Идентификация и аутентификация получателей услуг

Доступ пользователей (субъектов правоотношений) к информационным системам в общем случае включает в себя три стадии — идентификацию, аутентификацию и авторизацию.

Идентификация представляет собой присвоение пользователю уникального идентификатора (на стадии заведения пользователя в системе) и сравнение предъявляемого им идентификатора с перечнем присвоенных ранее идентификаторов, известных информационной системе и однозначно связанных с данным пользователем (на стадии получения доступа к данным или сервисам системы).

Аутентификация — процедура проверки подлинности пользователя, предъявившего свой идентификатор. Аутентификация позволяет подтвердить принадлежность предъявленного идентификатора пользователю путем сравнения предъявляемых данных с эталоном и актуальность данного идентификатора.

Идентификация и аутентификация являются взаимосвязанными (как правило, неразрывно) составляющими проверки подлинности пользователей. На практике идентификация и аутентификация часто объединяются в рамках единого процесса (пример — схема «логин–пароль»), а понятия «идентификация» или «аутентификация» используются для обозначения обеих процедур, поскольку идентификация субъекта без его аутентификации, как правило, не имеет смысла, а аутентификация без предварительной идентификации невозможна.

Для идентификации и аутентификации (далее — аутентификации) получателей услуг в электронном виде могут использоваться следующие способы:

1. Аутентификация с использованием уникальной одноразовой кодовой последовательности («жетона», «тикета»), выдаваемой получателю услуги при приеме его заявления и действующей только для конкретного случая предоставления услуги.

2. Аутентификация с использованием уникальной пары «логин–пароль».

3. Аутентификация с использованием сертификатов ЭЦП, выдаваемых аккредитованными удостоверяющими центрами.

4. Аутентификация с использованием сервисов доверенной третьей стороны.

5. Аутентификация с использованием незащищенных носителей информации (пластиковых карт и т. п.) и дополнительных кодов (PIN, одноразовые пароли, подтверждение по SMS и т. п.)

6. Аутентификация с использованием защищенных носителей информации (токенов, микропроцессорных карт и т. п.)

7. Аутентификация с использованием контрольного массива данных (совокупности сведений, не являющихся секретными, но с малой вероятностью известных постороннему лицу одновременно — например, ИНН, домашний адрес, девичья фамилия матери и т. д.) — только для услуг, не связанных с изменением юридического статуса получателя услуги или получением особо защищаемой персональной информации.

Допускается также сочетание способов аутентификации.

В случае если в результате аутентификации персоны происходит ее авторизация для получения персональных данных (в т. ч. содержащих таковые результатов оказания услуги), процедуры присвоения и передачи получателю услуги идентификационных данных (жетонов, пар «логин–пароль», сертификатов ЭЦП) должны предусматривать удостоверение личности получателя и защиту от перехвата. В качестве таковых в зависимости от специфики услуги используется один из следующих методов:

- физическая передача идентификаторов «лично в руки» с предъявлением документа (в месте оказания услуг, в удостоверяющем центре с курьером, через доверенного посредника — почту, банк и т. п.);

- раздельная доставка фрагментов идентификационной информации, обеспечивающая низкую вероятность одновременного перехвата всех каналов доставки (например, получение логина электронной почтой, пароля по SMS после удостоверения личности по телефону на основе контрольного массива данных);

- использование вручаемых лично одноразовых паролей для получения доступа к условно-постоянной идентификационной информации.

Не допускается установление требований по аутентификации потенциальных получателей услуг — пользователей сервисов публичного информирования. Публичная информация об услугах должна предоставляться без регистрации, анонимно.

Пример описания методов аутентификации

Типовой стандарт муниципальной услуги «Прием заявок (запись) на прием к врачу...»:

«Информацией, идентифицирующей получателя услуги, является сочетание:

- фамилии;

- имени;

- отчества (при наличии);

- номера полиса ОМС;

- даты рождения.

Идентификация талонов на прием осуществляется по уникальному номеру, присваиваемому в момент регистрации заявления. Формат номера должен выбираться таким образом, чтобы номерной емкости было достаточно для обеспечения потребностей учета в течение не менее чем 1 года с момента выдачи первого талона. Строго последовательная нумерация при этом не является обязательной. При выборе формата номера необходимо соблюдать требования удобочитаемости, простоты ввода, возможности контроля ошибок. Рекомендуемый формат номера включает:

- цифровой код территориального образования (по классификатору ОКАТО);

- цифровой код ЛПУ;

- уникальный номер;

- контрольную цифру».

Пример описания ограничений доступа у обрабатываемой информации

Типовой стандарт муниципальной услуги «Прием заявок (запись) на прием к врачу...»:

«Сведения об ограничениях доступа к обрабатываемой информации:

При оказании услуги не обрабатывается информация, в отношении которой существуют ограничения по доступу. Запись к врачу должна осуществляться в обезличенной форме.

Ведомственная учетная система, используемая при оказании услуги, не является доверенным источником, используемым при оказании других услуг или исполнении функций. Данные системы используются только в целях предоставления услуги.

Ведомственная учетная система, используемая при оказании услуги, должна соответствовать требованиям к степени защищенности к системам класса 2К, используемым при обработке персональных данных.

Классификация системы уточняется при практической реализации с учетом фактического состава и объема регистрируемой информации».

Приложения к стандарту

В приложения к стандарту включаются следующие материалы:

1. Типовой административный регламент.

2. Типовые нормативные правовые акты.

3. Образцы организационно-методических документов.

4. Описание процесса электронного предоставления услуги в нотации {указать наименование нотации}.

5. Общее описание процесса предоставление услуги в нотации {указать наименование нотации} и место электронного способа предоставления в нем (для различных этапов внедрения).

6. Формы документов, принимаемых у Заявителя в электронном виде.

7. Формы документов, предоставляемых получателю услуги.

8. Формы документов, используемых прочими участниками предоставления услуги, в т. ч. при межведомственном информационном взаимодействии.

9. Описания типовых машинных интерфейсов.

10. Используемые классификаторы и словари.

Формы документов

При описании «Форм документов, принимаемых у Заявителя в электронном виде» для каждого документа приводятся:

- структура документа (аннотированная схема в формате XML Schema и графическая схема);

- образец документа (в формате XML и в соответствии с вышеприведенной схемой);

- типовое представление (трансформация электронного документа) для электронной формы заполнения (в форматах Xforms, PDF и т. д.);

- типовое визуальное представление (в формате XSLT);

- образец визуального представления документа (в человекочитаемом виде).

Пример Приложения с формой талона-направления на прием к врачу

___________________________________________  
_________________________________________ Наименование ЛПУ, адрес и телефон регистратуры

ТАЛОН (предварительный*)

на прием к врачу

Номер _______________

Код формы по ОКУД └─┴─┴─┴─┴─┴─┘

1. Фамилия, имя, отчество больного ____________________________________________

___________________________________________________________________________

2. Адрес или № карты амбулаторного больного ___________________________________

___________________________________________________________________________

3. Кабинет № __________________

4. Время приема _________________________ числа, в _______ час., ________ мин.

5. К врачу __________________________________________________________________

(ФИО и специальность врача)

6. Ребенок (0-14 лет включительно), взрослый (от 15 лет и ст.) (нужное подчеркнуть)

7. Повод обращения: заболевание, проф. осмотр, прививка, за справкой, другие причины (нужное подчеркнуть, недостающее вписать) ____________________________________________________

ФИО и подпись врача (медицинского регистратора)_______________________________

□ Требуется предварительное оформление больничной карты

* Перед приемом врача требуется подтверждение талона в регистратуре

Машинные интерфейсы

В приложении «Описание типовых машинных интерфейсов» приводятся:

- описания интерфейсов, подлежащих реализации в рамках перевода услуги в электронную форму;

- описания существующих интерфейсов смежных систем, задействованных при предоставлении услуги;

- описание рекомендуемых способов реализации интерфейсов смежных систем, не существующих на момент ввода стандарта в действие или не соответствующих веб-сервисной архитектуре (справочно).

Для каждого интерфейса приводятся:

- общая документация на интерфейс;

- описание интерфейса в формате WSDL;

- аннотированная схема данных в формате XML Schema (при необходимости);

- для интерфейсов смежных систем, реализованных в архитектуре, отличной от веб-сервисной (унаследованных и специальных интерфейсов), приводится общая документация и применимые формализованные описания.

В состав стандарта должны быть включены электронные версии следующих типов приложений[6]:

- общее формализованное описание услуги (в формате XML);

- описание административных процедур и иных упомянутых в стандарте процессов (в формате BPEL или XPDL);

- схемы данных (XML Schema), типовые трансформации документов (XSLT), образцы документов (в формате XML);

- описания типовых интерфейсов в форматах WSDL;

- словари и классификаторы (XML по форме).

Пример Приложения со схемой административных процессов

Идентификация и аутентификация получателей услуг - student2.ru

Рис. 2. Пример Приложения со схемой административных процессов (типовой стандарт муниципальной услуги «Прием заявок (запись) на прием к врачу...»)

Пример Приложения со схемой данных, используемых при информационном обмене

Справочники ЛПУ (listHospitals)

Вход:

Идентификация и аутентификация получателей услуг - student2.ru

Выход:

Идентификация и аутентификация получателей услуг - student2.ru

Рис. 3. Пример Приложения со схемой данных, используемых при информационном обмене (типовой стандарт муниципальной услуги «Прием заявок (запись) на прием к врачу...»)

4.6 Методические рекомендации по предоставлению приоритетных государственных (муниципальных) услуг

Структура «Методических рекомендаций» (дорожных карт) для каждой государственной (муниципальной) услуги, включенной в Распоряжение № 1993, имеет единый вид:

1. Термины и определения.

2. Целевая модель перехода к предоставлению государственной (муниципальной) услуги в электронном виде.

3. Паспорт государственной (муниципальной) услуги.

4. Описание вариантов предоставления государственной (муниципальной) услуги.

5. Формы и вид обращения Заявителя при получении государственной (муниципальной) услуги.

6. Состав результатов предоставления услуги.

7. Сводные рекомендации по применению базовых сценариев идентификации.

8. Участники предоставления услуги.

9. Описание базовых сервисов, предоставляемых в рамках оказания государственной (муниципальной) услуги в электронном виде.

10. План мероприятий по переводу предоставления государственной (муниципальной) услуги в электронный вид.

11. Анализ рисков при переводе оказания государственной (муниципальной) услуги в электронный вид.

12. Направления расходов при переводе государственной (муниципальной) услуги в электронный вид.

13. Целевые индикаторы и показатели реализации (по годам реализации) перевода государственной (муниципальной) услуги в электронный вид.

14. Целевые индикаторы перехода.

15. Непосредственные результаты перехода.

Наши рекомендации