- •Введение
- •1 Постановка задачи
- •2.1 Концепция безопасности объектов информатизации
- •2.1.1 Цели и задачи системы безопасности
- •2.1.2 Принципы организации и функционирования системы безопасности
- •2.1.3 Управление системой безопасности объектов информатизации
- •2.2 Характеристика объектов защиты
- •2.2.1 Универсальная электронная карта (уэк)
- •2.2.2 Банкомат
- •2.3 Список участников проекта
- •2.4 Перечень защищаемой информации и прикладного программного обеспечения
- •2.5 Статистические данные в сфере защиты
- •2.6 Угрозы информационной безопасности
- •2.7 Модель нарушителя
- •2.8 Анализ рисков
- •2.9 Построение частной модели угроз
- •2.10 Зарубежный опыт решения задач построения электронного правительства и оказания государственных услуг
- •2.10.1 Инфраструктура электронной идентификации и авторизации
- •2.10.2 Электронные паспорта
- •2.10.3 Карты, используемые для получения медицинских услуг
- •2.10.4 Система идентификации и единой точки входа в информационные системы для государственных служащих
- •2.10.5 Сервисы меток времени
- •2.11 Неудача западных коллег
- •2.12 Вывод
- •3 Кострукторская часть
- •1) Универсальная карта и её чипы;
- •3) Организации, как информационный ресурс.
- •3.1 Универсальная карта и её чипы
- •3.1.1 Контактный чип emv
- •3.1.1.1 Элементы данных и файлы
- •3.1.1.2 Соображения безопасности
- •3.1.2 Бесконтактный чип
- •3.1.3 Чип со сдвоенным интерфейсом
- •3.1.4 Электронно-цифровая подпись как средство защиты чипа
- •3.2 Организационные мероприятия
- •Банкомат:
- •Rfid-считыватели.
- •3.3.1 Банкомат
- •3.3.1.1 Сенсорная панель
- •3.3.1.2 Фотодиоды
- •3.3.1.3 Светодиодная панель
- •3.3.3 Домашний карт-ридер
- •3.3.4 Rfid-считыватели
- •3.3.4.1 Сканер радиочастот
- •3.3.4.2 Экранированный чехол из медной пластины
- •3.3.5 Биометрия, как составляющая метода защиты
- •3.3.5.1 Дактилоскопия
- •3.3.5.2 Биометрия лица
- •3.4 Организации, как информационный ресурс.
- •3.4.1 Межсетевые экраны
- •3.4.1.2 Сспт-2
- •3.4.2 Система защиты каналов передачи данных
- •3.4.3 Антивирусные средства
- •3.4.3.2 Антивирус Касперского
- •3.4.4 Системы обнаружения вторжений
- •3.5 Вывод
- •4 Организационно-экономическая часть
- •4.1 Сфера применения
- •4.2 Описание эффекта от внедрения системы защиты информации
- •4.3 Экономические расчеты по Республике Марий Эл
- •4.3.1 Расчет капитальных затрат на внедрение
- •4.3.2 Предполагаемый доход
- •4.4 Вывод
- •5 Безопасность жизнедеятельности
- •5.1. Анализ опасных и вредных факторов на объекте информатизации
- •5.1.1 Эмоциональный фактор, в случае хищения уэк
- •5.1.2 Электромагнитное излучение rfid технологии
- •5.1.3 Освещенность аппаратно-технических средств
- •5 .2 Освещенность кабины банкомата
- •5.2.1 Технический расчёт искусственного освещения кабины банкомата
- •5.4 Вывод
- •Заключение
- •Л итература
- •Приложение 1
- •Приложение 2
- •Приложение 3
- •Приложение 4
- •Приложение 5
- •Приложение 6
- •Приложение 7
2.10 Зарубежный опыт решения задач построения электронного правительства и оказания государственных услуг
2.10.1 Инфраструктура электронной идентификации и авторизации
Большинство стран ЕС реализуют проекты использования различных электронных идентификационных карт, используемых в отдельных областях взаимодействия государства с гражданами, бизнесом и собственно государственными служащими.
При этом ряд стран использует отдельные карты, такие как:
электронные идентификационные карты;
карты доступа к услугам здравоохранения.
В ряде стран реализуются проекты, связанные с электронными паспортами.
Электронные карты, идентификационные номера и инфраструктура сервисов электронных карт и ЭЦП
В достаточно общем случае электронная идентификационная карта может содержать биометрические данные о гражданине и нести следующие цифровые сертификаты:
компонентный сертификат, который используется для идентификации самой карты и позволяет устанавливать шифрованный канал коммуникаций между картой и драйверами, в том числе недоступный через стандартные интерфейсы, такие как PKCS#11 или CSP;
сертификат, используемый для аутентификации, который гарантирует однозначную идентификацию гражданина в процессе выполнения онлайновых транзакций;
сертификат цифровой подписи, который используется в процессе постановки цифровой подписи на документах, что гарантирует их целостность и факт того, что он был подписан именно данным лицом.
Использование электронной идентификационной карты позволяет реализовать двухфакторный (двухшаговый) процесс верификации:
сначала проверяются (аутентифицируются) идентификационные данные пользователя;
затем для каждого шага в процессе выполнения электронной транзакции требуется простановка цифровой подписи, что гарантирует осознанное, явное подтверждение авторизации на выполнение действия.
При этом у пользователя карты имеется персональный код доступа, который аналогичен ПИН-коду платежных карт, используемых в банкоматах. Этот код доступа состоит из двух паролей: «публичный» пароль, который используется для аутентификации идентификационных данных гражданина (иными словами, выполняется проверка того, что гражданин является тем, за кого он себя выдает), и частный пароль, который используется исключительно для транзакций, где требуется электронная цифровая подпись.
Именно так реализована идентификационная карта гражданина в Испании, где использован чип ST19WL34 с 32 Кбайт памяти.
Независимые эксперты оценивают решение, реализованное в Испании, как одно из самых качественных и безопасных в мире.
С марта 2007 года по март 2009 года в Испании было выдано 9 млн. таких карт, и проект развивается достаточно успешно. При этом использование этой идентификационной карты позволяет гражданам получать услуги на всех трех уровнях: уровне центральных органов власти, региональном и муниципальном.
Для того, чтобы государственные организации смогли эффективно использовать выданные гражданам электронные идентификационные карты и технологии, а также ЭЦП при оказании государственных услуг, в зарубежных странах, как правило, реализуется специальная инфраструктура, централизованно обеспечивающая соответствующие сервисы авторизации и идентификации.
Основной задачей такой инфраструктуры является проверка состояния и валидности (правомочности) цифровых сертификатов, используемых гражданами и юридическими лицами в процессе получения электронных государственных услуг.
Сервисы, предоставляемые такой инфраструктурой, должны обеспечивать работу с цифровыми сертификатами, используемыми в идентификационной карте, такими как сертификат, используемый для аутентификации гражданина и сертификат, используемый для ЭЦП.
Централизованная реализация такой инфраструктуры дает большие преимущества, поскольку позволяет всем государственным информационным системам, задействованным в предоставлении электронных услуг, использовать возможности электронной аутентификации, авторизации и ЭЦП.
При этом основными пользователями сервисов такой инфраструктуры являются порталы государственных слуг всех уровней управления.
В Испании, например, такая инфраструктура получила название “multiPKIvalidationplatform” (MPVP – @firma).
В Голландии реализована инфраструктура авторизации и делегирования прав Common Authorization and Representation Facility (CARF). Эта система дает возможность гражданам и юридическим лицам делегировать свои права по выполнению транзакций и получение государственных услуг от их имени.
В Германии реализован проект electronicIdentity (eID) Card. Карта помимо традиционных функций (идентификация по фотографии, идентификационный документ и пр.) используется для взаимной идентификации через Интернет с целью выполнения транзакций, связанных с получением государственных услуг. Пользователь может дополнительно с картой использовать персональный ПИН-код, что обеспечивает контроль над тем, кто и в какой степени имеет доступ к персональной информации.
Дополнительно карта может использоваться как инструмент для цифровой подписи документов, что обеспечивает их юридическую значимость.
Карта также может содержать биометрическую информацию (цифровой образ лица и отпечатков пальцев), хранимую на микрочипе, что позволяет ее использовать в качестве аналога паспорта, например при поездках, а также снижает риски подделки.
В Великобритании роль элемента инфраструктуры, обеспечивающей регистрацию и аутентификацию, выполняет Правительственный шлюз. В зависимости от типа транзакции для идентификации пользователя используется цифровой сертификат, выданный авторизованной организацией; идентификатор (User ID), выданный Шлюзом, и пароль (выбранный пользователем), если не требуется уровень безопасности, требующий использования цифрового сертификата.
С точки зрения электронной идентификации, в Великобритании реализуется проект Национальная Идентификационная Схема (NationalIdentityScheme), обеспечивающий основу инфраструктуры управления идентификационными данными. Ключевым элементом этого проекта является национальная идентификационная карта. Карта будет одновременно хранить биометрические данные, а также проверенные и заверенные данные, обеспечивающие идентификацию, так называемый «биометрический снимок». Эта информация и биометрические данные будут храниться в Национальном Регистре Идентификационных Данных (NationalIdentityRegister - NIR).
Базовая идентификационная информация будет храниться на чипе самой идентификационной карты.
Во Франции для получения определенных электронных государственных услуг требуется использование ЭЦП. Соответствующие цифровые сертификаты должны быть выданы авторизованными провайдерами сертификатов (CertificationServicProviders - CSP).
Эти сертификаты должны соответствовать Общей Архитектуре Безопасности (GeneralSecurityFramework). Используется три уровня безопасности для сертификатов: средняя, высокая и «квалифицированная». Только использование «квалифицированных» сертификатов позволяет получать все 100% государственных услуг.
Цифровые сертификаты для юридических лиц выдаются на конкретные физические лица, но могут быть использованы исключительно для транзакций, выполняемых от имени юридического лица.
Франция также реализует проект электронной идентификационной карты (INES - SecureElectronicNationalIdentity). Карта будет использовать чип, на котором должны храниться:
вся идентификационная информация о держателе;
два биометрических идентификатора (лицо и отпечатки пальцев);
сертификат электронной подписи для выполнения транзакций электронного правительства и электронного бизнеса.
Персональная информация, содержащаяся на картах, будет храниться в новой централизованной базе данных, в то время как биометрическая информация будет храниться отдельно и анонимно.
Доступ к базе данных с биометрической информацией будет возможен только в рамках специальной юридической процедуры.
Предполагается, что граждане должны оплачивать получение этой карты, и это обязательная процедура.
В соответствии с уточненным планом, анонсированным в декабре 2005 года, идентификационная карта будет хранить:
традиционные данные (фамилия, имя, отчество, дата рождения, адрес и пр.) совместно с биометрическими данными;
модуль, который хранит идентификационную информацию, необходимую для электронной аутентификации, а также сертификат электронной цифровой подписи.
В Италии национальная идентификационная карта eID содержит микрочип, оптическую память и зону хранения электронных данных в соответствии со стандартами ICAO (Международной организации авиаперевозчиков), поскольку карта также используется как документ, предъявляемый при проезде.
Карта содержит набор персональных данных, включая цифровой код изображения лица, группу крови, сканы отпечатков пальцев. Персональные данные, биометрические ключи и сертификат цифровой подписи хранятся только на карте. В соответствии с законом такие данные не могут храниться централизованно в какой-то базе данных и могут быть раскрыты только по явному согласию владельца карты, что подтверждается вводом ПИН-кода.
Цифровая свертка отпечатков пальцев хранится как в микрочипе, так и в оптической памяти, но по ней нельзя восстановить образ самих отпечатков пальцев.
Предполагается, что карта используется в рамках взаимодействия граждан с государством, граждан с бизнесом и при транзакциях между гражданами.
В Италии также реализован проект Национальной Сервисной Карты (NationalServicesCard CNS), который еще до широкого распространения национальной идентификационной карты позволяет выполнять онлайновые транзакции.
Это смарт-карта с микропроцессором, аналогичная eID, но она не может использоваться для физической идентификации личности. Тем не менее, она является инструментом аутентификации, содержит сертификат ЭЦП, позволяет юридически значимо подписывать электронные документы.
Услуги, доступные при использовании CNS-карты, перечислены в отдельной зоне портала государственных услуг.
В Ирландии для предоставления электронных услуг, связанных с налогообложением и социальным обеспечением, исторически использовался Персональный Номер Государственных Услуг (PersonalPublicServiceNumber - PPSN), который являлся, по сути, общим идентификационным номером. Постепенно PPSN стал использоваться и для других государственных услуг. Выдача этого номера является обязательной процедурой и осуществляется при рождении ребенка.
В июне 2004 года в Ирландии была создана рабочая группа, которая начала проработку вопроса реализации в стране проекта введения Карты Государственных Услуг (PublicServiceCard – PSC) для идентификации и аутентификации, которая должна использовать PPSN для доступа. Планируется, что эта карта будет комбинировать возможности нескольких карт: карты социальных услуг, медицинских услуг и т.д.
В Голландии также создана национальная ИТ-инфраструктура цифровой идентификации DigiD, которая обеспечивает сервисы электронной аутентификации для всех государственных организаций. DigiD выделяет три уровня идентификации:
базовый (имя пользователя и пароль);
средний (имя пользователя, пароль и SMS-аутнтификация);
высокий eNIK (цифровой сертификат PKI на карте).
По данным на 1 апреля 2008 года, базовым уровнем пользовались 6,7 млн. граждан, из них 2,7 млн. пользовались средним уровнем идентификации.
Планы по реализации проекта введения идентификационных карт eNIK сейчас только рассматриваются.
В Голландии используются свои уникальные номера для граждан и бизнеса:
социальный номер гражданина (CitizenServiceNumber - CSN);
номер Торговой палаты для юридических лиц (ChamberofCommercenumber - CCN).
CSN является уникальным номером и выдается каждому гражданину, что обеспечивает эффективность предоставления государственных услуг. Использование такого уникального номера является ключевым элементом повышения качества предоставляемых услуг, снижения издержек в многократном сборе одной и той же информации от гражданина. Специальная версия CSN используется для нерезидентов, которые работают в Голландии.
Целью введения Номера Торговой палаты (ChamberofCommercenumber - CCN) является использование уникального номера для всех юридических лиц. Однако в ряде случаев используются и другие номера, такие как номер, выдаваемый Администрацией по налогам и таможне.
Несколько иным путем шла Австрия. В Австрии Карта Гражданина (CitizenCard) является одним из важнейших компонентов стратегии электронного правительства. Эта стратегия подразумевает использование ЭЦП и электронных сертификатов для доступа к услугам.
Изначально эта концепция предполагала возможность использования сразу целого набора различных карт. В принципе, любая карта, технология реализации которой позволяет использовать ЭЦП и хранить персональные данные, может использоваться в качестве Карты Гражданина. Это могут быть членские карты, выданные, например, Торговой палатой, и даже некоторые банковские карты. В дополнение концепция Карты Гражданина распространена на использование мобильных телефонов, посредством которых также можно ставить ЭЦП на документы и безопасно выполнять транзакции с госорганами.
В итоге, Карта Гражданина не основана на какой-то одной технологии, и у граждан имеется право выбора технологии, которые они используют для своей идентификации. Тем не менее, ко всем возможным технологическим решениям применяются единые требования безопасности (электронная подпись, идентификация, память для данных).
Для взаимодействия граждан с различными секторами (типами) государственных услуг используются специфические для данной области персональные идентификаторы. Процесс генерации этих специфических идентификаторов является двухступенчатым, что обеспечивает разделение прав и максимальную защиту доступа к персональным данным. «Исходный ПИН-код» генерируется на основе уникального номера гражданина – так называемого ZMR-номера, который хранится в едином Центральном Регистре Резидентов. Он получается в результате процесса шифрования, хранится на карте гражданина и заверен ЭЦП. Этот «исходный ПИН-код» далее используется для генерации специфических для определенной области государственных услуг электронных идентификаторов. Исходный ПИН-код контролируется только владельцем и не доступен напрямую для информационных систем государственных ведомств. Такой двухэтапный процесс шифрования (шифрование номера ZMR в исходный ПИН-код, а затем генерация на его основе специфического для сектора государственных услуг персонального идентификатора) гарантирует высокий уровень защиты данных.
В соответствии с австрийским законодательством начиная с 2008 года все электронные карты, используемые для госуслуг, должны поддерживать возможность использования квалифицированной цифровой подписи.