Круглый стол журнала «Connect! Мир связи»

Дебаты вокруг электронного правительства
В начале марта Минкомсвязи провело первое Всероссийское совещание по вопросу оказания госуслуг в электронном виде. Представители всех 83 субъектов федерации получили конкретные рекомендации по созданию инфраструктуры «электронного правительства». По мере реализации этого проекта повышается градус дискуссий о том, что должно представлять собой электронное правительство.
В длинном перечне задач, решаемых на этапе перевода госуслуг в электронный вид, особое место отводится информационной безопасности. Любое, даже незначительное, упущение в этой сфере может увеличить сроки выполнения работ и подорвать доверие к новому инструменту взаимодействия с государством, дискредитировав саму идею.
При подготовке очередного заседания «круглого стола», организованного Издательским домом Connect, мы заострили внимание на проблеме информационной безопасности в рамках новой ИТ-инфраструктуры в масштабах страны. Интерес к этой теме проявили свыше 40 представителей министерств, ведомств, других государственных органов, холдингов, банков, ИТ-компаний и коммерческих структур. Среди приглашенных к обсуждению экспертов- руководитель ФГУ "ЦСМС" Максим Санько.

В очереди за услугами
   Прежде чем приступить к поиску ответа на вопрос, каким должно быть электронное правительство (ЭП) с точки зрения специалистов по информационной безопасности (ИБ), участники «круглого стола» попытались выяснить, зачем и кому в первую очередь нужно электронное правительство – гражданам, представителям бизнеса или госслужащим? В свете этого собравшихся волновали и вопросы развития сервисов безопасности – какие из них и кому понадобятся в первую очередь?
   Тон разговора задал Борис Вольпе, вице-президент компании «Ситроникс», отметивший, что «едва ли можно выделить приоритетную группу потребителей госуслуг. Электронным правительством как новой платформой, контентом или экосистемой взаимодействия еще предстоит научиться пользоваться всем – чиновникам, гражданам, представителям бизнеса. Новая инфраструктура даст возможность повысить качество жизни граждан. Сегодня для большинства из них получение госуслуг связано с логистическими трудностями, причем независимо от места проживания – в мегаполисе или небольшом поселке».
   «Исследования показывают, – на правах ведущего «круглого стола» взял слово Алексей Сабанов, заместитель генерального директора компании Aladdin, – что гражданин обращается к государству за разными услугами в среднем пять-шесть раз в год, а представители компаний – десятки раз. Основные потоки запросов поступают в госорганы от предприятий. Соответственно, ЭЦП гражданину потребуется не каждый раз, а госслужащим и уполномоченным представителям организаций – в десятки и сотни раз чаще, чем гражданам. Надо разделять необходимость предоставления сервисов безопасности для разных групп участников и развивать сначала только необходимые».
    «Позволю себе не согласиться, – подключился к разговору Игорь Калайда, генеральный директор «Научно-испытательного института систем обеспечения комплексной безопасности». – Количество граждан в нашей стране (более 140 млн), несравнимо с количеством предприятий и частных предпринимателей. Поэтому абсолютное количество запросов, поступаемых от граждан,  больше, чем от бизнес-структур. Но в контексте обсуждаемого вопроса организовать предоставление госуслуг бизнес-структурам, возможно, проще, чем обеспечить оказание аналогичного сервиса физическим лицам – очевидных проблем значительно больше. Чего стоят требования к call-центру, идентификации и т. д.».
   «До 90% операций в рамках электронного правительства, – отметил Сергей Бондарев, начальник управления департамента безопасности Сбербанка России, – можно выполнять самыми простыми инструментами и дать возможность гражданам кардинально сократить  количество посещений госучреждений уже сейчас, когда конечная услуга предоставляется в бумажном виде (справка, свидетельство и пр.). Надо четко разделять промежуточные этапы предоставления госуслуг, не связанные с юридической ответственностью, и как можно шире использовать упрощенные схемы обслуживания. Предлагаю снизить требования по ИБ для граждан и обсудить вопрос, нужна ли ЭЦП каждому гражданину при обращении с любым запросом».
   «Ведя речь об услугах, нельзя забывать о системе принятии решений, которая входит в понятие электронное правительство, – напомнил Георгий Радзиевский, начальник информационно-аналитического отдела департамента информатизации Минздравсоцразвития России. – На мой взгляд, повышение качества принимаемых решений органов власти, поскольку при плохих решениях хорошие услуги не помогут, – ключевая составляющая формируемой системы. Столь же важным считаю наличие цифровой подписи, которая нужна всем гражданам, иначе дальше этапа скачивания бланков документов при создании «электронного правительства» мы не продвинемся.
   По мнению Бориса Шарова, генерального директора компании «Доктор Веб», государство как поставщик услуг должно быть заинтересовано в их предоставлении. Важно наличие конкуренции и ответственности перед потребителем. Наиболее актуальным сегодня является вопрос – услуги какой категории потребителей государство будет заинтересовано оказывать в первую очередь? На более выгодном направлении они и внедряться будут быстрее».
   На вопросе правового статуса государственной услуги в электронном виде заострила внимание Надежда Исакова, начальник аналитического отдела департамента электронных административных регламентов компании «Ай-Теко».
   «Если государство выступает в качестве поставщика услуг, оно становится равноправным субъектом гражданских правоотношений, которые регулируются главой 39 ГК РФ, поскольку отдельного определения государственной услуги в законодательстве нет. Гражданским кодексом установлены устная или письменная формы совершения сделок. Электронная форма заключения  договоров, в том числе по оказанию услуг, ГК РФ не зафиксирована. И пока ГК либо специальным законом не будут установлены особенности государственной услуги, не будет определено, что такое электронный документ и каков его статус, каков статус информационных систем и баз данных, бумажный документ будет иметь преимущество над электронным носителем, и электронная форма совершения сделок будет, по сути, не легитимной. И мы не сдвинемся с мертвой точки, в том числе в решении проблемы информационной безопасности электронного правительства».
    «Стоит заметить, что действующее законодательство не определяет и понятия «государственная услуга», – взяла слово Людмила Абламская, директор отделения консалтинга компании «ФОРС – Центр разработки». – В Бюджетном кодексе говорится примерно следующее: государственная услуга – это деятельность, совершаемая в соответствии с государственным заданием, которое составляется в отношении государственной услуги. В законопроект о госуслугах включено определение, очень напоминающее сформулированное в упомянутом кодексе. На фоне такого терминологического вакуума возникают проблемы, например, при систематизации и составлении разного рода реестров».

   «По всей видимости, за этим «круглым столом» я представляю категорию граждан, которые в наибольшей степени заинтересованы в создании «электронного правительства», – сказал Максим Санько, руководитель ФГУ «Центр системы мониторинга рыболовства и связи» Росрыболовства. – У рыбаков, которые месяцами находятся вдали от дома, физически нет возможности посещать те или иные госучреждения, при этом решать личные бытовые вопросы, например, связанные с имуществом, им тоже приходится. Обеспечить им волеизъявление путем электронного голосования – также важная задача. Другая сторона вопроса – реализация нормативно-распорядительных и контрольно-надзорных функций в области организации рыболовства, скажем, информирование капитанов судов о внесении изменений в нормативно-правовые документы, касающихся непосредственно порядка и условий осуществляемого в данный момент промысла. В связи с этим возникают вопросы, в том числе на уровне межведомственного взаимодействия, например, таможенных и пограничных служб, а также вопросы защищенности каналов связи. Когда судно находится в море, единственный доступный канал передачи данных – спутниковый. Так что существует целая отрасль, для которой вопрос создания электронного правительства чрезвычайно актуален».
   По мнению Вадима Вохмянина, первого заместителя начальника департамента информатизации и корпоративных процессов управления ОАО «РЖД», «в первую очередь граждане заинтересованы в услугах, предоставляемых на муниципальном уровне. Как показывает зарубежный опыт, на основе перечня наиболее востребованных услуг для начала важно обеспечить внедрение одного-двух сервисов, предназначенных для всех категорий потребителей. Например, услугу регистрации недвижимости, как это было сделано в Германии. Чтобы эта система функционировала, госучреждениям нужно оптимизировать внутренний документооборот. Тогда и затраты на создание ЭП будут гораздо ниже, и количество электронных услуг станет меньше на два-три порядка. Однако для этого государство должно быть заинтересовано в оптимизации своих расходов, чего пока, к сожалению, не наблюдается».
   «На мой взгляд, ничего не мешает развивать госуслуги параллельно по всем направлениям – и для граждан, и для бизнеса, – полагает Николай Мельников, заместитель руководителя ФНС России. – Что касается защиты информации, то следует обеспечить применение единого стандарта. Есть, конечно, соблазн понизить требования применительно к услугам, оказываемым гражданам, упростив электронный документооборот. Но в таком случае со временем мы будем вынуждены резко ограничить перечень операций и услуг. А если установим общий уровень требований по ИБ, то сможем предоставить широкий спектр услуг, в том числе и тех, что появятся в будущем. Согласен с тем, что всем госучреждениям предстоит оптимизировать документооборот. В связи с этим предлагаю в регламентах работы с населением, юридическими лицами предусмотреть положения об электронном обмене данными, необходимыми для предоставления госуслуг. Если ведомству требуется официальный документ из другого госучреждения, то запрашивать его следует не у гражданина или представителя бизнеса (на что следует установить строгий запрет), а напрямую в организации, которая его выдает. Но для этого необходимо, чтобы каждое должностное лицо, участвующее в документообороте, имело средства аутентификации и ЭЦП».
   «На самом деле, гражданину от государства нужно не так много, – подключился к разговору Виктор Гаврилов, первый заместитель начальника управления Центра защиты информации и специальной связи ФСБ России. – Практически все бумаги, которые мы вынуждены с таким трудом получать, требуются не гражданам, а различным госорганам. Концепция «электронного правительства» предусматривает, что госорганы сами будут получать необходимую информацию у других госорганов, однако вопрос не до конца проработан. По сути, электронное правительство направлено на решение трех больших задач – электронный документооборот, оказание услуг гражданам и повышение эффективности госуправления. Последняя задача обусловливает необходимость пересмотра отдельных функций госорганов и регламента их деятельности. Сегодня некоторые министерства и ведомства такие регламенты утвердили, но насколько эти регламенты согласуются друг с другом и предусматривают межведомственное взаимодействие при оказании услуг гражданам, – вопрос открытый.
   Я согласен с мнением многих выступавших, что правовое обеспечение, связанное с тремя задачами электронного правительства, явно недостаточное. Без этого решать какие-либо проблемы, как технологий, так и безопасности, просто бессмысленно. Понятие электронного документооборота введено, регламент межведомственного электронного документооборота утвержден распоряжением Правительства, однако предметное содержание документооборота ничем не определено. Под видом межведомственного электронного документооборота зачастую внедряется обычный обмен электронными сообщениями. Ни вопросы архивирования, ни вопросы учета движения документов не рассматриваются вообще, хотя на рынке много неплохих продуктов, которые реализуют любые функции электронного документооборота. Необходимо определить, какие из них нужны в госуправлении и зафиксировать это на федеральном уровне в виде техрегламента или распоряжения.
   Что касается информационной безопасности «электронного правительства», то, на мой взгляд, наиболее важное звено здесь – это социальные карты. Их количество будет сравнимо с численностью населения, причем нужно учитывать, что эти карты будут использоваться не только для получения госуслуг, но и в качестве платежного средства, проездного документа и т. д. Любая ошибка в разработке социальной карты приведет к немыслимым затратам. Вторая по значимости задача – обеспечение целостности информационных ресурсов, она даже более важна, чем обеспечение конфиденциальности. Следующая задача – решение проблемы идентификации/аутентификации. И затем уже следует вопрос доступности услуг.
   Подход к уровню информационной защиты при оказании электронных услуг должен быть дифференцированным в зависимости от того, о каких услугах идет речь. Для доступа к стандартным бланкам заявлений никакой защиты не нужно. Если же выдается юридически значимый документ с цифровой подписью, уровень защиты должен быть самым высоким, как и уровень защиты баз данных, на основании которых такие документы выдаются».
   Продолжая тему защиты информации при оказании электронных услуг, Сергей Ададуров, генеральный директор ОАО «НИИАС», отметил, что «как только возникает юридически значимый информационный обмен между государством или юридическим лицом и гражданином, необходима, как минимум, электронная цифровая подпись. Об этом свидетельствует и опыт РЖД».
Архитектура национальной системы доверия
   Сергей Муругов, генеральный директор компании «Топ Кросс», предложил подойти к разговору об архитектуре национальной системы доверия (на основе PKI) прагматически: вспомнить академические модели и обсудить, чем может обернуться принятие каждой из них. Наиболее приемлемый для нашей страны вариант, по его мнению, – это браузерная модель или модель доверенных списков, которую предпочли страны Евросоюза, издавшие соответствующий стандарт. «Преимущества этой модели для России в том, что не требуется разрушать уже созданные и обеспечивается задел на будущее. Ставка на систему удостоверяющих центров неоправданна, так как это фактически элемент системы идентификации, не более того. Услуга – широкое понятие, предполагающее наличие штампов времени, электронного нотариуса и службы атрибутирования. По международному стандарту Х.842, доверенных сервисов штук 14, один из которых – удостоверяющий центр. Модель доверенных списков более перспективна и в части трансграничного обмена. Ряд коммерческих организаций уже работают в данном направлении. Так что мое предложение по построению национальной инфраструктуры – несколько защищенных, доверенных сервисов, а не только сеть удостоверяющих центров».
   По мнению Игоря Задворнова, генерального директора ФГУП «ГНИВЦ ФНС России», «национальная система доверия должна быть единой. Не столь принципиально, что именно будет положено в ее основу – кросс-сертификация или траст-листы. Главное – наличие координатора и единых требований, предъявляемых к этой системе доверия. Создавать ее можно на основе уже существующих систем, но при обязательной централизации. В системе ФНС России работает сеть доверенных удостоверяющих центров, которая уже включает в себя более 80 удостоверяющих центров». В дополнение к словам Игоря Задворнова заметил Николай Мельников, заместитель руководителя ФНС России, «все удостоверяющие центры имеют лицензии ФСБ на осуществление своей деятельности. Кроме того, ФНС России дополнительно внедрила процедуру аттестации удостоверяющих центров, которая позволит повысить надежность, а также безопасность услуг, поставляемых с использованием аттестованных в сети доверия ФНС России удостоверяющих центров. И если рассматривать это как некий «остров», я считаю, что при принятии решения Правительства о создании единой сети доверенных удостоверяющих центров наш «остров» туда плавно войдет».
   «Ведомственные удостоверяющие центры продолжают развиваться, – обратил внимание собравшихся ведущий Алексей Сабанов. – Но, как уже говорилось, одних удостоверяющих центров недостаточно, нужны доверенные сервисы в рамках национальной инфраструктуры, в том числе кроме широко известных – DVCS, штампы времени и т. д., атрибутные сертификаты. Ведь удостоверяющие центры – это фактически отделения милиции, которые лишь выдают сертификат ключа подписи. Простое расширение спектра функций удостоверяющего центра не даст должного эффекта».
    «Не стоит забывать о том, – к разговору подключился Владимир Мамыкин, директор по информационной безопасности Microsoft в России, – что доверенная организация и доверенный сервис – разные вещи. К примеру, милиция – хорошая доверенная организация, которая выдает нам паспорта, водительские удостоверения. Но сервисы, которые она нередко оказывает, – категорически недоверенные. Мы знаем, что многие люди пользуются поддельными, купленными автомобильными правами и т. д. Такой сервис недоверенный, несмотря на то, что организация абсолютно доверенная. В этом и заключается одна из проблем. Почему бы часть сервисов не предоставлять через терминалы по оказанию госуслуг, например банкоматы? К тому же не у каждого дома есть необходимое оборудование для получения услуг в электронном виде».
Идентификация и аутентификация
   По мнению большинства собравшихся специалистов, верхним уровнем идентификации является аутентификация – подтверждение подлинности идентификатора с применением, как правило, криптографических преобразований. Наиболее удобным механизмом для этого считается ЭЦП. Одна из возможных реализаций такого подхода – социальная карта. Без решения вопросов надежной идентификации граждан оптимизировать работу ведомств невозможно, что иллюстрирует пример с получением материнского капитала. Прежде чем предоставить женщине возможность воспользоваться этим правом, соответствующая служба вынуждена рассылать массу запросов, чтобы выяснить, проживает ли такая гражданка по указанному адресу, действительно ли у нее родился ребенок, не получала ли она уже данное пособие и т. д.?
    «Большое количество проблем в этой связи обусловлено отсутствием в нашем государстве единой системы идентификации населения, – уверен Сергей Бондарев. – Такие системы – аналоги американского SIN (Social Insurance Number) – существуют во многих странах. Единый номер в регистре населения присваивается человеку с момента его рождения либо получения права на жительство в данной стране и сохраняется за ним на протяжении всей жизни. Все предоставляемые услуги оказываются и информационно наполняются с привязкой к этому номеру, который, кроме того, помогает агрегировать информацию по каждому гражданину, необходимую для предоставления ему комплексной услуги. Ведомству достаточно разослать соответствующие веерные запросы. Этот идентификатор работает фактически неограниченно во времени. Нам же предлагается идентификатор, включающий в себя дату и место рождения, фамилию, имя, отчество, номер паспорта. Эти данные могут поменяться, разом нарушая взаимосвязи. Работа с таким идентификатором затратна по требуемым вычислительным ресурсам, не контролирует ошибки при его вводе и создает лишние затраты персонала.
   Идентификация необходима, в том числе, и при работе с ЭЦП, чтобы учитывать сертификаты, и публиковать CRL-списки. В масштабах страны, где миллионы записей, все это нужно делать оперативно. Следовательно, требуется простой и полноценный идентификатор, аналог SIN. В нашей стране действует более 100 ведомственных систем идентификации, а ведь достаточно одной. На мой взгляд, наиболее готова к промышленному применению в масштабах всей страны система идентификации Пенсионного фонда на базе СНИЛС (страховой номер индивидуального лицевого счета застрахованного лица). Если бы все министерства и ведомства приняли его в качестве единого идентификатора, это обеспечило бы необходимую прозрачность информационного обмена. Такой способ практикуют другие страны. У нас же принятие решения тормозится под весьма надуманными, на мой взгляд, предлогами».
   «Не могу согласиться с тем, что СНИЛС – оптимальный вариант в данном случае, – возразил Николай Мельников, заместитель руководителя ФНС России. – Этот номер на основе персонального учета присваивается в первую очередь работающему населению. На мой взгляд, ИНН более универсален, поскольку для него законодательной базой является Налоговый кодекс, обязывающий многие ведомства предоставлять сведения, в том числе в связи с их изменением, в налоговые органы. В настоящее время это целостная, достаточно полная система, которая применима и для идентификации граждан. В базах данных нашего ведомства более 120 млн ИНН физических лиц. Эту информацию мы можем использовать для работы с госорганами. Вторая задача, которую предстоит решить, – формирование единого адресного пространства. После аутентификации гражданина в системе ЭП нужно оперативно определить, какой орган и на какой территории обязан обработать этот запрос. Без структурированного адресного пространства решить данную задачу не удастся. У многих ведомств свои адресные пространства. Наша служба совместно с «Почтой России» использует ведомственный классификатор КЛАДР. Мы не раз призывали министерства и ведомства применять его в работе со своими системами. КЛАДР позволяет четко определить код муниципального образования, к которому относится данный адрес, а значит, и орган госвласти на соответствующей территории».
   «В эту систему следует включить судебные органы, – добавил Максим Санько, – ведь часть юридически значимых фактов, в том числе установление и ограничение дееспособности гражданина, признание его безвестно отсутствующим или умершим, определяется только на основании вступившего в силу решения суда».
   Обратиться к опыту получения виз на основе SMS-сообщения в виде стандартной анкеты, направленного в консульство страны, которую собираешься посетить, предложил еще один участник «круглого стола». В случае положительного решения анкета, подписанная ЭЦП, возвращается отправителю. Служба погранконтроля по прибытии в страну посещения считывает SMS, проверяет подпись, паспортные данные и проставляет визу. Таким образом, гражданину не нужно являться в консульство лично. Хотя действуют и альтернативные способы получения виз.
   «По аналогии с этим и госуслуги могут оказываться в разных вариантах, – считает Виктор Гаврилов, первый заместитель начальника управления Центра защиты информации и специальной связи ФСБ России. – Мы стремимся к тому, чтобы по каналам связи получить документ, имеющий юридическую силу. Но, наверное, сохранятся в прежнем виде и госуслуги, когда запрос направляется по электронной почте, а итоговый документ выдается в бумажном виде. Технологию, по которой процедура заканчивается личной явкой в госучреждение, не надо сбрасывать со счетов, а тогда и не стоит морочить гражданину голову всякими средствами защиты».
   На еще одну проблему, касающуюся идентификации представителей юридических лиц, обратила внимание Надежда Исакова. «По действующему законодательству ЭЦП – это атрибут физического лица, в том числе, если речь идет о представителе юридического лица. И если юридическое лицо обращается с просьбой предоставить сведения ограниченного доступа, должно быть подтверждение, что физическое лицо, которое непосредственно обращается за данными сведениями, имеет прямое отношение к юридическому лицу. Получается, что должна прилагаться выписка из Единого государственного реестра юридических лиц. Эта выписка должна быть кем-то тоже удостоверена. ЭЦП соответствующего органа? На мой взгляд, представители юридических лиц заинтересованы в ЭЦП, впрямую определяющей, что заявитель – физическое лицо представляет данное юридическое лицо».
   «Оборотная сторона этой проблемы – удостоверение результатов оказания услуг государственным органом, – подключился к разговору Анатолий Вилков, технический директор департамента электронных административных регламентов компании «Ай-Теко». – Напомню, что ежедневно правительственные организации Москвы направляют в Росреестр большое количество запросов. Абсолютный рекорд – 384 тыс. запросов в день. Выдаваемые юридически значимые документы должны быть подтверждены электронно-цифровой подписью. Встает вопрос о расширении понятия ЭЦП до механизма или устройства, позволяющего организации, оказывающей услугу в электронном виде, подтвердить факт легитимности, юридической значимости документа, подготовленного в результате предоставления услуги именно этой организацией. По мере развития ЭП потребуется групповая или ведомственная идентификация, подтверждающая достоверность услуг. Вместе с этим возникает масса смежных вопросов, касающихся, в частности, легитимности баз данных, наделения их определенным статусом, который пока не урегулирован».
   Разговор об универсальной социальной карте Георгий Радзиевский, начальник информационно-аналитического отдела департамента информатизации Минздравсоцразвития России, начал с утверждения, что данная карта – не панацея. Позиция Минздравсоцразвития такова, что использовать цифровые идентификаторы, в том числе СНИЛС, нужно (несмотря на то, что по их поводу пока не найден консенсус со многими религиозными организациями), но основой для удостоверения личности человека должны быть паспорт и та информация, которая в нем содержится. А универсальная социальная карта может содержать дополнительную информацию и служить средством доступа к определенным услугам, в том числе государственным. «Мы предполагаем, что карта будет содержать платежное приложение, определенную медицинскую информацию и другие возможности – в зависимости от технологии карты. В начале следующего года, вероятно, будет готова концепция, в которой все это будет подробно прописано». Еще один важный вопрос – срок жизни универсальной карты. «Это один из вопросов, который мы прорабатываем, и думаем, что карта обязательно должна прослужить три–пять лет».
   Чтобы не изобретать колесо, Сергей Муругов предложил изучить опыт других стран в сфере национальной идентификации. Например, в Польше используется серийный номер имени, в Эстонии карточка с фотографией служит документом, удостоверяющим личность, каждому гражданину присвоен номер из 11 цифр. При этом человеку достаточно помнить последние три. И тогда даже у полиции не возникает проблем с идентификацией личности, например, в случаях, когда у автолюбителя, остановленного на шоссе, не оказалось при себе прав.
Какие правовые акты необходимо подготовить для реализации бизнес-процессов в программе ЭП? Какие отношения они должны регулировать?
   Анатолий Вилков: Нужны некие механизмы групповой или ведомственной идентификации, с помощью которых организация, оказывающая электронные услуги, могла бы подтверждать легитимность своей деятельности, своих баз данных и юридическую значимость документа, предоставленного в результате оказания услуги. Пока такого понятия нет ни в законодательстве, ни в практике. Но чем дальше пойдет автоматизация процессов взаимодействия и оказания услуг, тем острее будет становиться проблема.
   Виктор Гаврилов: До сих пор не урегулировано как следует содержание электронного документооборота. Регламент межведомственного электронного документооборота определяет, что электронный документооборот включает в себя жизненный цикл документа. В ряде документов говорится о том, что электронные архивы ведутся «по аналогии с бумажными», однако используются другие технологии. На основании архива времен Петра I опытный графолог и сегодня может сказать, что эта подпись самого Петра, а эта Меньшикова. А как быть с электронным документом? Когда через семь лет будут уничтожены сертификаты электронных ключей, документ окажется неподписанным. И тогда, я обращаюсь к коллегам из Росрегистрации, не придут ли к вам домой и не скажут ли, что в этой квартире проживают другие люди? Много примеров, когда бумажный документ не переводится напрямую в электронный. Довольно часто говорится, что первый экземпляр отдается туда-то, а второй подшивается в дело. А как различить первый и второй экземпляры электронного документа?
   Надежда Исакова: Нужно ввести понятие электронного документа и электронной подписи как элементов гражданско-правовых, административных и иных отношений. Как только такие поправки будут внесены в основополагающие кодексы, законы за ними подтянутся. В этом ключ к решению проблемы нормативно-правового регулирования применительно к электронному правительству.
   Борис Шаров: Антивирусная практика показывает, что на любой документ можно поставить любую подпись при наличии вируса. И вопрос не в том, пользуемся ли мы антивирусными программами, а в том, как компетентные органы относятся к этой проблеме, прекрасно понимая, что ни одна антивирусная программа не гарантирует 100%-ной защиты. Когда мы ставим подпись на бумажном документе, у нас один посредник – ручка. А применительно к электронному документу мы лишь на клавиши нажимаем собственноручно, а в остальном действуем через посредника в виде операционной системы.
   Виктор Гаврилов: Рабочее место, на котором производится ЭЦП, как элемент автоматизированной системы должно быть аттестовано по требованиям безопасности. Причем с точки зрения не только использования сертифицированного средства ЭЦП, но и других проблем по безопасности. Класс, по которому осуществляется аттестация, определяется масштабом угрозы.
Как обеспечить интероперабельность, единообразие в электронных реестрах, кадастрах, регистрах, технологиях и системах защиты информации, а также унифицированный обмен? Нужно ли вводить стандарты ИБ или достаточно признать европейские? Можно ли
в данном случае ограничиться требованиями?
   Владимир Мамыкин: С интероперабельностью проблемы нет – веб-сервисы показали, что любые системы работают. Наши российские алгоритмы шифрования не противоречат международному стандарту обеспечения безопасности веб-сервиса. Вопрос в том, надо ли заводить в эти рамки всех? Оптимальный вариант – выработать нормы, которым надо следовать не только применительно к веб-сервисам, но и к новым, которые появятся в будущем.
   Игорь Калайда: Неоднократно предпринимались попытки следовать международным стандартам, но всякий раз от этой идеи отказывались, мотивируя решение российской спецификой, которую и сформулировать-то толком не удается. Поэтому, вряд ли в ближайшее время, нам суждено быть свидетелями применения  международных стандартов в России. Сложно сказать, какую форму – стандарта, руководящего документа или технического регламента – следует придать требованиям в области электронного правительства, пока не создана инфраструктура. Что касается использования отраслевых стандартов, то это удобная форма формулирования требований, учитывая сокращенные сроки их внедрения.
   Однако регламенты или национальные стандарты все же должны быть, и разрабатывать их необходимо, поскольку на стадии проектирования архитектуры важно закладывать, в том числе, национальные требования по ИБ.
   Сергей Муругов: Есть директива ЕС об электронной подписи, большое количество стандартов (в частности, профили сертификатов, профили и форматы сигнатуры, атрибутные сертификаты). У нас в стране пока нет ни одного стандарта, и даже координатор не определен.
Можно ли поручать коммерческим структурам исполнение части государственных услуг?
Каким требованиям должны отвечать эти структуры? Платными или бесплатными должны быть госуслуги?
   Сергей Миронов, начальник отдела информационной безопасности ЦА ФНС России: На практике возможны два способа: полное оказание госуслуги, когда коммерческая организация предоставляет услугу, не привлекая государственный орган, и посредничество, когда бизнес-структура берет на себя выполнение ряда функций в рамках оказания услуг государственным органом. В первом случае существуют как минимум два ограничения: согласно Налоговому кодексу, информация, полученная от налогоплательщика, является налоговой тайной, ограничения на ее передачу установлены ст. 102 НК. В рамках коммерческих организаций возможна передача только с письменного согласия налогоплательщика, но в связи с многомиллионным количеством налогоплательщиков сбор таких согласий – фактически невыполнимая задача. Другое ограничение накладывается ФЗ № 152 «О персональных данных», согласно которому передача сведений третьей стороне возможна только с письменного согласия субъекта персональных данных. Следовательно, такой способ оказания услуг, за исключением общедоступных сервисов в рамках ФНС России, неприменим. Что касается посредничества, то в ФНС России это практикуется в рамках приема налоговой отчетности. Спецоператоры обеспечивают предоставление и сопровождение криптографических средств и прикладных систем, выдачу носителей и сертификатов ключей подписи.
   Сергей Муругов: Госуслуги – это фактически подмножество государственных функций. Мы платим налоги, чтобы государство их выполняло. Таким образом, плата за госуслуги – это повторное собирание денег с граждан. Государство и сегодня бизнесмен на самом деле, а с введением электронного правительства станет еще большим монополистом. Достаточно вспомнить выписки из ЕГРЮЛ, которые требуются каждый месяц и стоят денег. Если говорить о возможностях коммерческих структур, то часть функций можно передать на аутсорсинг, но отвечать за их предоставление и обеспечивать взаимодействие с населением должно государство. За счет государственного финансирования. Пусть работают наши налоги.
   Владимир Мамыкин: Решить вопросы информационной безопасности, как и проблему оказания госуслуг в электронном виде, без партнерства государства с коммерческими организациями нельзя. Бесплатность госуслуг – спорный вопрос. Деньги в данном случае служат своего рода барьером, позволяющим человеку понять, нужна ему, например, справка из БТИ, или нет.
   Надежда Исакова: Поскольку государство вышло на рынок как поставщик услуг, принцип платности неизбежен. Можно предусмотреть исключения для некоторых категорий заявителей. При этом следует различать цели потребления предоставляемой информации. Если она запрашивается для личного пользования или ведения бизнеса, то ничего страшного в том, что госуслуга платная. Но нельзя допустить, чтобы государство заставляло брать справку из одного ведомства для представления в другое ведомство. В этом случае речь должна идти  о налаживании межведомственного взаимодействия. Можно ли поручить исполнение части госуслуг бизнес-структурам? Да, можно. Государство выступает как субъект гражданских правоотношений. И, следовательно, вправе передавать свои полномочия по осуществлению прав и обязанностей любому лицу, в том числе бизнес-структуре. Наше государство в этом отношении ориентируется на две категории организаций: автономное государственное учреждение либо государственное унитарное предприятие.
   Валерий Исаев, заместитель начальника управления по защите информации ПФР России: Законодательством Российской Федерации предусмотрена сдача в Пенсионный фонд Российской Федерации страхователями отчетности в электронной форме с ЭЦП при наличии работников 100 и более человек. Страхователей у нас в стране около 5 млн. Государственная услуга по предоставлению ЭЦП этим страхователям в субъектах Российской Федерации практически отсутствует. Страхователи с помощью территориальных органов ПФР в целях применения ЭЦП используют инфраструктуру коммерческих УЦ на договорных условиях. Оплата указанных услуг производится страхователями за счет собственных средств.
   Сергей Муругов: В Польше с ее 40 млн населения всего три удостоверяющих центра на всю страну. Покрытие или проникновение по числу выданных сертификатов выше, чем у нас. Если подойти к решению этой проблемы прагматически, то на всю Россию было бы достаточно десятка удостоверяющих центров.
   Георгий Радзиевский: В европейских и далеко не самых бедных странах есть платные госуслуги. Объясняется это тем, что определенные запросы требуют большого объема работы по сбору информации, в том числе анализа. Естественно, такие услуги должны быть оплачены и для того, чтобы нас не завалили бесчисленными обращениями. Ничего плохого нет и в аутсорсинге госуслуг, передаче части запросов и обращений граждан в специализированные фирмы, которые справятся с этой работой лучше чиновников.
   Людмила Абламская: Говорить об отмене платежей при оказании государственных (муниципальных) услуг можно с учетом следующих обстоятельств. Во-первых, одним из видов платежей является государственная пошлина, а это – налог. Отмена платежей в этом случае эквивалентна отмене налога, а этот вопрос находится в плоскости налогового законодательства. Во-вторых, в случае, когда платеж за оказание услуги не является государственной пошлиной, он обусловлен необходимостью компенсации затрат, понесенных в ходе оказания услуг «третьей стороной» – не государством. Так, при выдаче лицензий на осуществление потенциально опасной деятельности проверяется, соответствует ли соискатель лицензии и его производство требованиям, установленным государством. Устанавливая требования, государство обеспечивает гарантии жизни и здоровья граждан. Проверка соответствия соискателя лицензии установленным требованиям часто осуществляется специализированными, как правило, коммерческими организациями, имеющими государственную аккредитацию. Оплата их работ и составляет платеж за оказание государственной услуги. Если предусматривать в госбюджете средства на оплату услуг специализированных организаций, то нужно понимать, что за выдачу лицензий мы все понемногу заплатим (как налогоплательщики), тогда когда выгодоприобретателем является только лицензиат. Механизм перераспределения финансовой ответственности здесь представляется несправедливым.
   Еще один случай платности государственных или муниципальных услуг довольно редок, тем не менее, хочется его упомянуть. Это случай, когда услуга оказывается тому гражданину, который формально не подпадает под категорию ее получателя. Например, услуги социального обслуживания граждан на дому при определенных обстоятельствах могут быть предоставлены не только льготным категориям граждан, но и на условиях платности. В этом случае государство могло бы успешно конкурировать с предпринимательским сектором естественным образом, влияя на рыночные цены.
   Денис Батраков, консультант по информационной безопасности компании IBM: Как и каждому гражданину нашей страны, мне приходится собирать справки. Любопытно, что справка об отсутствии недвижимости в Чехове выдается бесплатно, причем на бумаге с голограммой, с защитой от подделки. А такая же справка на Кутузовском проспекте – за деньги и это обычная распечатка. Необъяснимый факт. При обсуждении за этим «круглым столом», на мой взгляд, витал в воздухе, но не прозвучал главный вопрос: как обеспечить единые стандарты предоставления государственных услуг в рамках электронного правительства на всей территории страны.

В обсуждении приняли участие:
Людмила АБЛАМСКАЯ, директор отделения консалтинга компании «ФОРС – Центр разработки»
Сергей АДАДУРОВ, генеральный директор ОАО «НИИАС»
Денис БАТРАКОВ, консультант по информационной безопасности компании IBM
Сергей БОНДАРЕВ, начальник управления департамента безопасности Сбербанка России
Анатолий ВИЛКОВ, технический директор департамента электронных административных регламентов компании «Ай-Теко»
Борис ВОЛЬПЕ, вице-президент по маркетингу и развитию бизнеса компании «Ситроникс»
Вадим ВОХМЯНИН, первый заместитель начальника департамента информатизации и корпоративных процессов управления, ОАО «РЖД»
Виктор ГАВРИЛОВ, первый заместитель начальника управления Центра защиты информации и специальной связи, ФСБ России
Олег ДРУЖИН, заместитель начальника Управления телекоммуникационных систем, ФГУП «Предприятие по поставкам продукции Управление делами Президента РФ»
Игорь ЗАДВОРНОВ, генеральный директор ФГУП «ГНИВЦ ФНС России»
Валерий ИСАЕВ, заместитель начальника управления по защите информации ПФР России
Надежда ИСАКОВА, начальник аналитического отдела департамента электронных административных регламентов компании «Ай-Теко»
Игорь КАЛАЙДА, генеральный директор «Научно-испытательного института систем обеспечения комплексной безопасности»
Владимир МАМЫКИН, директор по информационной безопасности, Microsoft в России
Николай МЕЛЬНИКОВ, заместитель руководителя ФНС России
Сергей МИРОНОВ, начальник отдела информационной безопасности ЦА ФНС России
Александр МИТРОФАНОВ, заместитель начальника отдела Управления ФСТЭК России
Сергей МУРУГОВ, генеральный директор компании «Топ Кросс»
Евгений НИКИТИН, руководитель направления, отдел информационной безопасности систем проекта, офис управления проектом «Электронное правительство», «Ростелеком»
Владимир ПОИХАЛО, начальник отдела информационной безопасности Федерального фонда обязательного медицинского страхования
Обсуждение вопросов Круглого стола в блиц-формате
Андрей ПЛАТИЦЫН, начальник  отдела информационной безопасности систем проекта, офис управления проектом «Электронное правительство», «Ростелеком»
Георгий РАДЗИЕВСКИЙ, начальник информационно-аналитического отдела департамента информатизации Минздравсоцразвития России
Максим САНЬКО, руководитель ФГУ «Центр системы мониторинга рыболовства и связи» Росрыболовства
Борис ШАРОВ, генеральный директор компании «Доктор Веб»

Итоговый документ

   1. Для успешной реализации проекта «Электронное правительство» необходима разработка нормативной правовой базы в части общих правовых, организационных и технологических условий предоставления государственных и муниципальных услуг в электронном виде. Типичным примером недостаточного правового обеспечения является отсутствие юридического понятия электронного документа.
   2. В опубликованных документах по построению электронного правительства вопросы информационной безопасности учтены не в полной мере. На стадии реализации проекта это может привести к таким инцидентам, как нарушение прав граждан на получение услуг, нарушение конфиденциальности, подмена сайтов или документов в электронном виде при выполнении государственными органами своих функций и оказании услуг. В случае даже единичного взлома, ставшего достоянием широкой общественности, доверие граждан и предприятий к электронному правительству может быть подорвано, что увеличит период перевода государственных услуг в электронную форму. К обсуждению документов по электронному правительству в части информационной безопасности целесообразно привлечь квалифицированных специалистов.
   3. В России отсутствует единая система идентификации населения, не определен единый идентификатор. Для участников информационного обмена (граждан, юридических лиц, госслужащих) не определены требования к идентификаторам для получения государственных услуг. Участники «круглого стола» считают, что требования к аутентификации граждан при их запросах на госуслуги в ряде случаев (не имеющих юридических последствий) могут быть понижены (главное – идентифицировать гражданина). А требования к аутентификации уполномоченных лиц предприятий и чиновников должны быть строго зафиксированы – аутентификация должна быть взаимной (клиент – сервер) и двухфакторной с применением криптографических функций.