6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 11

Достоинства и недостаткииспользования единого сервисаидентификации и аутентификации

Храмцовская Наталья Александровнак.и.н., ведущий эксперт по управлению документацией

компании «Электронные Офисные Системы», эксперт ИСО, член Гильдии Управляющих Документацией и ARMA International

Храмцовский Андрей Владимировичк.т.н., эксперт компании «Электронные Офисные Системы»

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 22

НормальныеНормальные героигерои всегдавсегда идутидутнепроторенныминепроторенными путямипутями

ПодобнойПодобной глобальнойглобальнойсистемысистемы нене имеетимеет ниниоднаодна странастрана мирамира, , тактакчточто учитьсяучиться придетсяпридется нанасобственныхсобственных ошибкахошибках

ЧтоЧто произойдетпроизойдет сс системойсистемой аутентификацииаутентификации ииидентификацииидентификации припри запланированномзапланированном переходепереходе нанаэлектронныеэлектронные паспортапаспорта вв 2015 2015 годугоду??

ЕслиЕсли системасистема будутбудут ии далеедалее использоватьсяиспользоваться, , чегочего стоятстоят решениярешенияВерховногоВерховного СудаСуда РФРФ оо томтом, , чточто этоэто нене реестрреестр населениянаселения??

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 33

ДостоинстваДостоинства централизованнойцентрализованнойидентификацииидентификации ии аутентификацииаутентификации -- 11

ДостаточноДостаточно одинодин разраз создатьсоздать ии каккак следуетследуетотладитьотладить сервиссервис аутентификацииаутентификации, , ии всевсе остальныеостальныесистемысистемы смогутсмогут егоего использоватьиспользовать

ПользователиПользователи могутмогут использоватьиспользовать одинодин ии тоттот жеженаборнабор реквизитовреквизитов длядля доступадоступа кк разнообразнымразнообразным, , ввтомтом числечисле ии коко вновьвновь созданнымсозданным системамсистемам

СобираемыеСобираемые вв ходеходе функционированияфункционирования системысистемыданныеданные будутбудут ценнымценным ресурсомресурсом длядля аналитическиханалитическихисследованийисследований ии мониторингамониторинга, , аа такжетакже длядляправоохранительныхправоохранительных органоворганов

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 44

ДостоинстваДостоинства централизованнойцентрализованнойидентификацииидентификации ии аутентификацииаутентификации -- 22

СоответствующиеСоответствующие персональныеперсональные данныеданные могутмогутсобиратьсясобираться ии хранитьсяхраниться нене вово всехвсехинформационныхинформационных системахсистемах, , аа толькотолько вв одномодном местеместе

ЕдинообразиеЕдинообразие ии стандартизациястандартизация

ВВ перспективеперспективе возможновозможно оказаниеоказание аналогичныханалогичныхуслугуслуг коммерческимкоммерческим организацияморганизациям

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 55

НедостаткиНедостатки централизованнойцентрализованнойидентификацииидентификации ии аутентификацииаутентификации -- 11

ПоявляетсяПоявляется единаяединая точкаточка отказаотказа

–– ЭтоЭто должендолжен бытьбыть высокозащищенныйвысокозащищенный, , высокорезервированныйвысокорезервированный ресурсресурс сс высокойвысокойпропускнойпропускной способностьспособность

–– МассаМасса угрозугроз, , дажедаже припри наличииналичии резервныхрезервныхцентровцентров: : отот пьяногопьяного экскаваторщикаэкскаваторщика ии отказаотказаспутникаспутника додо DDOSDDOS--атакатак ии действийдействий озлобленныхозлобленныхинсайдеровинсайдеров

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 66

НедостаткиНедостатки централизованнойцентрализованнойидентификацииидентификации ии аутентификацииаутентификации -- 22

ВВ одномодном местеместе концентрируетсяконцентрируется персональныеперсональные данныеданныезначительнойзначительной частичасти населениянаселения, , ии длядля каждогокаждого лицалицанакапливаетсянакапливается информацияинформация обообо всехвсех егоего действияхдействиях, , интересахинтересах ии запросахзапросах

–– ОченьОчень удобноудобно длядля профилированияпрофилирования

СледствиемСледствием единообразияединообразия ии стандартизациистандартизации являетсяявляетсяпотеряпотеря гибкостигибкости припри управленииуправлении отдельнымиотдельнымисистемамисистемами–– КакКак оказыватьоказывать услугиуслуги темтем, , ктокто вв системесистеме нене зарегистрированзарегистрирован ??–– КакКак оказыватьоказывать электронныеэлектронные услугиуслуги зарубежнымзарубежным гражданамгражданам ииорганизацияморганизациям ??

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 77

НедостаткиНедостатки централизованнойцентрализованнойидентификацииидентификации ии аутентификацииаутентификации -- 33

ПоследствияПоследствия утратыутраты идентифицирующихидентифицирующих реквизитовреквизитовмогутмогут бытьбыть катастрофическимикатастрофическими

–– ВысокиеВысокие рискириски, , вв томтом числечисле финансовыхфинансовых потерьпотерь всехвсехучастниковучастников информационногоинформационного обменаобмена. . КтоКто будетбудеткомпенсироватькомпенсировать сторонамсторонам ихих потерипотери??

ПовышенныйПовышенный интересинтерес хакеровхакеров ии недружественныхнедружественныхгосударствгосударств

–– МогутМогут бытьбыть примененыприменены самыесамые современныесовременные дорогостоящиедорогостоящиесредствасредства атакиатаки

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 88

НедостаткиНедостатки централизованнойцентрализованнойидентификацииидентификации ии аутентификацииаутентификации -- 44

УгрозыУгрозы сосо стороныстороны инсайдеровинсайдеров

НизкоеНизкое довериедоверие кк разработчикуразработчику ии операторуоператору системысистемы

БольшиеБольшие сомнениясомнения вызываетвызывает идеяидея веденияведения реестрареестрадолжностныхдолжностных лицлиц

–– ПотребуетсяПотребуется постояннаяпостоянная актуализацияактуализация. . КтоКто этоэто будетбудет делатьделать ииктокто будетбудет отвечатьотвечать заза последствияпоследствия??

–– НеНе лучшелучше лили отслеживатьотслеживать полномочияполномочия нана уровнеуровне органоворганов ииорганизацийорганизаций ((опытопыт БанкаБанка РоссииРоссии –– кодкод аутентификацииаутентификации)?)?

–– ДолжностныеДолжностные лицалица автоматическиавтоматически регистрируютсярегистрируются вв системесистемекаккак пользователипользователи

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 99

ТехнологическаяТехнологическая нейтральностьнейтральность

ОбеспечениеОбеспечение технологическаятехнологическая нейтральностьнейтральностьзаконодательствазаконодательства

–– УсловияУсловия длядля примененияприменения различныхразличных технологийтехнологийаутентификацииаутентификации

–– РазныеРазные технологиитехнологии могутмогут бытьбыть эффективныэффективны ввразличныхразличных условияхусловиях

–– СнижениеСнижение рисковрисков

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 1010

РискиРиски социальногосоциального планаплана

ЕстьЕсть тете, , ктокто понимаетпонимает технологиитехнологии ии связанныесвязанные сс ниминимирискириски ии каккак правильноправильно имиими пользоватьсяпользоваться

ОгромнаяОгромная частьчасть населениянаселения дажедаже нене понимаетпонимает рисковрисков, , которыекоторые несутнесут сс собойсобой такиетакие системысистемы

–– припри внедрениивнедрении подобныхподобных системсистем нужнанужна постепенностьпостепенность –– каккак ввпланеплане числачисла подключаемыхподключаемых системсистем, , тактак ии вв планеплане контингентаконтингентапользователейпользователей

–– ТестированиеТестирование желательножелательно начинатьначинать сс сотрудниковсотрудников аппаратааппаратаПравительстваПравительства ии ПрезидентаПрезидента, , федеральныхфедеральных министерствминистерств ииведомствведомств

–– ВВ последнююпоследнюю очередьочередь подключатьподключать пенсионеровпенсионеров. . –– ЕслиЕсли системасистема покажетпокажет себясебя эффективнойэффективной ии заслуживающейзаслуживающейдовериядоверия людилюди придутпридут самисами

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 1111

ВыводыВыводы

НетНет смысласмысла отвергатьотвергать подобноеподобное техническоетехническое решениерешение ввпринципепринципе. . ОднакоОднако егоего реализацияреализация ии подключениеподключениепользователейпользователей должныдолжны идтиидти безбез суетысуеты ии спешкиспешки

–– ПустьПусть государствогосударство сначаласначала опробуетопробует новуюновую игрушкуигрушку нана себесебе иинана своихсвоих служащихслужащих, , отладитотладит еёеё, , убедитубедит всехвсех, , чточто системасистемаработаетработает надежнонадежно ии безбез сбоевсбоев

ОбязательноОбязательно найдутсянайдутся такиетакие системысистемы, , которыекоторыеподключатьподключать кк единомуединому сервисусервису авторизацииавторизации попо темтем илиилииныминым причинампричинам окажетсяокажется нерациональнонерационально, , ии кк этомуэтомунужнонужно бытьбыть готовымиготовыми

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 1212

ВыводыВыводы

НужноНужно сразусразу ««закладыватьсязакладываться»» нана тт оо, , чточто подобнаяподобнаясистемасистема будетбудет объектомобъектом атакатак, , вв томтом числечисле успешныхуспешных

–– НужноНужно сразусразу встраиватьвстраивать вв неёнеё дополнительныедополнительные механизмымеханизмывыявлениявыявления подозрительнойподозрительной активностиактивности, , оповещенияоповещения гражданграждан, , аа такжетакже устраненияустранения последствийпоследствий инцидентовинцидентов безопасностибезопасности, , вврезультатерезультате которыхкоторых можетможет бытьбыть одновременноодновременно совершеносовершеномногомного несанкционированныхнесанкционированных операцийопераций отот имениимени большогобольшогочислачисла гражданграждан

–– НужноНужно определитьопределить ответственностьответственность государствагосударства заза негативныенегативныепоследствияпоследствия, , включаявключая компенсациюкомпенсацию материальногоматериального ииморальногоморального ущербаущерба

6 6 февраляфевраля 2013 2013 гг.. ИнфофорумИнфофорум 20132013 1313

ПриглашаюПриглашаю ВасВас нана моймой блогблог: : http://rusrim.blogspot.com/http://rusrim.blogspot.com/