Против карт » Публикации » Идентификационные инструменты (карты, в том числе универсальная карта гражданина, электронная подпись)

Идентификационные инструменты (карты, в том числе универсальная карта гражданина, электронная подпись)

 (голосов: 2)

Идентификационные инструменты (карты, в том числе универсальная карта гражданина, электронная подпись)

20 января 2012 г.


Идентификационные инструменты (карты, в том числе универсальная карта гражданина, электронная подпись)Ключевой фактор успеха проектов э-правительства – это доверие граждан, коммерческого сектора деятельности государства в целом и в вопросах э-правительства в частности. Ранее уже были упомянуты персональные данные граждан как ключевой объект государственной защиты. Но то же самое можно сказать и о внутренней корреспонденции государственных и муниципальных служащих, о корреспонденции между гражданином и представителем органов власти. В этой связи значительное внимание и финансовые ресурсы выделяются на создание закрытых межведомственных сетей обмена электронными документами, защищенных баз данных, а также вопросам аутентификации и авторизации пользователей (под пользователями понимаются, как государственные или муниципальные служащие, так и граждане).

Информационные системы позволят идентифицировать пользователей, отслеживать электронные транзакции, вести журналы доступа. Удаленный доступ субъектов правоотношений (пользователей) к информационным системам электронного правительства включает в себя три стадии – идентификацию, аутентификацию и авторизацию.

Идентификация представляет собой присвоение пользователю уникального идентификатора и сравнение предъявляемого им идентификатора с перечнем присвоенных ранее идентификаторов, известных другой стороне взаимодействия и однозначно связанных с данным субъектом правоотношений.

Аутентификация – процедура проверки подлинности объекта, предъявившего свой идентификатор. Аутентификация позволяет подтвердить принадлежность предъявленного идентификатора субъекту или объекту взаимодействия путем проверки предъявляемых данных с эталоном, и актуальность данного идентификатора. Аутентификация – это процесс, в котором система убеждается, что вы – это вы.

Идентификация и аутентификация являются взаимосвязанными составляющими проверки подлинности пользователей. На практике идентификация и аутентификация часто логически объединяются в рамках единого процесса (пример ѕ схема «логин-пароль»), а понятие идентификация используется для обозначения обеих процедур.

На основании идентификации и аутентификации производится авторизация участников – определение их полномочий по доступу к сервисам или данным электронного правительства. Авторизация производится, исходя из требований нормативных правовых актов, определяющих эксплуатацию конкретной информационной системы государственного учета и полномочия (правомочия) участников взаимодействия.

Авторизация – это режим, который ассоциирован с каждым пользователем, в котором прописаны права доступа (и модификации) пользователя к тем или иным информационным ресурсам системы. Процесс передачи электронных данных между информационными системами также может быть зашифрован для того, чтобы ограничить доступ какой-либо третьей стороны. На сегодня уже разработаны и внедрены сложные механизмы шифрования данных.

Принципы идентификации граждан в приложениях электронного правительства

Необходимость решения задачи правового регулирования вопросов идентификации и аутентификации участников электронного взаимодействия обозначена в Концепции формирования в Российской Федерации электронного правительства до 2010 года, одобренной распоряжением Правительства Российской Федерации от 6 мая 2008 г. № 632-р.

В Концепции формирования в Российской Федерации электронного правительства до 2010 года отмечается, что информационное взаимодействие государственных органов между собой, с организациями и гражданами осуществляется с помощью использования современных средств идентификации участников информационного взаимодействия и электронной цифровой подписи. В результате такого взаимодействия можно однозначно определить (идентифицировать) участников информационного взаимодействия, правомочность уполномоченных должностных лиц органов государственной власти, осуществляющих информационное взаимодействие, дату и время осуществления информационного взаимодействия, а также гарантировать идентичность информации, отправленной одним участником информационного взаимодействия и полученной другим участником информационного взаимодействия.

Действующее законодательство регламентирует вопросы идентификации и аутентификации участников электронного взаимодействия исключительно в контексте использования электронной цифровой подписи. Вместе с тем в мировой практике используются различные механизмы идентификации и аутентификации участников электронного взаимодействия (система штрих-кодирования, цифровые сертификаты, архитектуры открытых ключей и т.д.). В рамках формирования электронного правительства необходимо легализовать использование всех, в том числе несложных и малозатратных механизмов.

Реализацию механизмов идентификации в приложениях электронного правительства необходимо вести на основе следующих базовых принципов:

1.Адекватность метода идентификации ее целям

Надежность, сложность и стоимость используемого метода идентификации должна соответствовать цели его применения. Чем меньше значимость взаимодействия с точки зрения правовых последствий, тем более простые способы идентификации следует применять.

Конкретные методы идентификации, применяемые на различных этапах предоставления услуги (получение информации, выражение волеизъявления, отслеживания хода предоставления услуги и др.), должны выбираться на этапе перевода услуги в электронный вид, исходя из содержания этапа и состава передаваемых сведений, и требований законодательства.

2.Децентрализация процедур идентификации

В краткосрочной перспективе (2010-2012 гг.) для сокращения рисков и ввиду отсутствия постоянных соединений с функциональными ведомственными и региональными информационными системами создание обязательного для использования органами власти и получателями государственных и муниципальных услуг единого идентификационного шлюза на федеральном уровне нецелесообразно.

Создание такого шлюза возможно после появления государственных и муниципальных услуг, реализованных в электронном виде и носящих межведомственный или межуровневый характер. В среднесрочной перспективе (2012-2015 гг.) после появления значительного числа приложений электронного правительства и формирования в стране единого домена цифрового доверия следует рассмотреть вопрос о целесообразности создания единого идентификационного шлюза. Его создание в среднесрочной перспективе не должно исключать возможность идентификации пользователей на иных уровнях (ведомственном, региональном, на уровне функциональных ИС).

3.Минимальность и подконтрольность предоставляемых пользователем сведений

Процедура идентификации должна требовать от пользователя минимально возможный состав информации о его личности.

Система идентификации должна обеспечивать пользователю средства контроля над идентификационными данными, которые он предоставляет органам власти при удаленном взаимодействии.

4.Минимальное раскрытие сведений о пользователе

Проверка подлинности пользователя должна производиться однократно в пределах единой службы аутентификации. В конкретное приложение допустимо передавать только частный (сеансовый) идентификатор, используемый в данном приложении. Не допускается использование единого идентификатора пользователя, на основе которого можно установить связь между данными, имеющими отношение к пользователю, в различных учетных системах. Установление связи между данными допускается в случае предписания нормативного правового акта или при наличии информированного согласия пользователя.

5.Диверсификация вариантов идентификации

Для обеспечения гибкости, масштабируемости и надежности, а также снижения рисков неэффективных инвестиций информационные системы электронного правительства должны предусматривать возможность применения различных способов идентификации, которые не должны быть привязаны к конкретным организационно-технологическим решениям, в том числе к универсальной электронной карте, единому реестру идентификаторов, регистру граждан и иным средствам.

Пользователь должен иметь возможность выбирать наиболее удобный для него идентификатор и способ его предоставления, в том числе в зависимости от используемого устройства доступа или канала связи.

Информационные системы электронного правительства должны предусматривать возможность выполнения единой с правовой точки зрения транзакции (подача заявления, выражение волеизъявления и т.п.) в рамках последовательных сессий, в которых могут использоваться различные механизмы идентификации.

6.Независимость способов идентификации и иных характеристик предоставления услуги

Выбранные органом власти способы идентификации пользователей не должны ограничивать их в способах выполнения обязанностей, связанных с предоставлением государственной или муниципальной услуги. Например, использование универсальной электронной карты со встроенными банковскими приложениями для идентификации пользователя не должно ограничивать его право совершения платежей, предусмотренных законодательством, с помощью иных удобных ему способов (платежных систем в сети Интернет, банковских карт, скретч-карт).

7.Информированность пользователей

Пользователи должны информироваться о том, какие их идентификационных данных для каких целей будут использованы. Перед регистрацией пользователи должны быть уведомлены о:

  • целях, сроке и способах использования идентификационных данных;
  • возможности передачи данных третьим лицам;
  • порядке использования и порядке корректировке данных;
  • технологии предоставления и обработки данных.

Пользователям должны предоставляться ссылки на применимые правовые акты и даваться пояснения, доступные гражданам, не имеющим специального образования.

Базовые сценарии идентификации граждан в приложениях электронного правительства

Базовые варианты идентификации при удаленном доступе граждан и организаций к сервисам электронного правительства перечислены в порядке возрастания надежности:

1.Анонимный доступ.

2.Идентификация без аутентификации (например, с помощью адреса электронной почты или произвольно выбранных пользователем данных).

3.Идентификация на основе многоразового логина и пароля, выбранных пользователем.

4.Идентификация, основанная на информации (знаниях), известных только идентифицируемому лицу (например, данные банковского счета, биографии пользователя, учетных данных мобильного оператора и др.).

5.Одноразовый пароль с использованием аппаратного токена, смарт-карты, одноразовый пароль, выдаваемый гражданину после установления его личности, одноразовый пароль, передаваемый по независимым каналам связи.

6.Использование идентификации на основе инфраструктуры открытых ключей с хранением закрытого ключа подписи на незащищенном носителе.

7.Использование идентификации на основе инфраструктуры открытых ключей с хранением закрытого ключа подписи на защищенном от чтения носителе.

Уровень защиты участников электронного взаимодействия определяется компромиссом между потенциальными рисками и издержками на защиту. Многие административные процедуры (и даже отдельные услуги) не требуют даже идентификации заявителя и могут осуществляться на основе анонимного доступа. Другие (например, связанные с регистрацией прав на недвижимость акты гражданского состояния) требуют максимальной защиты, так как влекут за собой серьезные материальные или правовые последствия. Между крайними случаями существует множество допустимых вариантов идентификации заявителя и определения его прав на участие (получение информации, получение результата) в различных процедурах. Таким образом, выбор оптимального способа идентификации заявителя существенно зависит от характера услуги и состава ее процедур. Для каждой услуги и процедуры нужно использовать минимальный по затратам способ идентификации, обеспечивающий приемлемый уровень безопасности.

Универсальные электронные карты и идентификация граждан

В соответствии с Федеральным законом от 27 июля 2010 г. № 210-ФЗ универсальная электронная карта (далее – УЭК) представляет собой материальный носитель, содержащий зафиксированную на нем в визуальной (графической) и электронной (машиносчитываемой) формах информацию о пользователе картой и обеспечивающий доступ к информации о пользователе картой, используемой для удостоверения прав пользователя картой на получение государственных и муниципальных услуг и иных услуг (Ст. 22). Пользователем УЭК может быть гражданин Российской Федерации, иностранный гражданин либо лицо без гражданства.

Основным назначением УЭК является идентификация ее держателя с целью предоставления ему государственных или муниципальных услуг. В зависимости от используемых технологий и поддерживаемых функций УЭК может выполнять роль ограниченного или универсального удостоверения личности:

  • Универсальные смарт-карты, приравненные по статусу к удостоверению личности гражданина и обеспечивающие его надежную идентификацию с помощью технологии цифровой подписи.
  • Специализированные карты, которые используются в ограниченном числе случаев (карты социального обеспечения, медицинского страхования, водительское удостоверение, далее ѕ социальные карты), позволяющие осуществить идентификацию держателя карты с ограниченной надежностью с целью:

а) подтверждения прав держателя карты на получение отдельных видов социальной помощи или доступа к определенной информации.

б) зачисления на банковские счета, связанные с УЭК, дотаций, пенсий, пособий и др.

в) снятие наличных денежных средств, безналичная оплата товаров и услуг, платежное приложение и др.

Применение УЭК в электронном правительстве обеспечит предоставление гражданам удобного и универсального инструмента для получения социальных услуг и доступа к государственным информационным ресурсам на всей территории Российской Федерации, что будет способствовать:

  • повышению эффективности реализации государственной социальной политики;
  • реализации прозрачного механизма предоставления мер социальной поддержки;
  • повышению эффективности и качества социального обслуживания граждан в государственных и коммерческих организациях;
  • обеспечению государственного контроля над целевым использованием бюджетных средств, выделяемых на социальные цели;
  • увеличению доли безналичных расчетов;
  • обеспечению юридически значимого электронного взаимодействия между гражданами, государством и коммерческими организациями;
  • развитию информационно-технической базы систем социальной защиты населения.

В соответствии с Федеральным законом от 27 июля 2919 г. № 210-ФЗ УЭК должна содержать следующие визуальные (незащищенные) сведения:

1)фамилию, имя и (если имеется) отчество пользователя универсальной электронной картой;

2)фотографию заявителя;

3)номер универсальной электронной карты и срок ее действия;

4)контактную информацию уполномоченной организации субъекта Российской Федерации;

5)страховой номер индивидуального лицевого счета застрахованного лица в системе обязательного пенсионного страхования Российской Федерации.

На электронном носителе УЭК подлежат фиксации дата, место рождения и пол пользователя УЭК. Перечень иных сведений, в том числе и дополнительных визуальных, подлежащих фиксации на электронном носителе УЭК, определяется уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти.

УЭК хранится у пользователя такой картой и не может быть использована для предоставления государственных или муниципальных услуг другим лицам.

Опыт региональных проектов по созданию УЭК

В период до 2009 года в Российской Федерации были успешно осуществлены несколько региональных проектов создания сети приема электронных карт, в том числе для автоматизации задач в сфере социальной защиты населения. Почти все эти проекты успешно прошли фазы проектирования, опытной эксплуатации, построения региональной сети, но так и не стали межрегиональными и не заняли существенную долю российского рынка электронных карт.

Выпущенные в значительных количествах на региональном уровне УЭК относятся к типу социальных карт. Как правило, такие карты не поддерживают все перечисленные выше функции, ограничиваясь незащищенной идентификацией граждан для целей предоставления им социальной поддержки. Эмитированные социальные карты, как правило, не принимаются за пределами региона выпуска.

В состав информации, размещаемой на социальной карте, обычно входят незащищенные или плохо защищенные данные:

  • идентификационные данные карты (номер и серия, дата выдачи, срок действия)
  • идентификационные данные органа государственной власти, муниципального образования, иной организации, выдавшей карту;
  • персональные данные держателя карты (фамилия, имя, отчество, пол, дата рождения, регистрационный номер)
  • идентификационные данные специализированных систем учета (например, страховой номер индивидуального счета в системе учета Пенсионного фонда, номер полиса обязательного медицинского страхования и т.п.).

Социальная карта москвича как пример УЭК

Социальная карта москвича – совместная программа Правительства Москвы, Банка Москвы, Московского Метрополитена, Комитета социальной защиты населения, Московского городского фонда обязательного медицинского страхования и Московской железной дороги для пенсионеров и других категорий граждан, имеющих социальные льготы. К проекту постоянно подключаются новые участники.

Социальная карта москвича совмещает функции расчетной банковской и идентификационной карты и предназначена для обслуживания льготных категорий граждан в предприятиях потребительского рынка и услуг, лечебно-профилактических учреждениях, для обеспечения льготного проезда в Метрополитене и на Московской железной дороге. Социальная карта москвича фиксирует право льготника на приобретение (получение) товаров и услуг по льготным ценам (со скидкой), а также право пользоваться установленными для данных категорий лиц льготами на транспорте.

С 01.03.2002 введена новая услуга – оплата жилищно-коммунальных услуг с помощью Социальной карты москвича. Условием оказания услуги является оформление клиентом в любом из отделений Банка Москвы долгосрочного (сроком до 3-х лет) распоряжения на оплату по каждому виду платежа. Основные преимущества услуги:

  • услуга позволяет клиентам – держателям Социальной карты москвича сэкономить свое время, совершая платежи, не приходя в Банк и не заполняя квитанции об оплате;
  • клиент может осуществлять контроль за расходованием своих средств по карте, получая выписку, в которой отражено движение по счету, в любом отделении или банкомате Банка Москвы;
  • банк своевременно осуществит оплату жилищно-коммунальных услуг и при изменении тарифов сделает перерасчет суммы автоматически.

Социальная карта представляет собой пластиковую карту с магнитной полосой и встроенным бесконтактным чипом. Магнитная полоса на карте позволяет получать наличные денежные средства в банкоматах и пунктах выдачи наличных, а также оплачивать товары и услуги в торгово-сервисных предприятиях. Для осуществления расчётов по операциям с использованием Социальной карты на имя держателя карты Банком Москвы открывается специальный счёт, на который могут переводиться денежные средства, в том числе предусмотренные программой обслуживания льготных категорий граждан.

Социальная карта Башкортостана

Начиная с 2006 года, в Республике Башкортостан реализуется проект по созданию автоматизированной информационной системы «Социальная карта Башкортостана». Основными участниками Проекта являются Минфин РБ, Минздрав РБ, Минобразования РБ, Минтруд РБ, управления (отделы) труда и социальной защиты населения Минтруда РБ, Республиканский фонд обязательного медицинского страхования, Минстройтранс РБ, УФНС России, государственное учреждение Отделение Пенсионного фонда, кредитные организации, администрации муниципальных районов и городских округов ,Государственное унитарное предприятие "Башфармация", лечебно-профилактические и аптечные учреждения, страховые медицинские компании, транспортные перевозчики.

Обязательными приложениями на Социальной карте Башкортостана являются следующие приложения: социальное; медицинское; транспортное; налоговое; пенсионное; банковское; дисконтное.

УЭК, выполняющая роль удостоверения личности, должна быть защищенным от изменения носителем информации, на котором размещены:

  • операционная система, служебные приложения, ПО обеспечения безопасности, криптопреобразователь и т.п.;
  • доверенные учетные данные;
  • социальные приложения (относящиеся к держателю карты коды категорий получателей социальной помощи и т.п.);
  • визуальная и биометрическая идентификационная информация;
  • иные функциональные приложения.

Отдача от применения УЭК определяется развитостью инфраструктуры ее поддержки, к которой относятся:

  • Сеть терминальных устройств, позволяющих принимать карту в местах ее использования (банковские терминалы, рабочие станции государственных служащих и домашних хозяйств и др.).
  • Центр обработки данных, интегрированный с учетными системами электронного правительства, платежными системами.
  • Каналы связи, позволяющие терминалам связываться с центрами обработки данных и учетными системами электронного правительства в режиме реального времени.

Для расширения сети обслуживания карты УЭК должна быть совместима со стандартами международных платежных систем, что позволит использовать процессинговую банковскую сеть, имеющую собственную развитую инфраструктуру.

Электронные платежные системы

Электронные платежные системы (далее — ЭПС) — системы расчетов, заключения контрактов и перевода денег с помощью средств электронной коммуникации.

ЭПС начали бурно развиваться благодаря распространению Интернета. Во второй половине 90-х годов прошлого века на мировом рынке насчитывалось несколько сотен ЭПС. Однако значительное число махинаций, неудачные проекты и некоторые другие причины спровоцировали уход многих платежных систем с рынка. Таким образом, на сегодняшний момент на мировом уровне счет ЭПС идет на десятки. Это PayPal, Neteller, E-Gold, StormPay и др.

Самой первой на российском рынке появилась система платежей «Киберплат» в 1997 году. Первый платеж был проведен в марте 1998 года, а в августе того же года была осуществлена первая оплата услуг оператора сотовой связи (Билайн).

По данным СNews Analytics, на конец 2007 года на российском рынке работают 5 основных организаций: Киберплат, Вебмани, ОСМП, e-port, Элекснет. Помимо основных игроков, на российском рынке появились также Яндекс-Деньги, RuPay,ChronoPay, Google Checkout и другие.

Основные виды ЭПС

В России ЭПС имеют широкое распространение в Интернете, поскольку удобно оплачивать товары и услуги «цифровыми деньгами», поэтому зачастую к ЭПС относят расчеты в электронных магазинах, но это не совсем корректно, поскольку существуют различные формы и способы расчетов как в онлайне, так и в оффлайне.

ЭПС можно разделить на 4 вида по средствам оплаты услуг и товаров:

  • платежные карточные системы;
  • операторы цифровой наличности;
  • платежные терминалы (терминалы самообслуживания);
  • мобильные телефоны.

Платежные карточные системы

К платежным карточным системам относятся сети, позволяющие оплачивать товары и услуги банковскими картами в Интернете. Наиболее распространенными являются карты Visa, AmericanExpress и MasterCard. Возможность оплаты пластиковыми картами во всем мире существует достаточно давно. Специфика российского рынка заключается в малом объеме использования карт среди населения как в онлайне, так и в оффлайне. Данная особенность объясняется отсутствием исторического опыта использования карт, низким доверием со стороны населения к этой форме расчетов и слабой развитостью сетей банкоматов. В США и Европе эта услуга – давно и широко распространенная практика.

Схема прохождения по банковской карте платежа, осуществленного через Интернет, заключается в следующем. Положив товар в виртуальную корзину в Интернет-магазине и, перейдя на страницу выбора средств оплаты, клиент выбирает платеж по банковской карте, после чего происходит переадресация на сервер ЭПС, где запрашиваются данные по пластиковой карте (номер, ФИО владельца, CVC-код, срок истечения действия карты и прочее). По данной информации осуществляется идентификация карты и клиента. После этого система отправляет запрос в эквайер-центр (подразделение банка, отвечающее за операции с картами) на авторизацию, и затем банк осуществляет транзакции по переводу средств. Основными представителями систем, осуществляющих расчет через банковские карты, являются CiberPlat, Assist и Chronopay.

К серьезным недостаткам карточных систем можно отнести риски при осуществлении переводов, высокие требования к обеспечению безопасности данных, ограниченный набор провайдеров.

Операторы цифровой наличности

К данным системам относятся компании, осуществляющие процедуры оплаты товаров и услуг при помощи цифровых (электронных) денег. Под цифровыми деньгами подразумеваются виртуальные эквиваленты реальных денежных единиц. В данном случае операторы цифровой наличности выступают в роли эмитентов электронной валюты, т.е. компания выпускает (эмитирует) чеки, подарочные сертификаты или другие заменители реальных денег, которые хранятся в зашифрованном виде с электронной цифровой подписью владельца. Наиболее распространенными электронными деньгами в российском интернете (рунете) являются Web Money, Яндекс-Деньги, E-Gold, Money@mail.ru.

Схемы расчета при помощи электронных денег подразумевают b2b (расчеты между юридическими лицами), b2c (расчеты между юридическими и физическими лицами) и p2p (расчеты между физическими лицами). В российской практике существует ряд проблем, связанных с переводом денег из одной платежной системы в другую, т.е. если клиент имеет счет в одной платежной системе, а получатель оперирует другой цифровой валютой, то расчет в данной ситуации не возможен, поэтому зачастую электронные магазины принимают различную цифровую валюту.

Основной проблемой при расчетах цифровыми (электронными) деньгами является отсутствие необходимого нормативно-правового регулирования в этой области. Операции с электронной наличностью должны регулироваться Федеральным законом от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности», согласно которому осуществление банковских операций производится только на основании лицензии, выдаваемой Банком России.

Платежные терминалы

Платежные терминалы являются одним из средств расчета при оплате товаров и услуг. Платежный терминал представляет собой аппаратно-программный комплекс, обеспечивающий прием платежей от физических лиц в режиме самообслуживания. Для платежного терминала характерна высокая степень автономности его работы. Контроль работы можно производить через Интернет, просматривая статистику, а также корректируя функциональные возможности платежного терминала.

Мобильные платежи

Мобильные платежи являются одной из разновидностей расчетов при помощи виртуальных денег. Данный вид платежа осуществляется через мобильные устройства: сотовые телефоны, смартфоны, карманные персональные компьютеры. Мобильные платежи удобны при покупке такого контента (информации), как музыкальные файлы, видеоклипы, рингтоны (мелодии звонков телефона), игры, картинки и электронные книги, билеты, например, в кино, а также другие товары и услуги.

Существует две основные схемы расчета при помощи мобильных платежей:

  • sms-оплата;
  • WAP (мобильные web-платежи).

SMS-платежи осуществляются при помощи отправки запроса в виде коротких сообщений с кодом услуги на номер получателя. После запроса клиент получает подтверждение оплаты и заказанный товар или услугу. Возможен вариант получения штрих-кода в виде картинки на мобильный телефон, который может быть использован для покупки билета через сканирующие устройства в кинотеатрах или других заведениях.

Мобильные web-платежи осуществляются через web-страницы, загружаемые на мобильное устройство, что позволяет купить не только мобильный контент, как в случае sms-платежей, но и реальные товары и услуги в Интернете.

Основными проблемами при оплате товаров и услуг с помощью мобильных платежей являются:

  • безопасность мобильного канала, т.е. мобильный кошелек клиента должен быть защищен от несанкционированного доступа со стороны мошенников;
  • недостаточное правовое регулирование вопросов расчетов посредством мобильных платежей: оператор сотовой связи должен иметь лицензию на осуществление банковской деятельности, которой у него нет, в результате чего происходит трехсторонний расчет абонент-оператор-банк, что вызывает множество технических и юридических проблем;
  • специальные требования к идентификации плательщика;
  • отсутствие универсальной инфраструктуры для осуществления платежных операций.

Опыт внедрения ЭПС в зарубежных странах

Во всем мире ЭПС применяются для повышения эффективности работы органов государственной власти. В конце 2007 года компания Visa Inc. опубликовала рейтинг Government ePayments Adoption Ranking (GEAR), который демонстрирует, насколько активно и широко органы власти разных стран используют электронные платежи. ЭПС, отобранные для исследования, представляют разные регионы, культуры и политические системы. В этих странах совокупно проживает приблизительно 83% населения планеты, на их долю приходится около 91% мирового производства. Согласно этому рейтингу, Россия занимает 26 место из 43 стран. В первую пятерку вошли такие страны, как Канада, Великобритания, Германия, США и Швеция.

Канада занимает первое место рейтинга, поскольку государственные органы внедряют комплекс административных процедур в рамках электронного правительства: ЭПС используются как интегрированный компонент налоговой системы и социальных сервисов, широко развиты в общественном секторе экономики. 99% заявителей услуг в Канаде имеют счет в банке, что позволяет производить практически любые транзакции в электронном виде (оплата счетов, налогов и т.д.).

В Австралии широко применяется система государственных закупок, тендеров и электронных платежей в режиме онлайн (через Интернет).

ЭПС часто применяются для оплаты штрафов, комиссий и других сборов. Так, например, в Южной Корее одна из транспортных корпораций ввела карты экспресс-оплаты для сбора комиссии с автомобилистов за проезд по платным автострадам. Карты могут быть оплачены в Интернете через специальный сервис.

В Бразилии Банк Социально-Экономического Развития предлагает программу кредитования малого бизнеса, согласно которой заявитель получает «виртуальный» кредитный счет вместо наличности, который может быть использован для покупки товаров и услуг, необходимых бизнесу, на онлайн-рынке.

Основные задачи по развитию в Российской Федерации системы УЭК

Федеральный закон от 27 июля 2010 г. № 210-ФЗ устанавливает, что с 1 января 2014 г. граждане и организации с помощью УЭК должны получить авторизованный доступ пользователя к получению финансовой, транспортной или иной услуги, в том числе государственной или муниципальной услуги. Для достижения этой цели Федеральным законом от 27 июля 2010 г. № 210-ФЗ определены основные задачи, в том числе по организации деятельности по выпуску, выдаче и обслуживанию УЭК, а также функции уполномоченного федерального органа исполнительной власти и органа государственной власти субъекта Российской Федерации.

Распоряжением Правительства Российской Федерации от 12 августа 2010 г. № 1344-р в целях организации предоставления государственных и муниципальных услуг с использованием УЭК федеральной уполномоченной организацией, осуществляющей функции по выпуску, выдаче и обслуживанию универсальных электронных карт, определено открытое акционерное общество «Универсальная электронная карта».

Федеральный закон № 210-ФЗ ввел также понятия федеральных региональных и муниципальных электронных приложений УЭК. Федеральные электронные приложения обеспечивают получение государственных услуг и услуг иных организаций на всей территории Российской Федерации в соответствии с федеральными законами или постановлениями Правительства Российской Федерации. Региональные электронные приложения обеспечивают получение государственных услуг и услуг иных организаций в соответствии с нормативными правовыми актами субъекта Российской Федерации. Муниципальные электронные приложения обеспечивают получение муниципальных услуг и услуг иных организаций в соответствии с муниципальными правовыми актами.

Федеральным законом определено, что УЭК должна иметь федеральные электронные приложения, обеспечивающие:

1)идентификацию пользователя универсальной электронной картой в целях получения им при ее использовании доступа к государственным услугам и услугам иных организаций;

2)получение государственных услуг в системе обязательного медицинского страхования (полис обязательного медицинского страхования);

3)получение государственных услуг в системе обязательного пенсионного страхования (страховое свидетельство обязательного пенсионного страхования);

4)получение банковских услуг (электронное банковское приложение).

Высший исполнительной орган государственной власти субъекта Российской Федерации вправе определить перечень региональных и муниципальных электронных приложений, обеспечивающих авторизованный доступ к получению государственных, муниципальных и иных услуг.

Правила разработки, подключения и функционирования электронных приложений разрабатываются соответствующими уполномоченными органами власти по согласованию с заинтересованными организациями, в том числе кредитными организациями.

Федеральный закон устанавливает, что с 1 января 2012 года по 31 декабря 2013 г. включительно УЭК выдаются гражданам на основании заявлений на бесплатной основе уполномоченной организацией субъекта Российской Федерации. Порядок подачи заявления о выдаче универсальной электронной карты устанавливается уполномоченным органом государственной власти субъекта Российской Федерации.

Таким образом, для реализации положений Федерального закона от 27 июля 2010 г. № 210-ФЗ требуется формирование значительной нормативно-методической базы внедрения в Российской Федерации системы УЭК.

В рамках этой работы в целях обеспечения доступа к инфраструктуре электронного правительства для граждан и организаций - владельцев универсальной электронной карты принято Постановление Правительства Российской Федерации от 9 июня 2010 г. № 403 по внесению изменений в Федеральную целевую программу «Электронная Россия (2002-2010 годы)».

Вышеназванным Постановлением определено, что при создании типовой информационно-телекоммуникационной системы будут определены следующие типовые функциональные возможности УЭК:

  • идентификационная, обеспечивающая надежную идентификацию владельца карты и связь его персональных данных на карте с единым государственным регистром населения и регистрами населения субъектов Российской Федерации;
  • биометрическая, обеспечивающая хранение данных о личных физиологических параметрах владельца карты для оказания услуг в сфере здравоохранения, обслуживания граждан с ограниченными физическими возможностями и укрепления общей информационной безопасности;
  • социальная, обеспечивающая использование данных о владельце для автоматизации государственной деятельности в сфере социальной защиты населения на федеральном уровне, уровнях субъектов Российской Федерации и органов местного самоуправления;
  • транспортная, обеспечивающая применение универсальных электронных карт в качестве учетного и расчетного средства для проезда в транспортных средствах различного типа, вида собственности и общественном транспорте, в том числе в рамках межрегионального режима учета;
  • платежная, обеспечивающая применение карты в качестве доступа к личным банковским счетам граждан и организаций и проведение банковских расчетов через операторов национальной платежной системы, международные и локальные платежные системы.

Инфраструктура электронных карт – это комплекс, состоящий из вычислительных средств, систем хранения данных, специализированных рабочих мест сотрудников органов государственной власти и организаций, занимающихся предоставлением и учетом льгот, сети автономных электронных терминалов и других функциональных элементов.

Развитие инфраструктуры выпуска и обслуживания универсальных электронных карт в рамках текущего мероприятия планируется осуществлять по следующим направлениям:

  • разработка единых технических и нормативных технических документов, системного и технического проектов по применению универсальных электронных карт, учитывающих риски и нерешенные проблемы их первоначального внедрения;
  • определение статуса социальных электронных карт как единого удостоверения, юридически значимого идентификатора гражданина для получения государственных услуг в электронном виде, использования для автоматизированного обслуживания льготных категорий населения в органах государственной власти и организациях;
  • осуществление взаиморасчетов граждан с транспортными организациями и предприятиями торговли, общественного питания и оказания бытовых услуг, предоставляющими льготы социально незащищенным категориям населения;
  • совершенствование механизмов предоставления субсидий и льгот на оплату услуг жилищно-коммунального хозяйства, предусматривающее создание системы персонифицированных социальных счетов и их связь с универсальной электронной картой гражданина;
  • использование электронной карты для получения услуг в рамках системы государственного медицинского страхования, а также обеспечения однозначной идентификации гражданина при каждом случае осуществления государственных гарантий в сфере социального и медицинского обеспечения, в том числе при выдаче рецептов и получении медикаментов;
  • подготовка предложений для широкомасштабного внедрения информационных систем на основе типовой универсальной электронной карты в субъектах Российской Федерации.

Инфраструктура обеспечения юридической значимости информации, представленной в электронном виде

Для организации электронных взаимодействий между органами власти и гражданами и организациями в процессе предоставления государственных и муниципальных услуг требуется создание общественных институтов, эквивалентных используемым в традиционном очно-бумажном взаимодействии. При этом электронные учетные системы являются аналогом систем бумажного учета. Инфраструктура обеспечения юридической значимости информации, представленной в электронном виде, соответствует традиционным институтам обеспечения доверия к документам на бумажном носителе, к которым относятся собственноручная подпись, печати и штампы, официальные бланки, бланки строгой отчетности, гербовая бумага, публикации в официальных изданиях и др.

Правовые условия признания электронного документа юридически значимым

Несмотря на функциональную тождественность бумажных и электронных документов, между ними существуют принципиальные различия в способах обеспечения их аутентичности, адресности и неотказуемости, обусловленные техническими и культурными причинами.

Участники взаимодействия, а также иные заинтересованные лица должны быть уверены, что документы, направляемые органам публичной власти и получаемые от них, доставлены адресату вовремя и без искажений, а также в том, что существует способ фиксации и представления письменных и иных доказательств факта и содержания взаимодействия.

Качество юридической значимости в рамках очно-бумажного документооборота реализуется через систему реквизитов (неотъемлемых составляющих документа), обеспечивающих фиксацию и сохранность юридических фактов, сведения о которых зафиксированы в документах, а также возможности их использования в качестве доказательств. Состав реквизитов документов без конкретизации сферы их применения зафиксирован в России в ГОСТ Р 6.30-2003 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов», в котором описано 30 реквизитов. Применительно к сфере государственного управления установлен перечень из 24 реквизитов, которые зафиксированы в Правилах делопроизводства в федеральных органах исполнительной власти, утвержденных постановлением Правительства Российской Федерации от 15 июня 2009 г. № 477.

Признание документа в качестве юридически значимого, независимо от того, какими техническими, правовыми и организационными средствами это сделано, обеспечивается следующими факторами:

Подтверждение волеизъявления субъекта правоотношений. Как правило, подтверждение волеизъявления реализуется собственноручной подписью или цифровой подписью (далее – ЦП) как ее аналогом. Технология ЦП, обеспечивая надежную идентификацию отправителя сообщения и неотказуемость авторства, решает также задачи надежной защиты содержания сообщения (документа) от третьих лиц и надежного контроля целостности содержимого сообщения (документа).

Фиксация и проверка полномочий должностных лиц. Должностные лица не могут исполнять свои обязанности неограниченное время, состав их полномочий может изменяться. Для исключения ситуаций, когда неполномочные должностные лица скрепляют своей подписью документы, необходимо ведение электронных реестров уполномоченных лиц, которым выдан сертификат ключа цифровой подписи, а также своевременный отзыв сертификатов. Такая норма в отношении уполномоченных лиц федеральных органов исполнительной власти установлена в Федеральном законе от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» (далее – Федеральный закон об электронной цифровой подписи).

Фиксация правового статуса органов власти. Состав и сферы деятельности (полномочия, функции) федеральных и региональных органов власти, органов местного самоуправления претерпевают изменения. В бумажных документах реквизит правового статуса реализуется, например, в форме углового штампа с гербом Российской Федерации, указанием контактных данных, проставлением штампа или гербовой печати ведомства. В электронной форме адекватной реализацией подобного правового содержания является ведение электронных реестров органов государственного и муниципального управления, что должно быть функцией соответствующих уполномоченных органов.

Подтверждение места и времени издания документа. Эти реквизиты являются обязательными атрибутами качества юридической значимости не всех документов, однако многие категории документов могут быть признаны ничтожными в случае отсутствия таких реквизитов. Особая проблема удостоверения места возникает в случае, если стороны договора находятся в разных юрисдикциях (например, в свободной экономической зоне или в разных странах). Для подтверждения места и времени издания документа в электронном виде необходимо использование доверенной третьей стороны для формирования меток доверенного времени, прилагаемых к электронным документам, и для привязки электронного документа к определенной территории или юрисдикции.

Для обеспечения всех атрибутов юридической значимости зафиксированного в установленном порядке юридического факта (электронного документа или записи в электронной базе данных) в целях взаимодействия неопределенного круга лиц необходимы следующие взаимодополняющие общественные институты, часть которых относится к ведомственному, часть к инфраструктурному уровню, а часть реализуется с помощью общественных институтов:

1.Общенациональная инфраструктура удостоверения открытых ключей цифровой подписи (инфраструктура цифрового доверия), обеспечивающая идентификацию субъектов информационного взаимодействия и целостность содержания электронного документа. Инфраструктура цифрового доверия включает в себя удостоверяющие центры, входящие в единый домен цифрового доверия, и обеспечивает единое пространство использования цифровой подписи. Инфраструктура цифрового доверия обеспечивает наивысшую степень защищенности электронных форм взаимодействия и при определенных условиях (использование доверенных защищенных устройств) подходит для всех случаев волеизъявления, однако имеет ограниченное применение вследствие сложности и низкой доступности. Описана в подразделе «Инфраструктура цифрового доверия».

2.Иные инструменты удаленной идентификации участников электронного взаимодействия, применимые для ограниченного набора волеизъявлений ввиду меньшей степени защищенности в сравнении с инфраструктурой удостоверения открытых ключей цифровой подписи. Описаны в подразделе «Идентификация при удаленном взаимодействии».

3.Инфраструктура доверенной третьей стороны (электронный нотариат), предназначенная для удостоверения доверенного времени, а также иных существенных для юридической значимости документа фактов (места издания документа, сделки, контракта, договора, соглашения), а также апостильного и нотариального заверения. Инфраструктура доверенной третьей стороны, как правило, реализовывается на основе инфраструктуры цифрового доверия.

4.Электронные учетные системы участников информационного взаимодействия (органов и организаций, уполномоченных лиц органов и организаций, физических и юридических лиц), обеспечивающие подтверждение их правового статуса, правомочий, полномочий, права подписи и др. В электронном правительстве реализуются, как правило, на ведомственном уровне, что соответствует современной практике учета правовых статусов.

Инфраструктура цифрового доверия

Основные определения для освещения данной темы даны в Федеральном законе «Об электронной цифровой подписи»:

электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;

владелец сертификата ключа подписи – физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);

средства электронной цифровой подписи – аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций – создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;

сертификат средств электронной цифровой подписи – документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;

закрытый ключ электронной цифровой подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;

открытый ключ электронной цифровой подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;

сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

подтверждение подлинности электронной цифровой подписи в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;

пользователь сертификата ключа подписи – физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.

Рассмотрим основные проблемы и задачи развития системы ЭЦП.

Для шифрования с открытым ключом каждая сторона взаимодействия должна располагать ключевой парой из открытого и закрытого ключа. Открытый ключ может быть передан по открытому каналу связи или опубликован, закрытый ключ должен храниться обладателем в полном секрете.

Защита открытых ключей цифровой подписи от подмены и доверенное ассоциирование их с правомерными обладателями обеспечивается с помощью сертификата открытого ключа подписи. Сертификат цифровой подписи содержит сведения о создавшем ключевую пару лице, открытый ключ, цифровые подписи лиц, удостоверяющих, что ключ создан лицом, сведения о котором указаны в сертификате. Действующее законодательство не предусматривает выдачи цифровых идентификаторов и сертификатов ключей ЦП автоматизированным системам, что однако необходимо для удостоверения электронных документов, учетных событий, транзакций и криптографической защиты информации при взаимодействиях, осуществляемых без участия человека.

Функции удостоверяющего центра (далее – УЦ) – изготовление сертификата открытого ключа подписи, приостановка и аннулирование действия сертификатов ключей подписи, ведение общедоступных реестров выданных и отозванных сертификатов открытых ключей подписи, а также проверка и подтверждение уникальности и актуальности открытых ключей цифровых подписей. Наделение УЦ функцией генерирования ключевых пар является распространенной ошибкой, создающей риски информационной безопасности.

Сертификаты, выдаваемые УЦ, могут выполнять функцию «цифрового удостоверения личности» или «доверенности», что важно с точки зрения приложения технологии к сфере административных правоотношений. Цифровое удостоверение личности (цифровой паспорт) дает его обладателю возможность реализации неопределенного круга прав. Доверенность ограничивает права обладателя ключа условиями самой доверенности, в данном случае – записью в сертификате открытого ключа.

Главным преимуществом сценария цифрового удостоверения личности является универсальность использования цифровой подписи. Однако данный сценарий имеет ряд недостатков:

  • Концентрация рисков информационной безопасности для добросовестных пользователей и рост стимулов злоумышленников к противоправным действиям. Умышленное или неумышленное разглашение закрытого ключа подписи приводит к тому, что злоумышленник может выступать от имени законного обладателя закрытого ключа во всем спектре правовых отношений.
  • Высокие требования к информационной безопасности, вызванные концентрацией рисков. Необходимо обеспечить полный контроль со стороны гражданина над жизненным циклом закрытого ключа подписи, достигаемый только применением безопасных устройств его формирования, хранения и применения ѕ на сегодня дорогостоящих вычислительных устройств, управляемых доверенной операционной системой с защищенной памятью.
  • Организационная сложность, связанная с необходимостью централизованного управления большим числом ключей цифровой подписи. Требует формирования повсеместной и дорогостоящей инфраструктуры выдачи и приема электронных удостоверений личности. Мировой опыт на сегодня не предоставляет примеров реализации такого рода сценариев для крупных стран, имеющих сложную структуру государственного управления и значительное число граждан.
  • Большие требования к культуре использования цифровых методов идентификации.Значительные бюджетные расходы.

Главным достоинством системы, построенной по нотариальному принципу, является снижение информационных рисков за счет явного ограничения действий, которые могут совершаться с применением данного ключа цифровой подписи, а также отсутствие необходимости в бюджетных расходах.

На конец 2009 г. законодательство большинства развитых и развивающихся стран, включая Федеральный закон об электронной цифровой подписи, поддерживает именно нотариальную схему, предусматривая в сертификатах реквизит назначения ключа подписи.

Формирование единой сети признания сертификатов ЦП

Возможность широкого применения цифровой подписи как инфраструктурного (повсеместного) общественного института, связность сообщества пользователей определяется совокупностью факторов:

  • технологическая надежность используемых алгоритмов;
  • наличие у пользователей должной квалификации и доверия к надежности системы;
  • совместимостью используемых алгоритмов и протоколов (единством стандартов криптографических алгоритмов, протоколов и форматов);
  • доверием участников удаленного взаимодействия к перечисленным выше факторам.

Формирование сети взаимного признания выданных сертификатов подписи осуществляется с помощью иерархической структуры УЦ. Источником «первичного доверия» в иерархической архитектуре в силу закона является корневой удостоверяющий центр, создаваемый государством. Корневой УЦ выдает сертификаты прочим УЦ, которые, в свою очередь, выдают сертификаты гражданам и организациям.

Образующаяся таким образом сеть называется доменом цифрового доверия. «Низовые» обладатели сертификатов ЦП, не будучи знакомы друг с другом, могут удаленно взаимодействовать, т. к. доверяют друг другу в силу взаимного доверия их удостоверяющих центров, которые доверяют друг другу в силу доверия корневому удостоверяющему центру.

Единство цифрового доверия масштабов страны требует многоуровневой иерархии удостоверяющих центров и мер защиты ключей от компрометации, поскольку компрометация ключа вышестоящего УЦ влечет компрометацию всех выданных сертификатов ключей УЦ нижележащих уровней. Неотъемлемой частью единого домена доверия является единая система учета отозванных ключей подписи, которая должна оперативно раскрываться всем заинтересованным лицам.

В настоящее время в России действуют сотни удостоверяющих центров, не доверяющих друг другу ввиду правовых, технологических и организационных проблем. Это приводит к тому, что в стране отсутствует единый домен цифрового доверия, и выданные различными сетями УЦ сертификаты, как правило, не признаются за их пределами. Существующие корпоративные, ведомственные и региональные системы, таким образом, не обладают признаками инфраструктурности за пределами соответствующих корпораций, отраслей, ведомств, регионов.

Задача создания электронного правительства требует разворачивания инфраструктуры доверия, пересекающей ведомственные и региональные границы и доступной большинству граждан и организаций.

Модельным способом реализации единой государственно-частной инфраструктуры цифрового доверия должна быть совокупность:

  • национального корневого удостоверяющего центра, обладающего самоподписанным ключом, публикуемым в официальных печатных органах и распространяемого в составе общесистемного и прикладного ПО, удостоверяющего ключи ведомственных и коммерческих УЦ;
  • ведомственных УЦ, сертификаты ключей которых выдаются корневым УЦ, в свою очередь удостоверяющих ключи своих территориальных подразделений, уполномоченных государственных служащих и граждан;
  • коммерческих УЦ и их территориальных подразделений, сертификаты ключей которых выданы корневым УЦ, в свою очередь удостоверяющих ключи граждан и организаций;
  • УЦ территориальных подразделений органов власти, сертификаты ключей которых выдаются УЦ соответствующего ведомства или корневым УЦ, удостоверяющих ключи своих должностных лиц и ведущих реестры их отзыва.

Для достижения вышеназванных целевых ориентиров, определенных в Системном проекте формирования в Российской Федерации электронного правительства должен быть разработан специальный комплекс мероприятий на федеральном, региональном и муниципальном уровнях.

В качестве основного компонента государственной системы идентификации граждан часто рассматривается реализованный в той или иной форме государственный регистр населения (далее – ГРН).

Основная цель создания ГРН – обеспечение однозначной привязки гражданина к относящимся к нему данным, содержащимся в государственных и муниципальных системах учета населения на основе единого идентификатора, содержащегося в ГРН. К главным достоинствам ГРН обычно относят удешевление интеграции учетных систем за счет сокращения хранимых и передаваемых данных, а также организационное упрощение (например, за счет упрощения проверки правомочности гражданина при удаленном получении государственных услуг).

В то же время мировой опыт свидетельствует, что отсутствие национального ГРН не препятствует регламентированному сопоставлению относящихся к гражданину или организации данных, содержащихся в государственных и муниципальных системах учета. При этом издержки межучетной интеграции в присутствие ГРН и без него отличаются незначительно.

Вопрос целесообразности создания в России ГРН необходимо решать совместно с вопросом внедрения цифрового удостоверения личности гражданина.

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Комментарии:

Оставить комментарий