2.2 Информационная безопасность в ргу

В реестре реализована ролевая модель доступа для определения полномочий пользователя. Каждому пользователю может назначаться несколько ролей. Принцип определения прав доступа – демократический (т.е. если у пользователя есть роль, допускающая данное действие, то это действие доступно пользователю) [11]. Основные роли пользователей реестра: Оператор, Редактор, Публикатор.

Для Федерального реестра операторами и редакторами являются сотрудники Федерального ОИВ, публикаторами – сотрудники МЭР, ответственные за экспертизу описаний услуг. Для региональных реестров операторы и редакторы - сотрудники Регионального ОИВ, публикаторы - сотрудники администрации региона.

Изменения объектов Реестра (услуг) проходят несколько стадий согласования перед передачей в Реестр госуслуг и публикацией на портале. Основными стадиями являются:

1. внесение изменений в описание объекта (Оператор вносит изменения в объект, после чего передает объект на согласование редактору);

2. согласование изменений с редактором (Редактор проверяет достоверность и актуальности информации и либо рекомендует объект к публикации, либо возвращает на доработку Операторам);

3. публикация объекта (Публикатор дополнительно проверяет информации об объекте, после чего публикует его, т.е. передает в Реестр госуслуг, либо возвращает на доработку Редактору).

При этом объекты физически попадают в Реестр госуслуг только после прохождения всех согласований. Изменения статусов объектов реестра производятся пользователями реестра в соответствии с назначенными им ролями (полномочиями).

Процедуры работы с новыми и ранее публиковавшимися объектами имеют различия в части удаления и возможностей согласования. Жизненные циклы объектов и основные стадии изменения объектов в реестре производятся в соответствии с рисунками 7,8. Синие стрелки – основной путь от начала изменения до публикации, оранжевые – возврат на доработку, сиреневые – передача на повторное согласование, красные – удаление, серые – откат к предыдущей ранее опубликованной версии. Возможность изменения статуса объекта определяется текущим статусом объекта и ролями пользователя.

Следует отметить, что существует проблема размещения сервера - у многих региональных подразделений федеральных органов власти сайты размещены на зарубежных хостинговых площадках. В таком случае вызывает сомнение работа с персональными данными, когда хостинг расположен не в нашей стране. Для безопасности Системы можно использовать (в версиях до v3.0 опционально, в версиях, начиная с v3.0 принудительно) интеграцию компонентов Системы со средствами ЭЦП и криптозащиты. Формирование ЭЦП и проверка её валидности осуществляются средствами CryptoPro CSP 3.6. Принципы применения ЭЦП и шифрования данных основаны на следующих государственных стандартах:

• ГОСТ Р 34.10-2001 – формирование ЭЦП;

• ГОСТ 28147-89 – шифрование данных.

Технология шифрования данных, передаваемых между АРМ Реестра и сервером Реестра, основана на применении протокола HTTPS (HTTP-over-SSL), что позволяет шифровать все обмены данными между клиентом и сервером.

Рисунок 7 - Жизненный цикл нового объекта [11]

Рисунок 8 - Жизненный цикл ранее опубликованного объекта[11]