Единая система идентификации и аутентификации

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Единая система идентификации и аутентификации
Изображение логотипа
URL esia.gosuslugi.ru
Коммерческий нет
Тип сайта портал
Язык (-и) русский
Расположение сервера  Россия
Владелец Минцифры России
Начало работы 2010
Текущий статус работает

Федеральная государственная информационная система «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (ЕСИА) — информационная система в Российской Федерации, обеспечивающая санкционированный доступ участников информационного взаимодействия (граждан-заявителей и должностных лиц органов исполнительной власти) к информации, содержащейся в государственных информационных системах и иных информационных системах[1]. Оператор системы — Минцифры России[1].

Условно ЕСИА можно назвать «электронным паспортом» гражданина РФ. С её помощью происходит авторизация на таких сайтах как Госуслуги и Российская общественная инициатива. Для получения учётной записи ЕСИА необходимо удостоверить свою личность с помощью паспортных данных и СНИЛС[2].

Основные функции

[править | править код]

К основным функциональным возможностям ЕСИА относятся:

  • идентификация и аутентификация пользователей
  • управление идентификационными данными
  • авторизация уполномоченных лиц органов исполнительной власти при доступе к функциям ЕСИА
  • ведение информации о полномочиях пользователей в отношении информационных систем[3].

За создание ЕСИА отвечает ПАО «Ростелеком»[4]. Непосредственным исполнителем работ по развитию ЕСИА в разные годы выступали компании AT Consulting[5], R-Style[6], «РТ лабс» и «Реак софт»[7]. По некоторым данным, развитием ЕСИА в 2011—2015 гг. занималась одна и та же команда разработчиков[8].

История создания

[править | править код]

2010 — Создание системы. Первоначально ЕСИА обеспечивала возможность регистрации физических лиц на Едином портале государственных услуг (ЕПГУ). Идентификация и аутентификация пользователей при доступе к ЕПГУ осуществлялась по паролю[9].

2011 — Обеспечен доступ не только к ЕПГУ, но и к региональным порталам государственных услуг, web-приложениям электронного правительства. Обеспечена возможность регистрации не только физических лиц, но и индивидуальных предпринимателей, юридических лиц и должностных лиц юридических лиц. Поддержка нового способа идентификации и аутентификации — по электронной подписи[9].

2012 — Разработана система ведения реестров должностных лиц органов исполнительной власти и их полномочий, информационных систем органов исполнительной власти[10]. Обеспечена возможность идентификации и аутентификации пользователей при доступе к информационным системам участников взаимодействия с ЕСИА[9].

2013 — Постановлением Правительства Российской Федерации от 25 января 2013 года № 33 «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг» предусмотрено создание в ЕСИА регистра органов и организаций, имеющих право создания (замены) и выдачи ключа простой электронной подписи в целях оказания государственных и муниципальных услуг. Однако информация о сроках исполнения данного постановления и появлении соответствующих функциональных возможностей в ЕСИА отсутствует.

2014 — Распоряжением Правительства РФ от 9 июня 2014 года № 991-р «Об утверждении плана мероприятий („дорожной карты“) по реализации Концепции развития механизмов предоставления государственных и муниципальных услуг в электронном виде, утверждённого распоряжением Правительства РФ от 25.12.2013 № 2516-р» предусмотрено, что должна быть обеспечена интеграция официальных сайтов и порталов федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления, используемых в процессе предоставления приоритетных услуг, с единой системой идентификации и аутентификации. Предусмотрено, что с I квартала 2015 года единая система идентификации и аутентификации (ЕСИА) должна использоваться для регистрации и аутентификации пользователей на региональных и муниципальных порталах, а также на официальных сайтах[11]. С этого момента авторизация посредством ЕСИА может использоваться не только для доступа к услугам на ПГУ, но и для доступа к услугам на сайтах самих государственных и муниципальных органов. Также интегрироваться с ЕСИА могут не только сайты и информационные системы государственных органов власти и органов местного самоуправления, но и ИС частных организаций[12].

2015 — Существенно расширен набор данных, ведущихся в профиле пользователя (добавлены такие документы как заграничный паспорт, полис ОМС, военный билет и др., появилась возможность указывать сведения о детях). Предусмотрена возможность зарегистрировать учётную запись на номер мобильного телефона, который ранее был привязан к другой учётной записи. Улучшена поддержка в ЕСИА сценариев регистрации пользователей из центров обслуживания, обеспечиваемая использованием СМЭВ-сервиса ЕСИА и веб-приложением «АРМ Центр обслуживания»[13]. Добавлена возможность самостоятельной регистрации государственных организаций[14]. К ЕСИА получили возможность подключаться некредитные финансовые организации[15].

В 2019 году совместно с ЕСИА может использоваться Единая биометрическая система (ЕБС) разработки Ростелекома в целях оказания удаленных банковских услуг[16]. Возможность сбора биометрии для ЕБС должна быть предоставлена в 20 % отделений банков[17], работающих с физлицами, для сбора требуется оборудования на 5 млн руб[18].

27 марта 2021 года вышло постановление Правительства Российской Федерации № 453 о проведении эксперимента по авторизации пользователей в сторонних сервисах через учётную запись «Госуслуг», в результате чего с 1 апреля 2021 года стартовал эксперимент Минцифры по регистрации на сервисах Рунета посредством ЕСИА. Этот эксперимент позволяет гражданам России, имеющим подтвержденную учётную запись на портале Госуслуги, получить возможность проводить собственную авторизацию на порталах hh.ru, «Авто.ру», «Циан» и сервисах «Яндекса» и др. Эксперимент продлен до 1 июля 2022 года, а участие в нём не обязательно для пользователей подключенных сайтов. Ожидается, что эксперимент повысит безопасность совершаемых операций через присоединившиеся сайты и уменьшит число мошеннических сделок[19].

В марте 2021 года Роскомнадзор выпустил правила пользования информационной системой, с помощью которой можно давать и отзывать согласие на обработку персональных данных, причём информация верифицируется с помощью с ЕСИА, что является необходимым условием предоставления доступа к личному кабинету пользователя на сайте Роскомнадзора[20].

С 1 июня 2021 года в России вступили в силу поправки к закону «О связи», согласно которым все российские юридические лица лица должны вносить в ЕСИА сведения о пользователях SIM-карт[21].

27 декабря 2021 года стартовал эксперимент по регистрации граждан РФ в Единой системе идентификации и аутентификации с помощью мобильного приложения, который должен продлиться до 31 декабря 2022 года[22]. Он регулируется постановлением Правительства Российской Федерации от 22.12.2021 № 2389[23]. Участниками эксперимента стали Минцифры РФ, Минкультуры РФ, МВД РФ, Пенсионный фонд РФ, а граждане России могут добровольно принять участие в нём. Также для реализации данного эксперимента в России создается специальная межведомственная группа[22].

В феврале 2022 года в рамках проводимого Минцифры РФ эксперимента была внедрена возможность подтвердить аккаунт на интернет-сервисе для размещения объявлений Авито через ЕСИА. По мнению компании, нововведение повысит уровень доверия между пользователями платформы и сделает заключаемые по объявлениям сделки более безопасными[24].

Технические подробности

[править | править код]

Взаимодействие информационных систем с ЕСИА осуществляется посредством электронных сообщений, основанных на стандарте SAML 2.0, или посредством стандарта OpenID Connect 1.0[12].

Например, сценарий идентификации и аутентификации выглядит следующим образом:

  1. Пользователь обращается к защищённому ресурсу информационной системы (например, ведомственному или региональному порталу государственных услуг).
  2. Информационная система направляет в ЕСИА запрос на аутентификацию.
  3. ЕСИА проверяет наличие у пользователя открытой сессии и, если активная сессия отсутствует, проводит его аутентификацию. Для этого ЕСИА направляет пользователя на веб-страницу аутентификации ЕСИА. Заявитель проходит идентификацию и аутентификацию, используя доступный ему метод аутентификации.
  4. Если пользователь успешно аутентифицирован, то ЕСИА передаёт в информационную систему набор утверждений, содержащих идентификационные данные пользователя, информацию о контексте аутентификации, в том числе данные об уровне достоверности идентификации.
  5. На основании полученной из ЕСИА информации информационная система авторизует заявителя на доступ к защищаемому ресурсу[12].

Для осуществления аутентификации пользователей в ведомственной ИС посредством ЕСИА необходимо выполнить следующее:

  1. Разработать модуль авторизации ЕСИА в соответствии с одним из доступных стандартов: SAML 2.0 или OpenID Connect 1.0.
  2. Зарегистрировать ИС в специальном регистре информационных систем оператора ЕСИА[25].

Процесс подключения информационных систем организаций и органов государственной власти происходит следующим образом[26]:

  1. С помощью веб-интерфейса ЕСИА осуществляется регистрация учётной записи руководителя организации и учётной записи юридического лица (органа государственной власти).
  2. С помощью веб-интерфейса Технологического портала ЕСИА регистрируется учётная запись информационной системы.
  3. Генерируется закрытый ключ и сертификат открытого ключа (в одном из аккредитованных удостоверяющих центрах).
  4. С помощью веб-интерфейса Технологического портала ЕСИА загружается сертификат информационной системы.
  5. Направляется заявка на подключение ИС к тестовой среде ЕСИА;
  6. Производится отладка взаимодействия;
  7. Направляется заявка на подключение ИС к промышленной среде ЕСИА[25].

Примечания

[править | править код]
  1. 1 2 Постановление Правительства РФ от 28.11.2011 N 977 "О федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (с изменениями и дополнениями) | ГАРАНТ. base.garant.ru. Дата обращения: 24 мая 2020. Архивировано 15 мая 2020 года.
  2. Белянин Алексей. Цифровой паспорт: как на Кубани развивается единая система идентификации // РБК. — 2018. — 11 декабря. — Дата обращения: 04.04.2022.
  3. Единая система идентификации и аутентификации. Методические рекомендации по использованию Единой системы идентификации и аутентификации. Версия 2.14 : Методические рекомендации по использованию Единой системы идентификации и аутентификации Версия 2.14 // ГАРАНТ.РУ. — 2017. — 10 января. — Дата обращения: 04.04.2022.
  4. Проект «Электронное правительство». Дата обращения: 5 мая 2021. Архивировано 30 сентября 2020 года.
  5. "Ланит" не смог забрать Единый портал госуслуг у AT Consulting - CNews. CNews.ru. Дата обращения: 26 февраля 2016. Архивировано 10 марта 2016 года.
  6. R-Style забрал у AT Consulting контракт на развитие Единой системы идентификации (1 ноября 2013). Дата обращения: 26 февраля 2016. Архивировано 10 марта 2016 года.
  7. Кто на самом деле строит электронное правительство России - CNews. CNews.ru. Дата обращения: 26 февраля 2016. Архивировано 10 марта 2016 года.
  8. Эксперты по электронному правительству из «Ростелекома» и AT Consulting перешли в R-Style - CNews. CNews.ru. Дата обращения: 26 февраля 2016. Архивировано 10 марта 2016 года.
  9. 1 2 3 Презентация про ЕСИА от компании AT Consulting. Дата обращения: 5 мая 2021. Архивировано 20 декабря 2016 года.
  10. Постановление Правительства РФ от 28 ноября 2011 г. № 977 "О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»
  11. План мероприятий по реализации Концепции развития механизмов предоставления государственных и муниципальных услуг в электронном виде. Дата обращения: 30 декабря 2014. Архивировано 30 декабря 2014 года.
  12. 1 2 3 Методические рекомендации по использованию Единой системы идентификации и аутентификации. Версия 2.3 (2014). Дата обращения: 5 мая 2021. Архивировано 5 мая 2021 года.
  13. Разработка ЕСИА - компания РЕАК СОФТ. ООО «РЕАК СОФТ». Дата обращения: 9 марта 2016. Архивировано 9 марта 2016 года.
  14. Руководство пользователя ЕСИА. Версия 2.7 (2015). Дата обращения: 5 мая 2021. Архивировано 5 мая 2021 года.
  15. Профучастники получили добро на «удаленку» // «Коммерсантъ». Архивировано 6 марта 2016 года.
  16. Биометрическая арифметика. ЕБС для банков не стала популярной у клиентов. dp.ru (24 августа 2019). Дата обращения: 19 декабря 2019. Архивировано 15 сентября 2019 года.
  17. ЦБ написал банкам рекомендации по сбору биометрии :: Финансы :: РБК. Дата обращения: 19 декабря 2019. Архивировано 20 декабря 2019 года.
  18. У банков сдвигается биометрия. «Коммерсантъ» (19 октября 2018). Дата обращения: 19 декабря 2019. Архивировано 19 декабря 2019 года.
  19. Россияне смогут заходить на HeadHunter, «Циан» и «Авито» по паспорту через ЕСИА. CNews.ru. Дата обращения: 4 апреля 2022. Архивировано 4 апреля 2022 года.
  20. РКН разработал правила использования системы для обработки персональных данных. «Интерфакс». Дата обращения: 4 апреля 2022. Архивировано 16 октября 2021 года.
  21. Операторы связи получат трехмесячную отсрочку регистрации М2М SIM-карт. «Интерфакс». Дата обращения: 4 апреля 2022. Архивировано 28 августа 2021 года.
  22. 1 2 В России пройдет эксперимент по регистрации граждан в ЕСИА через мобильное приложение. ТАСС. Дата обращения: 4 апреля 2022. Архивировано 4 апреля 2022 года.
  23. Постановление Правительства Российской Федерации от 22.12.2021 № 2389. Официальный интернет-портал правовой информаци. Дата обращения: 4 апреля 2022. Архивировано 18 марта 2022 года.
  24. «Авито» стал первым сервисом, на котором можно подтвердить аккаунт через Госуслуги. 3DNews. Дата обращения: 5 февраля 2022. Архивировано 5 февраля 2022 года.
  25. 1 2 Регламент информационного взаимодействия Участников с Оператором ЕСИА и Оператором эксплуатации инфраструктуры электронного правительства. Минцифры России. Дата обращения: 5 мая 2021. Архивировано 5 мая 2021 года.
  26. Процедура подключения и интеграции с ЕСИА государственных организаций. esia.pro. Дата обращения: 11 апреля 2016. Архивировано 8 апреля 2016 года.