Почему все то, что давно и эффективно работает в коммерческом секторе, буксует в государственном управлении? Для построения электронного государства требуется решить три проблемы.
Доступ к сервисам
Очевидно, что наиболее удобной и доступной средой для получения в электронной форме желаемой услуги является Сеть, однако не все так просто. Поскольку все государственные услуги носят индивидуальный характер, то информация, используемая при их предоставлении, неминуемо содержит персональные данные, то есть носит конфиденциальный характер и должна соответствующим образом защищаться. Что это означает?
Internet – международная сеть, следовательно, передача через нее персональных данных рассматривается законом как трансграничная, и, в соответствии с федеральным законом «О персональных данных» (ст. 12), в этом случае требуется обеспечение адекватной защиты. До недавнего времени под адекватной защитой понимался полный отказ от использования Сети (Указ Президента России № 611 от 12 мая 2004 г.), а новый порядок (Указ Президента России № 351 от 17 марта 2008 г.) предусматривает, что передавать через Internet информацию, содержащую служебную тайну (для государственных органов персональные данные граждан относятся к этому разряду), если это необходимо, разрешается «только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств». На первый взгляд может показаться, что для выполнения данного требования достаточно просто защитить внутреннюю сеть государственного учреждения соответствующим межсетевым экраном, однако эти экраны не относятся к криптографическим средствам. Как следует из указания закона, необходимо использовать только сертифицированные ФСБ РФ средства «и (или) получившие подтверждение соответствия» в ФСТЭК. Как известно, именно ФСБ осуществляет сертификацию шифровальных средств защиты информации.
На практике эти нормотворческие нюансы означают, что применение Сети легализовано только в качестве транспортного средства, когда нет выделенного канала связи, например для организации связи внутри корпоративной сети ведомства.
Для гражданина, желающего получать от государства услуги в электронном виде, это означает, что он должен оборудовать на своем компьютере «абонентский пункт», построенный на основе сертифицированных средств защиты информации, и интегрировать его в сеть органа государственной власти, а поскольку этот абонентский пункт становится частью информационной системы оператора персональных данных, то он также подлежит аттестации по требованиям безопасности информации. Другой вариант состоит в организации доступа к государственным сервисам через информационные киоски, расположенные в публичных местах и оборудованные всеми необходимыми средствами защиты, однако при этом теряется множество преимуществ. Люди уже не могут работать в любое удобное для них время, не могут в полной мере заполнять все необходимые заявления и формы, так как сделать это с использованием информационного киоска весьма непросто.
С другой стороны, можно более мягко трактовать текст закона и воспринимать слова «в том числе» в значении «при необходимости», слова «и (или)» в значении только «или», а слова «получивших подтверждение соответствия» в значении «сертифицированных». Но нет уверенности, что с такой трактовкой согласятся проверяющие органы.
Единственным способом решения первой проблемы является создание государственным органом отдельной информационной системы, подключенной к Сети и предназначенной исключительно для электронной переписки с гражданами. Причем граждане, желающие использовать данную систему, должны дать письменное согласие на ненадлежаще защищенную трансграничную передачу данных (в соответствии с п. 1. ст. 10 закона о персональных данных). Для проведения всех других действий информация из данной системы должна извлекаться и обрабатываться в отдельной, защищенной в соответствии со всеми требованиями информационной безопасности системе.
Электронные справки
Большинство услуг предоставляются на основании документов и справок из других ведомств или организаций, и логично предложить организацию межведомственного взаимодействия, в рамках которого государственные органы сами запрашивали бы всю необходимую информацию из соответствующих источников.
Организация такого взаимодействия является одной из целей проекта «Электронного правительства», однако здесь также имеется много нерешенных проблем. Прежде всего следует вспомнить о том, что с точки зрения информационного взаимодействия персональные данные – это в первую очередь мастер-данные (базовые или справочные данные), а их интеграция и управление ими подчиняются тем же законам.
Основная проблема управления персональными данными при межведомственном взаимодействии состоит в идентификации – информация о гражданах вносится в разные информационные системы, разными людьми и в разное время, причем этой информации свойственно меняться. Зачастую граждане просто не сообщают о смене фамилии, паспорта или места жительства, а сами ведомства этой информацией почти не обмениваются.
Несколько лет назад была предпринята попытка создания Государственного регистра населения России, позже оформившаяся в виде Системы персонального учета населения (СПУН). Однако идея создания такой системы была неоднозначно воспринята общественностью, и в соответствии с вышедшим в 2006 году федеральным законом «О персональных данных» объединение баз данных информационных систем персональных данных было запрещено, а создание государственного регистра населения стало возможно только на основании соответствующего федерального закона. Таким образом, решение технической задачи сопоставления персональных и других связанных с ними мастер-данных значительно усложнилось существующими юридическими требованиями.
Еще одной проблемой является повышение во всех системах требований к защите информации до максимального уровня. В соответствии с порядком классификации информационных систем персональных данных (ИСПДн) при их объединении каждой ИСПДн присваивается наивысший класс. Не секрет, что требования к ИСПДн первого класса сопоставимы с требованиями к информационным системам, обрабатывающим сведения, составляющие государственную тайну.
Не обошлось и без курьезов. В связи с требованиями по безопасности персональных данных ведомство не может предоставить гражданину данные о нем самом же, если эти данные получены из другого ведомства, так как это может рассматриваться как распространение персональных данных. Кроме того, на основании закона «О персональных данных» гражданину не могут быть предоставлены сведения о других людях, даже если это члены его семьи.
С учетом всего изложенного, а также в связи с тем, что подключение к системе межведомственного взаимодействия требует значительных временных и финансовых затрат, более перспективным представляется вариант использования электронных документов. Организовать выдачу электронных справок не составляет труда, так как большинство организаций уже имеют электронные цифровые подписи (для работы с банком и сдачи отчетности). А программное обеспечение требуется весьма незначительное – сертифицированный криптопровайдер (системы CryptoPro CSP и Signal-COM CSP) и утилиты для работы с ЭЦП (наподобие «КриптоАРМ»).
Однако, при обращении в государственные органы кроме справок требуются еще копии документов и удостоверений, которые в обычной бумажной форме постоянно находятся на руках у граждан. Следовательно, для того чтобы иметь возможность отправлять их в государственные органы в электронной форме вместе со справками, необходим электронный нотариат, удостоверяющий электронные «копии» бумажных документов. Гражданин обращается к такому нотариусу с оригиналом бумажного документа, нотариус его сканирует, удостоверяет верность копии путем проставления на файле с изображением документа своей ЭЦП и передает файл гражданину. Однократно полученный таким образом файл затем может использоваться неограниченное количество раз.
В результате на сегодняшний день для получения электронной услуги гражданин должен собрать все необходимые электронные справки и документы, подписать их вместе с заявлением своей ЭЦП и отправить в государственный орган, который может инициировать предоставление государственной услуги.
Социальная ЭЦП
Но для того чтобы такая технология заработала, необходима инфраструктура электронной цифровой подписи:
-
электронные цифровые подписи организаций должны признаваться государственными органами;
-
должны появиться службы электронного нотариата, и их подписи должны признаваться в государственных органах как подписи нотариусов;
-
электронные подписи должны появиться у большинства населения.
Для решения последней задачи в России создается унифицированная социальная карта. Однако не стоит забывать о том, что, как показала мировая практика, постоянно электронными услугами пользуются не более 40% населения. В этой связи наиболее оптимальным представляется совмещение в социальной карте приложений ЭЦП с платежными приложениями широко распространенных стандартов, таких как Visa или MasterCard. В результате на первом этапе социальная карта может быть востребована гражданами, получающими социальные выплаты либо заработную плату на банковскую карту. По мере появления сервисов, использующих идентификационные приложения социальной карты, граждане смогут пользоваться данными сервисами без необходимости получения дополнительной специальной карты.
В последнее время много говорится об удаленном участии граждан в выборах. Использование ЭЦП позволило перевести эту процедуру на новый уровень, однако здесь, кроме сложностей реализации, возникает вопрос доверия со стороны граждан. Сегодня, как правило, закрытые ключи для электронных цифровых подписей генерируются удостоверяющим центром, следовательно, есть теоретическая возможность для фальсификации итогов выборов.
Возможным решением данной проблемы может быть самостоятельная генерация пользователями закрытых ключей с последующей регистрацией открытого ключа
в удостоверяющем центре, и отчасти такая возможность предусмотрена в законе «Об электронной цифровой подписи» (п. 1
ст. 5). В целях обеспечения сохранности закрытого ключа генерация должна производиться внутри смарт-карты. Хранение закрытого ключа в одном месте имеет свои ограничения. Так, при утрате смарт-карты невозможно будет восстановить закрытый ключ, а следовательно, невозможно будет, к примеру, расшифровывать сообщения, зашифрованные соответствующим открытым ключом. Однако в данном случае разумно использовать такую смарт-карту только для средств идентификации и электронной цифровой подписи. В свою очередь, при утрате смарт-карты возможно приобретение новой смарт-карты с последующей ее регистрацией в удостоверяющем центре
и в корпоративной информационной систе-ме, в которой она используется, что может происходить быстрее, чем изготовление нового ключа в удостоверяющем центре.
Сергей Лизин (sergey.lizin@gmail.com) – заместитель начальника отдела информационных технологий Министерства социальной защиты населения Республики Мордовия (Саранск).