов и протоколов для взаимодействия с системой.
ФГИС ЕСИА
- 1. Единая система идентификации и аутентификации (ЕСИА) – национальный сервис идентификации пользователей
- 2. Ключевые вопросы доклада Что такое ЕСИА? Как обеспечить безопасность ЕСИА? 2
- 3. Задачи ЕСИА Обработка запросов на Ведение регистров идентификацию и пользователей, организаций, аутентификацию пользователей систем и полномочий Обеспечение безопасности персональных данных 3
- 4. ЕСИА сегодня Порталы открытого www.gosuslugi.ru правительства, электронной демократии, общественного обсуждения законопроектов и другие … ЕСИА Региональные порталы государственных услуг Сервисы национальной лето 2012 облачной платформы www.o7.com Системы инфраструктуры Сайт размещения 4 электронного правительства заказов (223-ФЗ)
- 5. Единая учетная запись пользователя Роли пользователей в ЕСИА Физическое лицо (граждане РФ и иностранцы) Индивидуальный предприниматель Должностное лицо Юридического лица Должностное лицо государственной организации Оператор / Администратор + 1 особый тип пользователей Информационная система 5
- 6. Различие пользователей при идентификации. Уровни достоверности 1 2 3 4 Подтверждение личности Подтверждение Регистрация регистрации Регистрация (Почта России, личности в офисе сотрудника Метод через Интернет офис регистрации) регистрации гос.организации (без верификации (в соответствии с данных) Верификация Регистрация с ЭП политикой своего данных (63-‐ФЗ) Ведомства) пользователя аутентификации Вход по ЭП Вход по ЭП Метод Вход по паролю Вход по паролю Вход по Вход по одноразовому одноразовому ключу ключу 6
- 7. Открытые стандарты взаимодействия с ЕСИА Идентификация и аутентификация • взаимодействие основано на SAML 2.0 • ЕСИА соответствует профилям web browser SSO profile, single logout profile • опубликованы «Методические рекомендации по использованию ЕСИА» Работа с пользователями и полномочиями • Web-‐интерфейс, все распространенные браузеры • API в форме web-‐сервисов, доступных по SOAP с WS-‐Security 7
- 8. Сценарий 1. Идентификация и аутентификация пользователей …Хочу войти в личный ЕСИА кабинет ИС (web-‐ НTTPs GET портал) 1. Пользователь обращается к защищённому ресурсу ИС 2. ИС перенаправляет пользователя в ЕСИА 3. Пользователь проходит аутентификацию в ЕСИА 4. ЕСИА передаёт в ИС утверждения о пользователе и перенаправляет пользователя в ИС 8
- 9. Сценарий 1. Идентификация и аутентификация пользователей …Хочу войти Нужно авторизо-‐ в личный ЕСИА кабинет ваться… SAML/НTT Ps Redirec t ИС (web-‐ НTTPs GET портал) 1. Пользователь обращается к защищённому ресурсу ИС 2. ИС перенаправляет пользователя в ЕСИА 3. Пользователь проходит аутентификацию в ЕСИА 4. ЕСИА передаёт в ИС утверждения о пользователе и перенаправляет пользователя в ИС 9
- 10. Сценарий 1. Идентификация и аутентификация пользователей НTTPs POS Ввожу T логин и ЕСИА пароль SAML/НTT Ps Redirec t ИС (web-‐ портал) 1. Пользователь обращается к защищённому ресурсу ИС 2. ИС перенаправляет пользователя в ЕСИА 3. Пользователь проходит аутентификацию в ЕСИА 4. ЕСИА передаёт в ИС утверждения о пользователе и перенаправляет пользователя в ИС 10
- 11. Сценарий 1. Идентификация и аутентификация пользователей НTTPs POS T J ЕСИА SAML/НTT Ps РОST ИС (web-‐ портал) 1. Пользователь обращается к защищённому ресурсу ИС 2. ИС перенаправляет пользователя в ЕСИА 3. Пользователь проходит аутентификацию в ЕСИА 4. ЕСИА передаёт в ИС утверждения о пользователе и перенаправляет пользователя в ИС 11
- 12. Сценарий 2. Идентификация систем при межведомственном взаимодействии 1,2 Отправка межведомственного запроса 3 Запрос идентификации ИС в ЕСИА Орган власти, оказывающий 4,5 Проверка действительности сертификата ЭП услугу 6 Результат идентификации ИС и ее полномочия 7,8 Обработка запроса в ведомстве 9,10 Передача результата исполнения запроса СМЭВ Взаимодействие ЕСИА Полномочия ИС ГУЦ Доверие Орган власти, поставщик информации 12
- 13. Сценарий 3. Ведение регистров должностных лиц и полномочий графический интерфейс ЕСИА …Ввожу данные о ДЛ и полномочиях Администратор профиля организации HR-‐ или IdM-‐система организации Данные о сотруднике электронные сервисы ЕСИА Необходимо проверить полномочия Информационная 13 система организации
- 14. Выгоды использования ЕСИА Для пользователей Для операторов ИС Для государства n Единая учетная запись n Поставщик качественных n Оптимизация затрат на идентификационных развитие n Единые механизмы данных населения РФ информационных доступа n Потенциальный технологий n Потенциальная стандарт РФ по n Расширение возможность контроля идентификации возможностей доступа к своим ПДн пользователей электронного n Аутсорсинг задачи межведомственного организации доступа и взаимодействия защиты ПДн n Единая база учетных записей должностных лиц органов власти и их полномочий n Качественная база идентификационных данных населения РФ 14
- 15. Ключевые вопросы доклада ✔ Что такое ЕСИА? Как обеспечить безопасность ЕСИА? 15
- 16. Особенности обеспечения безопасности ЕСИА ЕСИА – «некорпоративная» информационная система 1 • ИБ «последней мили» • Ограниченные возможности распространения политики безопасности • Внешний информационный обмен Угрозы Угрозы Пользователи ЕСИА Угрозы ИС 16
- 17. Особенности обеспечения безопасности ЕСИА 2 Важно обеспечить доверие пользователей и операторов ИС 17
- 18. Особенности обеспечения безопасности ЕСИА Акценты на 3 • меры доверия (а не функции безопасности) • апостериорные (а не априорные) методы защиты • снижение (а не предотвращение) рисков 18
- 19. Механизмы безопасности в некорпоративных системах • Управление событиями безопасности Универсальные • Мониторинг состояния ИТ механизмы • Контроль соответствия требованиям Бизнес-‐ • Управление правами доступа ориентированные • Управление идентификацией механизмы • Электронная подпись • Управление информационными ресурсами Смежные • Обеспечение непрерывности деятельности механизмы • Управление операционными рисками (GRC) 19
- 20. Как начать использовать ЕСИА Документы Инструментарий n Постановление Правительства РФ от n Тестовый контур ЕСИА для отработки 28.11.2011 г. № 977 «О Единой присоединения ведомственных системе идентификации и информационных систем аутентификации…» n Технологический портал ЕСИА для n Положение о ЕСИА: Приказ автоматизации процедур, Минкомсвязи России от 13.04.2012 г. предусмотренных регламентом № 107 взаимодействия h•ps://esia-‐portal.gosuslugi.ru n Методические рекомендации по использованию ЕСИА Контакты n Регламент взаимодействия при n Единая «точка входа» по вопросам использовании ЕСИА использования ЕСИА, [email protected] n ОАО «Ростелеком» – Обидовский Сергей Владимирович, [email protected] n AT Consul”ng – Ванин Михаил Владимирович, mvanin@at-‐consul”ng.ru 20
- 21. Спасибо за внимание Михаил Владимирович Ванин, Руководитель группы разработки системы ЕСИА. © AT Consul”ng — 2012 mvanin@at-‐consulng.ru