Единая система идентификации и аутентификации (ЕСИА)

Одной из важнейших частей ЭП является ЕСИА — система удостоверения личности пользователя в Интернете, позволяющая гражданам совершать юридически значимые действия в сети (подавать заявления на получение госуслуг, отправлять официальные запросы в различные ведомства, принимать участие в электронных голосованиях). Единая система идентификации и аутентификации является одним из ключевых элементов электронной демократии [63].

Таким образом, определение ЕСИА будет выглядеть следующим образом — это ИС в Российской Федерации, обеспечивающая санкционированный доступ участников информационного взаимодействия (граждан-заявителей и должностных лиц органов исполнительной власти) к информации, содержащейся в ИС и иных ИС.

Разработка системы проведена ОАО «Ростелеком» в период с 2009 г. по настоящее время. Непосредственным исполнителем работ по развитию ЕСИА в разные годы выступали компании AT Consulting, R-Style, «РТ лабс» и «Реак софт».

В соответствии с Постановлением Правительства Российской Федерации от 28 ноября 2011 г. № 977 ЕСИА должна обеспечивать санкционированный доступ участников информационного взаимодействия (заявителей и должностных лиц ОГВ) к информации, содержащейся в государственных, муниципальных и иных ИС [28].

При этом ЕСИА на первоначальном этапе своего существования (2010—2011 гг.) не обеспечивала выполнения процессов идентификации, аутентификации и авторизации участников межведомственного взаимодействия, возникающих в процессе использования СМЭВ.

Основные функциональные возможности ЕСИА

• 1. Идентификация и аутентификация пользователей, в том числе:
  • • однократная аутентификация, которая дает пользователям ЕСИА следующее преимущество: пройдя процедуру идентификации и аутентификации в ЕСИА, пользователь может в течение одного сеанса работы обращаться к любым ИС, использующим ЕСИА, при этом повторная идентификация и аутентификация не требуется.
  • • поддержка различных методов аутентификации: по паролю, по электронной подписи, а также двухфакторная аутентификация (по постоянному паролю и одноразовому паролю, высылаемому в виде СМС-сообщения);
  • • поддержка уровней достоверности идентификации пользователя (упрощенная учетная запись, стандартная учетная запись, подтвержденная учетная запись).
• 2. Ведение идентификационных данных (ведение регистров физических, юридических лиц, органов и организаций, должностных лиц органов и организаций и ИС).
• 3. Авторизация уполномоченных лиц ОГВ при доступе к следующим функциям ЕСИА:
  • • ведение регистра должностных лиц ОГВ в ЕСИА;
  • • ведение справочника полномочий в отношении ИС и предоставление пользователям ЕСИА (зарегистрированным в ЕСИА как должностные лица ОГВ) полномочий по доступу к ресурсам ИС, зарегистрированным ЕСИА;
  • • делегирование вышеуказанных полномочий уполномоченным лицам нижестоящих ОГВ.

4. Ведение и предоставление информации о полномочиях пользователей в отношении ИС, зарегистрированных в ЕСИА.

Первоначально ЕСИА предназначалась только для регистрации физических лиц на портале госуслуг (ПГУ), но вскоре была обеспечен доступ к региональным порталам государственных услуг, веб-приложениям ЭП. Появилась возможность регистрации не только физических лиц, но и индивидуальных предпринимателей, юридических лиц и должностных лиц юридических лиц. Первоначально идентификация и аутентификация проводилась по паролю, но на данный момент используются различные способы основе единых идентификационных параметров с использованием различных носителей: СНИЛС и пароль, электронная подпись, сим-карта или смарт-карта.

На данный момент имеется возможность интеграции официальных сайтов и порталов ФОИВ, органов исполнительной власти субъектов Российской Федерации и органов МСУ, используемых в процессе предоставления приоритетных услуг, с единой системой идентификации и аутентификации. ЕСИА используется для регистрации и аутентификации пользователей на региональных и муниципальных порталах, а также на официальных сайтах [40]. Таким образом, авторизация посредством ЕСИА теперь может использоваться не только для доступа к услугам на ПГУ, но и для доступа к услугам на сайтах самих государственных и муниципальных органов. Также интегрироваться с ЕСИА могут не только сайты и ИС государственных органов власти и органов МСУ, но и ИС частных организаций.

Сейчас набор данных, ведущихся в профиле пользователя, достаточно велик. Это паспорт, СНИЛС, заграничный паспорт, водительское удостоверение, технический паспорт транспортного средства, полис ОМС, военный билет и другие, есть возможность указывать сведения о детях. Предусмотрена возможность зарегистрировать учетную запись на номер мобильного телефона, который ранее был привязан к другой учетной записи. Улучшена поддержка в ЕСИА сценариев регистрации пользователей из центров обслуживания, обеспечиваемая использованием СМЭВ-сервиса ЕСИА и веб-приложением «АРМ Центр обслуживания». Добавлена возможность самостоятельной регистрации государственных организаций.

Взаимодействие ИС с ЕСИА осуществляется посредством электронных сообщений, основанных на стандарте SAML 2.0, или посредством стандарта OpenID Connect 1.0.

Сценарий идентификации и аутентификации [28].

• 1. Пользователь обращается к защищенному ресурсу ИС (например, ведомственному или региональному порталу государственных услуг).
• 2. ИС направляет в ЕСИА запрос на аутентификацию.
• 3. ЕСИА проверяет наличие у пользователя открытой сессии и, если активная сессия отсутствует, проводит его аутентификацию. Для этого ЕСИА направляет пользователя на веб-страницу аутентификации ЕСИА. Заявитель проходит идентификацию и аутентификацию, используя доступный ему метод аутентификации.
• 4. Если пользователь успешно аутентифицирован, то ЕСИА передает в ИС набор утверждений, содержащих идентификационные данные пользователя, информацию о контексте аутентификации, в том числе данные об уровне достоверности идентификации.
• 5. На основании полученной из ЕСИА информации ИС авторизует заявителя на доступ к защищаемому ресурсу.

Для осуществления аутентификации пользователей в ведомственной ИС посредством ЕСИА необходимо разработать модуль авторизации ЕСИА в соответствии с одним из стандартов (СЕМЛ 2.0 или OpenID Connect 1.0) и зарегистрировать ИС в специальном регистре ИС оператора ЕСИА путем подачи заявки.

Последняя версия ЕСИА на текущий момент (2.4) получила разделение заявок на подключение к тестовой и промышленной среде ЕСИА, т. е. первоначально ИС заявителя подключается к тестовой среде и только после прохождения необходимых проверок и подачи отдельной заявки — к промышленной.

Процесс включения ЕСИА в информационные системы ОГВ [19].

• 1. Определяется ответственный за эксплуатацию ИС (этот человек должен быть зарегистрирован в ЕСИА).
• 2. Подается заявка в Минкомсвязь на доступ к учетной записи организации.
• 3. Ответственный за эксплуатацию должен получить средство квалифицированной электронной подписи юридического лица.
• 4. Подается заявка на регистрацию ИС.
• 5. Генерируется закрытый ключ и сертификат открытого ключа.
• 6. Направляется заявка на подключение ИС к тестовой среде ЕСИА.

• 7. Производится отладка взаимодействия.
• 8. Направляется заявка на подключение ИС к промышленной среде ЕСИА.

Контрольные вопросы и задания

• 1. Что такое идентификация?
• 2. Какие методы аутентификации наиболее распространены?
• 3. Какая аутентификация называется двукомпонентной?
• 4. Каким условиям должна удовлетворять хеш-функция, чтобы ее можно было использовать в криптографии?
• 5. Какие криптосистемы используют пару ключей (открытый и закрытый)?
• 6. Объясните принцип постановки электронной подписи.
• 7. Как обеспечивается юридическая значимость электронных и бумажных документов?
• 8. Для каких целей используется электронная подпись в системе ЭП Российской Федерации?
• 9. Какие виды электронной подписи определены в ФЗ-63?
• 10. Что такое сертификат ключа подписи?
• 11. Одинаковы ли требования для физических и юридических лиц при получении простой электронной подписи?
• 12. Что такое ЕПД в структуре ЭП?
• 13. Где хранится полный перечень аккредитованных УЦ?
• 14. Дайте определение ЕСИА.
• 15. Какие процедуры требуются для подключения ИС ОГВ к ЕС?