Первое июля 2011 года — время «Ч», определенное сразу в двух федеральных законах, принятых с интервалом в два года: ФЗ-152 от 27.07.2008 «О персональных данных» и ФЗ-210 от 27.07.2010 «Об организации предоставления государственных и муниципальных услуг». И хотя сроки вступления в силу второго из них были в итоге перенесены, но само по себе данное соседство весьма примечательно. Кроме того, во многом для целей автоматизации предоставления государственных услуг, был принят обновленный закон ФЗ-63 от 06.04.2011 «Об электронной подписи». Наиболее заметным положением ФЗ-210 является введение запрета для госорганов требовать от заявителя предоставления документов (справок, выписок и т. п.), находящихся в распоряжении других ведомств. В результате актуальной стала задача построения межведомственного информационного взаимодействия.
Центральным звеном во взаимодействии ведомств должна стать Единая система межведомственного электронного взаимодействия (СМЭВ) — соответствующий статус установлен постановлениями Правительства РФ № 697 от 8.09.2010 и № 451 от 8.06.2011. Концепция СМЭВ основывается на принципах сервис-ориентированной архитектуры, а основным ее компонентом является сервисная шина, предназначенная для связи информационных систем различных ведомств, однако интеграция ведомственных информационных систем персональных данных невозможна без повышения требований к обеспечению безопасности информации.
Закон ФЗ-152 предусматривает дифференцированный подход к защите информации, отправной точкой которого до недавнего времени служил совместный приказ ФСТЭК, ФСБ и Мининформсвязи РФ №55/86/20 от 13.02.2008, определявший порядок проведения классификации информационных систем персональных данных. В нем произведено разделение информационных систем на типовые и специальные, причем типовые — это системы, в которых требуется обеспечение только конфиденциальности информации, а специальные — в которых требуется также обеспечивать целостность и доступность информации. В отношении типовых информационных систем введена классификация по четырем классам (К1-К4) и указаны правила определения класса. В отношении специальных информационных систем строгая классификация отсутствовала, однако сложно представить себе информационную систему, в которой не требуется обеспечение целостности и доступности информации. Во всяком случае, информационные системы, участвующие в предоставлении государственных услуг, к их числу точно не относятся. Получается, что в большей степени данный приказ призван был служил ориентиром, а не строгой классификацией. По сути, то же самое можно сказать и про требования, содержащиеся в приказе ФСТЭК России № 58 от 05.02.2010 о методах и способах защиты персональных данных в зависимости от класса информационной системы. Федеральным законом от 25.07.2011 № 261 в закон о персональных данных были внесены поправки, которые в том числе затронули статью 19, где указывается, что «уровни защищенности персональных данных» должны устанавливаться непосредственно Правительством РФ. Поскольку существующее постановление Правительства РФ от 17.11.2007 № 781 их не содержит (отсылку про классификацию нельзя считать достаточной), то, несмотря на вступление закона о персональных данных в полную силу, в требованиях по защите персональных данных вновь наблюдается некоторый правовой вакуум.
Безопасность межведомственного взаимодействия
Как известно, безопасность информации складывается из трех характеристик: конфиденциальности, целостности и доступности. В нашей стране вопрос защиты информации рассматривается преимущественно с точки зрения необходимости обеспечения ее конфиденциальности. Обеспечение доступности, как правило, рассматривается в контексте обеспечения надежности информационных систем, а вопросам обеспечения целостности информации обычно уделяется мало внимания.
Целостность обеспечивается средствами защиты от несанкционированного доступа (НСД), реализующими разграничение доступа, и/или средствами криптографической защиты информации. Обеспечение целостности тесно связано с вопросами обеспечения юридической значимости информации, которые имеют крайне важное значение при взаимодействии информационных систем, принадлежащих разным организациям. В отличие от созданной ранее Системы межведомственного электронного документооборота (МЭДО), обеспечивающей автоматизированную обработку неструктурированных запросов между ведомствами, СМЭВ предполагает преимущественно автоматическое взаимодействие на основе исключительно структурированных запросов. Для того чтобы формирование ответов на запросы могло осуществляться автоматически (полностью без участия персонала), необходимо чтобы в ведомстве, формирующем ответ, имелся соответствующий информационный ресурс — база данных, содержащая все необходимые сведения. При этом подготовка ответа состоит в автоматическом формировании на основании параметров, содержащихся в запросе, некоторой выборки данных.
Очевидно, что для использования полученных ответов они должны иметь юридическую силу. Существовавший до недавнего времени закон ФЗ-1 от 10.01.2002 «Об электронной цифровой подписи» предполагал строгую персонификацию электронной подписи, а в принятом 6 апреля 2011 года законе ФЗ-63 «Об электронной подписи» предусмотрена возможность выдачи сертификата ключа проверки электронной подписи юридическому лицу (без указания физического лица). При этом данный сертификат может использоваться только для автоматического создания электронных подписей в информационной системе при оказании государственных и муниципальных услуг (исполнении государственных и муниципальных функций). В случае если сертификат электронной подписи выдан физическому лицу (пусть даже уполномоченному представителю юридического лица), на него возлагается вся полнота ответственности за содержание документов, подписанных с использованием соответствующего ключа электронной подписи. В случае автоматического формирования электронной подписи от имени юридического лица на него может быть возложена административная или гражданская ответственность. Но уголовную ответственность юридическое лицо нести не может.
Автоматически сформированная электронная подпись подтверждает факт содержания в базе данных соответствующей информации, и основной проблемой в данном случае является распределение ответственности за достоверность информации, содержащейся в базах данных. Однако большинство современных информационных систем служат средством структурированного хранения и обработки информации, первоисточником которой являются различные бумажные документы, и, по сути, информационная система выполняет вспомогательную роль: облегчает расчеты, упрощает подготовку новых документов и т. п., но содержащаяся в ней информация не имеет необходимого юридического статуса. Его, как правило, приобретают только бумажные документы, после того как они подписываются традиционным способом.
Данная проблема актуальна не только при автоматическом взаимодействии, но и для систем с множеством пользователей: одни вносят информацию в базу данных, другие формируют на ее основе новые документы. Причем последняя процедура зачастую максимально автоматизирована — документ формируется системой, распечатывается и подписывается (визируется). В результате пользователь несет ответственность за достоверность этих данных, проверить же истинность сведений во всех подписываемых документах (по первичным бумажным документам) он, как правило, физически не в состоянии.
Для решения данной проблемы необходимо придание информационным ресурсам соответствующего юридического статуса, а также обеспечение разделения ответственности пользователей за содержание информации. Обеспечить юридическую значимость электронных документов возможно лишь посредством электронной подписи, но подписывать каждое изменение в базе данных — весьма хлопотно. Законом ФЗ-63 введено понятие простой электронной подписи, которая «посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом». По сути, таким образом, узаконен статус информации практически во всех базах данных. Причем в данном случае не требуется осуществления криптографических преобразований, но необходимо отслеживать авторство всех изменений с сохранением доказательств.
Управление данными в корпоративных системах
За последнее десятилетие информационные системы претерпели качественные изменения, но, несмотря на это, многие технологии их построения остаются прежними, что не всегда так безобидно, как кажется. Сергей Лизин |
Чтобы гарантировать корректность работы ПО, необходима сертификация, позволяющая перенести ответственность с пользователя (или разработчика) программного обеспечения на орган по сертификации. До выхода в свет закона об электронной подписи юридическая значимость документов обеспечивалась средствами криптографической защиты информации, которые проходили в ФСБ достаточно сложную сертификацию. Простая электронная подпись предполагает, что обеспечение целостности информации достигается за счет применения механизмов защиты от НСД. Кроме того, программные сркдства, используемые для автоматического формирования ответов на запросы, должны обеспечивать правильность извлечения информации. В отличие от средств криптографической защиты информации, функционал которых достаточно локален, полноценная сертификация всего прикладного программного обеспечения — достаточно трудоемкая задача, сопоставимая с трудозатратами на его создание.
Кроме того, отслеживание авторства — достаточно сложный процесс, заключающийся не только в сохранении информации о лице, последним изменившем отдельный информационный элемент, но и в отслеживании вмешательства всех лиц, принимающих участие в подготовке как конечного документа, так и данных, послуживших основанием для него. В результате требуется возможность отслеживать значение данных по состоянию на произвольно выбранный момент времени, а средства защиты от НСД эффективны лишь при условии, что все данные носят транзакционный характер. Для решения данной проблемы могут быть использованы технологии темпоральных баз данных.
Электронные госуслуги: проблемы и альтернативы
Предоставление государственных услуг в электронной форме включает в себя не только организацию межведомственного электронного взаимодействия. Согласно ФЗ-210, государственная услуга считается оказываемой в электронной форме при условии, что она оказывается с использованием Единого портала государственных услуг. Полный цикл предоставления услуги включает в том числе электронную подачу заявления на предоставление услуги и отслеживание хода ее предоставления. Однако здесь имеется противоречие с Указом Президента № 351 от 17.03.2008, согласно которому запрещается подключение к Интернету государственных информационных систем, содержащих сведения, составляющие служебную тайну (к числу которой относятся персональные данные). Таким образом, складывается парадоксальная ситуация: законом о предоставлении государственных услуг и другими подзаконными актами предусматривается предоставление государственных услуг в электронной форме, а техническая возможность такого предоставления, по сути, запрещена указом Президента.
Три барьера на пути к электронному государству
Люди, привыкшие к современным благам цивилизации, таким как банковские карты или электронные билеты, хотят так же просто общаться с бюрократией. Однако взаимодействие между органами государственной власти до сих пор осуществляется по старинке. Сергей Лизин |
Для электронной подачи заявления необходимо обеспечение его юридической значимости, но у большинства граждан нет ни сертификатов электронной подписи, ни средств криптографической защиты. С принятием ФЗ-63 появилась возможность использования простой электронной подписи, не требующей задействования криптографических средств, но требующей обеспечения идентификации заявителей. На Едином портале государственных услуг идентификация граждан осуществляется через посредника — Почту России. Предполагается, что заказное письмо, содержащее специальный код, может быть получено адресатом только при предъявлении паспорта, однако на практике это не всегда так. К тому же почта не несет какой-либо ответственности за нарушение правил доставки, поэтому сейчас разрабатываются различные способы достоверной идентификации – от использования универсальной электронной карты до существующей инфраструктуры сотовых операторов и платежных систем.
Но в процессе предоставления услуги могут возникать самые различные проблемы — от технических сбоев до нарушений со стороны государственных учреждений. Например, при необходимости обжаловать непредоставление услуги у граждан должна быть возможность подтверждения факта подачи заявления. Однако сейчас непонятно, у кого можно получить такое подтверждение в письменном виде. Очевидно, что оператор Единого портала госуслуг — Минкомсвязи РФ — физически не в состоянии выполнять данные функции (без создания широкой филиальной сети).
Ключевым преимуществом использования Единого портала госуслут должна стать возможность подачи через него заявления на получение услуги. Для получения практически всех государственных услуг требуется подача не только заявления, но и некоторого комплекта документов. Частично это можно сделать через СМЭВ, однако не все необходимые документы находятся в распоряжении госорганов (трудовые книжки, различные договоры, справки из негосударственных организаций и т. п.). Например, одним из наиболее часто востребованных документов является справка о составе семьи, а в большинстве случаев ее выдает организация ЖКХ, которая практически всегда — частная компания.
Кроме того, согласно последним изменениям в ФЗ-210, список документов, которые нельзя требовать у гражданина, значительно сокращен. Из него исключены документы, которые постоянно находятся на руках у граждан. При подаче документов традиционным образом (посредством личного посещения) это вполне логично, но при подаче заявления через Интернет данные документы недостаточно просто отсканировать. Электронного нотариата, способного делать на основе бумажных документов их электронные аналоги, в стране нет. В результате количество услуг, которые можно заказать с помощью Единого портала госуслуг, ничтожно мало (в основном это только услуги, связанные с предоставлением различного рода информации). То есть получается, что предоставление госуслуг в электронной форме — это все-таки «химера»?
Для поиска выхода из тупика полезно обратиться к опыту банковской системы. При осуществлении расчетных операций в электронной форме не предполагается, что граждане взаимодействуют напрямую с Центробанком (хотя в данном случае существует региональная сеть), — в качестве посредника, как и при бумажном взаимодействии, выступают коммерческие банки. Они же занимаются вопросами идентификации и разрешения проблемных ситуаций.
Аналогичным органом при предоставлении государственных услуг могут быть многофункциональные центры предоставления государственных услуг (МФЦ) — организации различных правовых форм, уполномоченные предоставлять государственные и муниципальные услуги, в том числе в электронной форме, по принципу «одного окна». Согласно закону ФЗ-210, МФЦ могут одновременно предоставлять интересы как заявителей, так и государственных органов. Многофункциональные центры осуществляют прием документов от заявителей, передачу их в соответствующие госорганы на исполнение, отслеживание хода предоставления услуги, а также выдачу результатов заявителям.
Многофункциональные центры могут осуществлять гарантированную идентификацию граждан. Во многих МФЦ все документы, подаваемые заявителем, сканируются, заверяются ЭЦП и электронно отправляются в госорганы. В последующем данные документы могут быть использованы заявителем повторно при подаче электронного заявления через специализированный портал. Если имеющихся документов для подачи электронного заявления все же недостаточно, то при подаче документов лично через МФЦ ранее сданные документы повторно могут не требоваться. Одновременно МФЦ могут быть органом, куда заявитель может обратиться при возникновении у него проблем в процессе предоставления государственных услуг, запрошенных как в традиционной, так и в электронной форме.
Для того чтобы госорганы могли запрашивать через СМЭВ недостающие документы, находящиеся в других ведомствах, необходимо, чтобы в них были соответствующие информационные системы (клиентские компоненты). Оперативное присоединение к СМЭВ всех государственных органов и органов местного самоуправления является весьма непростой задачей. В то же время данная функция также может быть возложена на многофункциональные центры. Они могут запрашивать недостающие документы при подаче заявлений в любые государственные органы.
***
Таким образом, для перевода государственных услуг на электронные рельсы необходимо сформировать стабильные и понятные требования по защите информации, а также проработать вопросы обеспечения юридической значимости информации, включая механизмы персонализации ответственности за ее содержание. Использование инфраструктуры многофункциональных центров позволит обойти многие проблемные вопросы и сделать государственные услуги по-настоящему электронными.
Сергей Лизин (sergey.lizin@gmail.com) – сотрудник компании «Эволента» (Саранск).