Система управления полномочиями интегрированная с облачной электронной подписью

Заказчик
Федеральное агентство по печати и массовым коммуникациям
Руководитель проекта со стороны заказчика
ИТ-поставщик
Группа компаний «Центр открытых систем и высоких технологий»
Год завершения проекта
2018
Сроки выполнения проекта
Май, 2017 — Ноябрь, 2018
Масштаб проекта
1600 человеко-часов
160 автоматизированных рабочих мест
Цели
Целью проекта является повышение эффективности работы сотрудников Федерального агентства по печати и массовым коммуникациям за счет создания системы управления полномочиями  на основе юридически значимых процедур назначения полномочий, объединяемых в политики, использующих атрибутные сертификаты в качестве единицы назначаемых полномочий и инфраструктуру облачной электронной подписи на основе программно – аппаратного решения Криптопро HSM.

Уникальность проекта

Уникальность проекта заключается в том, что за счёт сочетания нескольких передовых технологический внедренное решение  обеспечивает простой и удобный способ юридически значимого управления полномочиями пользователей системы. В отличие от традиционного подхода, когда назначение прав осуществляется специально выделенным администратором, в развернутом решении процедуры по назначению полномочий являются частью делового процесса Роспечати, и правами по назначению полномочий могут быть наделены различные должностные лица, в соответствии с уже назначенными полномочиями.
При этом полномочия могут быть не только назначены или сняты. Поддерживается весь жизненный цикл управления атрибутными  сертификатами, к которым полномочия привязываются, включая их отзыв, ограничение срока действия, восстановление ранее отозванных полномочий.
Второй особенностью проекта является применение облачной электронной подписи на основе продуктов Криптопро HSM и Криптопро DSS.  Подсистема хранения ключей (подсистема ХК) обеспечивает централизованное  защищенное хранение закрытых ключей пользователей, а также удаленное выполнение операций по созданию электронной подписи в интересах пользователей при взаимодействии с Криптографическим модулем.
Совокупность используемых технологических решений является уникальным для России опытом и может тиражироваться при построении информационных решений любого масштаба как в области государственного управления, так и в составе коммерческих информационных систем.
Использованное ПО
При разработке решения были использованы следующие программные и аппаратные средства:

Для реализации облачной электронной подписи использован программно – аппаратный комплекс  Криптопро HSM / Криптопро DSS.

В качестве решения для управления атрибутными сертификатами, хранящими информацию о назначенных полномочиях, использован "Сервер атрибутных сертификатов» АО «ТопКросс».

Для оперативного управления полномочиям и хранения информации о реестре полномочий и списка пользователей использована служба каталогов с открытым кодом  OpenDJ.

Для публикации отчетов о назначении и изменении полномочий пользователей использован сервер публикации COS.Publisher поддерживающий технологию XML Formatted Objects.
Описание проекта
Система управления полномочиями пользователей в составе ЕАС Роспечати создается для юридически значимого управления полномочиями. Необходимость делегирования полномочий возникает каждый раз, когда должностные лица отсутствуют на рабочем один или более дней по какой-либо причине: по болезни, направляются в командировку, уходят в отпуск и т.д. При этом делегирование полномочий производится в форме приказа, подготовка которого происходит внутри ЕАС Роспечати в электронном виде. До внедрения разработанного решения изменение полномочий пользователей в ЕАС Роспечати производилось в форме бумажного приказа , на основе которого происходило назначение полномочий администратором безопасности, что происходило с задержкой. Кроме того, действия по изменению полномочий не были связаны с полномочиями лица, подписавшего приказ о их изменении. Также известна проблема , заключающаяся в том, что, зачастую, возвращение полномочий после возвращения должностного лица из отпуска или командировки не оформляется документально. Описанные проблемы в описываемом решении решаются следующим образом. Полномочия пользователя формируются в виде атрибутных сертификатов (АС), создаваемых в момент подписания приказа об изменении полномочий должностных лиц, с помощью входящего в состав решения сервера атрибутных сертификатов. АС содержит информацию  о назначаемых полномочиях,  о лице , осуществляющем назначение полномочий  о лице, которому назначаются полномочия. Далее служба атрибутирования (СА) обеспечивает криптографическую связь сертификата ключа подписи с дополнительной информацией, защищенной ЭП, определяющей роль владельца сертификата в ИС (в том числе для целей разграничения доступа и размещения информации уточняющей полномочия), выполняя функцию Инфраструктуры управления привилегиями (Privilege Management Infrastructure, PMI). Для использования электронной подписи применена технология Криптопро HSM / DSS, обеспечивающая облачную технологию работы с электронной подписью. При этом поддерживаются следующие форматы электронной подписи:  Электронная подпись ГОСТ 34.10 – 2001;  Усовершенствованная подпись (CAdES-BES и CAdES-X Long Type 1);  Подпись XML-документов (XML Digital Signature, XMLDSig);  Подпись документов PDF (в том числе с отображаемым штампом подписи);  Подпись документов Microsoft Office. Техническая возможность формировать сертификаты ЭП по ГОСТ Р 34.10-2012 в системе будет реализована в течение 2019 года. В зависимости от настройки, подсистема хранения и управления ключами обеспечивает возможность реализовывать следующие способы аутентификации пользователя:  классическая однофакторная аутентификация по логину и паролю;  двухфакторная аутентификация с использованием цифровых сертификатов и USB-токенов или смарт-карт;  двухфакторная аутентификация с дополнительным вводом одноразового пароля, доставляемого пользователю посредством SMS (OTP-via-SMS). Полный список полномочий, доступных пользователям ЕАС Роспечати публикуется в корпоративной сети в структурированном виде. Целостность файла с доступными полномочиями обеспечивается ЭП уполномоченного администратора безопасности. Также публикуется список политик. Политика представляет собой группу полномочий, которые назначаются и отменяются, как правило, совместно. В состав атрибутных сертификатов информация о назначаемых политиках не помещается. Политики используются только для удобства назначения полномочий. Формирование отчетности о назначенных и измененных полномочиях производится путем формирования PDF файлов, заверяемых встраиваемой электронной подписью.
География проекта
Федеральное агентство по печати и массовым коммуникациям
Дополнительные презентации:
FAPMC-GlonalCIOPresentation2.pdf
Коментарии: 4

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Александр Артюхов
    Рейтинг: 94
    АО "Организация "Агат"
    Начальник Службы эксплуатации ИТ
    20.12.2018 15:11

    Здравствуйте!
    Решение интересное и правильное. Причём процесс контролируется на любой стадии.
    Но наверняка в Роспечати, как и в любой другой подобной структуре, существует практика неформальной передачи полномочий по ЭП от руководителей подчинённым, которые фактически выполняют за начальников соответствующие функции. И от этого ни одно- ни двухфакторная аутентификации не спасают. В рамках проекта как-то поднимался вопрос о пресечении или хоть каком-то регулировании подобных "инициатив"?

  • Тарас Афанасенко
    Рейтинг: 12
    Федеральное агентство по печати и массовым коммуникациям
    Начальник отдела информационно-коммуникационных технологий
    28.12.2018 10:33

    Здравствуйте!

    Практика неформальной передачи полномочий по ЭП от руководителей к подчиненным обычно распространена при хранении ключей на физических носителях, при этом в рамках данной технологии сделать неформальную передачу на порядок сложнее, как техническом так и в психологическом аспекте. При этом контроль со стороны ИБ осуществляется проще, по большому счету такая передача выше порога компетенции рядовых сотрудников. Такие инициативы возникаю как правило по причине недоступности сотрудника(заболел, командировка, занят) или по причине того, что полномочия неправильно распределены. С первой причиной технология благополучно борется. Во втором случае нужно проводить реинжиниринг процесса в рамках которого возникает потребность неформального перевода полномочий, необходимо опускать полномочия на уровень исполнителя. К сожалению это не всегда возможно по причине существующих правил межведомственного общения, которые конечно хорошо бы поправить на уровне РФ. (Письма/информация в другое ведомство должно быть подписано на соответствующем уровне)

  • Александр Балабанов
    Рейтинг: 310
    Независимый эксперт в области ИТ-менеджмента и Цифровой трансформации
    CIO
    28.12.2018 13:07

    Тарас приветствую! Описанная вами проблематика мне понятна. Возможно я не знаю бизнес-процессы вашей компании, но насколько необходимо было данное решение - были проблемы со злоупотреблением полномочиями при подписании документов? и при этом еще и массовые? В своей компании я реализовал аналогичный проект на BPM_платформе - но без применения юридически значимых цифровых подписей - и цели немного другие были. И еще вопрос: в чем заключается повышение эффективности сотрудников при внедрении данного решения?

  • Тарас Афанасенко
    Рейтинг: 12
    Федеральное агентство по печати и массовым коммуникациям
    Начальник отдела информационно-коммуникационных технологий
    29.12.2018 12:26

    Добрый день!
    Злоупотреблений не было, так процессы переводились с бумаги в электронный вид(требования НПА) и тут было важно соблюсти особенности взаимодействия органа государственной власти с гражданами и другими органами власти, вопрос об эффективности сотрудников не ставился и не измерялся, хотя наверное можно придумать показатели и измерить, тут скорее эффективность как выполнение НПА.

Предметная область
Отрасль
Управление