13 августа 2019

Всех посчитают: какой будет база данных граждан РФ

Новая система учета населения позволит эффективнее управлять государством, считают законодатели

Законопроект «О едином федеральном информационном ресурсе, содержащем сведения о населении Российской Федерации», внесен в Госдуму в конце июля 2019 года. Оператором системы определена Федеральная налоговая служба (ФНС). RSpectr изучил инициативу, которая должна быть реализована с 2022 года. В первую очередь законопроект гарантирует достоверность и актуальность информации о гражданах страны и приезжих. Остается открытым вопрос, будет ли доступ к единой базе у обычных пользователей. Эксперты считают централизацию сведений о гражданах опасной из-за угроз утечек и предлагают методы защиты конфиденциальной информации.

ФГИС ВСЕОБЪЕМЛЮЩАЯ

Система с комплексной информацией о гражданах, согласно законопроекту, нужна для:

  • планирования развития территорий страны и формирования бюджетов;
  • управления в кризисных ситуациях;
  • совершенствования предоставления госуслуг;
  • статистического учета населения и т. д.

«Государство сможет на основе объективных данных оказывать адресную социальную поддержку, более эффективно планировать и выполнять госпрограммы, вообще отказаться от переписи населения. Это качественно другой уровень цифрового государства», – считает отвечающий за проект руководитель ФНС Михаил Мишустин.

По плану разработчика, Минфина, ресурс будет представлен в виде федеральной государственной информационной системы (ФГИС).

Она должна обеспечивать:

  • сбор и обработку данных, их сохранность;
  •  межведомственное информационное взаимодействие;
  • автоматическую передачу сведений в единую систему идентификации и аутентификации (ЕСИА);
  • применение усиленной квалифицированной электронной подписи при размещении и изменении информации и др.

ФНС как оператор ФГИС о гражданах будет формировать систему на основе собственных данных, а также сведений других ведомств. В законопроекте не указана связь ФГИС с Концепцией цифрового профиля гражданина, разработанной Минкомсвязью в марте 2019 года.

НОМЕР КАЖДОМУ 

В реестр граждан включат:

  • конкретные данные: ФИО, даты и места рождения и смерти, пол, гражданство;
  • идентификаторы различных сведений: о постановке на учет в налоговых органах, в ЕСИА, об образовании, о регистрации физлица в качестве ИП, в пенсионном фонде, в системе медстрахования и т. д.

В законопроекте говорится, что

сведения об одном физическом лице, включаемые в федеральный ресурс о населении, образуют одну запись

В документе указано, что запись «идентифицируется не повторяющимся во времени и на территории РФ номером». То есть он уникален и, кроме того, не может изменяться. Данные из записи подлежат постоянному хранению.

В тексте законопроекта не сказано, что граждане имеют право запрашивать сведения о случаях обработки своих персональных данных (ПД) во ФГИС. Но такая норма есть в Концепции 2017 года, которая была взята за основу при написании документа. Возможно, соответствующие механизмы позже определит правительство.

Кабмину также предстоит разработать:

  • порядок внесения сведений о населении в единый федеральный ресурс;
  • порядок гармонизации сведений о физических лицах в различных государственных информационных системах.

РЕАЛИЗАЦИЯ ПРОЕКТА

Срок предоставления отзывов на законопроект заканчивается 24 августа 2019 года. Он должен вступить в силу с 1 января 2022 года. До конца 2025 года устанавливается переходный период, говорится в проекте закона.

При создании ресурса ФНС берет за образец Единый госреестр записей актов гражданского состояния (ЕГР ЗАГС), который начал действовать в октябре 2018 года. Об этом глава службы рассказал президенту в мае 2019 года.

В ЕГР ЗАГС к началу лета внесено более 3 млн записей (рождение, смерть. заключение и расторжение брака) по всей стране. До конца 2020 года в реестр постепенно перенесут остальные сведения.

В мае 2019 ФНС России запустила мобильное приложение, которое позволяет проверить запись в Едином реестре ЗАГС

Примечательно, что ведомство давно изучало вопрос о комплексном реестре граждан, в том числе в сотрудничестве с иностранными коллегами. В частности, перенимала опыт у Налоговой администрации Норвегии, где Центральный регистр населения был создан еще в 1964 году. В Белоруссии закон о регистре населения принят в 2008 году.

РИСКИ ФУНКЦИОНИРОВАНИЯ

Уполномоченный орган обязан обеспечить защиту ПД, содержащихся во ФГИС, написано в законопроекте.

Последние инциденты с использованием электронной подписи для отъема недвижимости в центре Москвы, значительным ростом телефонного мошенничества с использованием информации, явно полученной из банков, говорят о том, что цифровизация, несущая много преимуществ и удобств, создает и высокие риски противоправных действий против субъекта, чьи данные получает злоумышленник. Такое мнение в разговоре с RSpectr высказал управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.

По словам эксперта, централизация в единой системе сведений о каждом гражданине, которые сейчас хранятся в различных ведомствах и организациях, является крайне опасной. Последствия утечки данных из такой ФГИС могут оказаться катастрофическими, вплоть до кражи «цифровой личности» и рисков совершения юридически значимых действий от ее имени.

С М. Емельянниковым согласна руководитель компании IDX Светлана Белова. В беседе с RSpectr она сказала, что слово «единый ресурс» настораживает, и есть надежда, что это означает единый интерфейс, а не желание собрать все данные в одну большую базу. Иначе сложнее будет обеспечивать и безопасность, и актуальность, и достоверность.

Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»:

– Если учесть, что во многих государственных системах далеко не все хорошо с информационной безопасностью (ИБ), причем не только на уровне использования средств защиты информации, но и на архитектурном, о чем говорит недавнее исследование Ивана Бегтина, то ситуация становится совсем печальной. Даже банки, вкладывающие в ИБ значительно большие средства, чем госорганы, не застрахованы от утечек. Это подтверждается последним инцидентом с тремя крупнейшими финансовыми организациями, сведения о почти миллионе клиентов которых появились в интернете.

Решение о централизации данных, а не о введении единого идентификатора гражданина для обеспечения связи между различными ИС было бы ошибочным как с точки зрения безопасности, так и с точки зрения организации работы с данными. Наличие единого ресурса все равно не приведет к ликвидации ведомственных систем, которые будут учитывать собственную специфику работы с данными о гражданах.

Стандартная проблема таких законопроектов – отсутствие четких требований к безопасности. Подобное есть и в программе цифровой экономики, и в отдельных инициативах, например, в концепции «Цифрового профиля», рассказал RSpectr руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»:

– С технической точки зрения единую базу от хакеров охранять легче, чем от тех, кто имеет право работать с этими сведениями – сотрудников государственных служб.

Этот риск не «закрыт» ни технически, ни законодательно. Серьезная ответственность за разглашение ПД (по ст. 137 УК РФ) наступает только в случае, если доступ к ним получен неправомерно. А здесь право дает должностная инструкция. Максимум, что может грозить виновникам «сливов» – административный штраф до 2 тыс. рублей (для физлиц) или до 6 тыс. рублей (для должностных). Это не те деньги, которыми можно напугать потенциальных нарушителей. Да и платить чаще приходится не им, а их работодателям – операторам ПД. Для них штрафы не менее смехотворные и составляют от 10 тыс. до 30 тыс. рублей.

ЧТО НУЖНО УЧЕСТЬ ПРИ СОЗДАНИИ СИСТЕМЫ

Необходимо очень тщательно, с учетом последних данных об информационных угрозах и прогнозов появления новых, строить систему безопасности. Причем максимальное внимание в ней необходимо уделить защите от неправомерных действий инсайдеров, согласен М. Емельянников. Но такая система будет очень и очень дорогой, говорит эксперт.

В проекте закона указано, что уполномоченный орган в соответствии с законодательством в области ПД осуществляет обезличивание сведений (их перечень вскоре определит правительство).

С одной стороны, если данные будут обезличены, то даже при утечке граждане не должны пострадать, рассказал RSpectr член Ассоциации юристов России, руководитель GR-практики юридической компании BMS Law Firm Дмитрий Лесняк. С другой стороны, скорее всего, возникнут случаи продажи таких сведений, так как их можно использовать в коммерческих целях. По этой причине стоит сделать акцент не только на механизмах защиты, но и на ответственности лиц, которые будут иметь доступ к этим данным, говорит эксперт.

Главная задача – создать работающие механизмы обеспечения актуальности и достоверности данных, четко продумать технологические и организационные аспекты, считает С. Белова. «Мы рассчитываем на системный взгляд авторов законопроекта и надеемся, что этот ресурс будет вписан в НСУД (Национальную систему управления данными. – Прим. ред.), а государственные средства не будут потрачены на еще одну отдельную систему», – заключает она.

Инициативы по ужесточению контроля за хранением и обработкой сведений о гражданах РФ рассматриваются постоянно, штрафы растут, но слишком медленно. Поэтому при создании новых ГИС для работы с данными россиян эффективнее сосредоточиться не на карательных, а на превентивных мерах безопасности, считает А. Парфентьев.

По словам представителя «СёрчИнформ», нужны директивы, указывающие, какое защитное ПО должно стоять в госорганизациях, обрабатывающих ПД и другую конфиденциальную информацию о россиянах. Это:

  • средства полного сканирования на предмет неправомерного хранения данных (класс решений eDiscovery);
  • системы мониторинга передачи информации по всем сетевым каналам и на внешние устройства хранения (DLP);
  • системы контроля активности сотрудников;
  • инструменты расследования.

Сейчас такой оснащенности ИБ-средствами в госорганах нет, хотя обеспечить эту защиту – в их собственных интересах, говорит А. Парфентьев. Тогда ответственность будет ложиться на конкретного виновника, а не на все ведомство целиком. Если бы авторы законодательной инициативы заложили такие меры, риск случайных и преднамеренных «сливов» снизился бы многократно, предполагает эксперт.

Дмитрий Огородников, коммерческий директор компании «Онсек»:

– Нужно будет определить наиболее подходящую методологию защиты данных и интегрировать средства и методы их безопасности во все этапы жизненного цикла разработки и эксплуатации создаваемого реестра.

Так, классические каноны ИБ с 1980-х и времен мейнфреймов были завязаны на обеспечении конфиденциальности, целостности и доступности информации. Но часто такой подход заключается в желании все зашифровать и везде построить «стены» покрепче.

Сегодня он устарел: с одной стороны, не учитывает технологические особенности современных ИС, такие как фактическое отсутствие периметра, возможность доступа к данным или инфраструктуре кого угодно, к тому же не с доверенных устройств. С другой стороны, используемые средства защиты в каких-то местах оказываются избыточными, а в каких-то просто отсутствуют.

Альтернативной может быть методология Data Centric Security. В ее основе – концепция, что данные сами определяют для себя необходимые средства защиты в зависимости от многих условий: типов данных, их состояния (хранение, обработка, передача) и политики доступа к ним. Достоинства Data Centric Security – использование только необходимых средств защиты для каждого состояния данных и строгий контроль над тем, чтобы эти состояния не могли меняться без соответствующего разрешения. Однако реализация этого подхода потребует вовлечения большего количества участников для обеспечения безопасности, включая владельцев бизнес-процессов и специалистов из IT-блока.

Также важно интегрировать средства безопасности в текущие процессы разработки ПО. Это непростая задача, поскольку современный стек разработчиков и CI/CD* процессов довольно сложный, и про безопасность часто вспоминают только на этапе эксплуатации. Но этот вопрос должен быть решен обязательно. Нередко отсутствие ИБ-инструментов при разработке системы приводит к лавинообразному увеличению уязвимостей во время эксплуатации.

*Непрерывная интеграция и доставка (Continuous Integration, Continuous Delivery) – практика разработки и доставки ПО.

Источник: RSpectr.ru

 

Konica Minolta нарастила мощности Типографии ВШЭ

20 августа 2019

Типография Высшей школы экономики расширила парк печатного оборудования: в основном корпусе типографии введена в эксплуатацию производительная промышленная машина Konica Minolta AccurioPress C6085. Устройство принадлежит к флагманской серии цветных печатных машин, и позволяет печатать даже крупные тиражи со скоростью 85 страниц в минуту. Поставку оборудования произвела группа компаний «ТЕРРА ПРИНТ», специализирующаяся на работе с печатным, постпечатным и упаковочным оборудованием.

 

Как научиться писать тестируемый и сопровождаемый код — отвечают эксперты

20 августа 2019

В вакансиях практически всегда есть требование «писать тестируемый и сопровождаемый код», но начинающие программисты далеко не всегда понимают, что это такое. Как начинающему программисту научиться писать качественный код, который будет легко сопровождать и тестировать?

 

Компания «АйДи – Технологии управления» завершила стартовый этап программы подготовки SAP-консультантов

19 августа 2019

Компания «АйДи – Технологии управления», системный интегратор и разработчик программных решений в области информационных технологий и корпоративного управления, сообщает о первых итогах стажерской программы по подготовке консультантов SAP.

 

Konica Minolta обновила систему видеонаблюдения на предприятиях Rector Lesage

19 августа 2019

Konica Minolta, ведущий поставщик решений для обеспечения безопасности, модернизировала системы видеонаблюдения на объектах Rector Lesage Group, производителя напольных и стеновых строительных конструкций. Реализованные на промышленном предприятии решения основаны на современных технологиях компаний Konica Minolta и Mobotix.

 

Реальный кардинг: как сделать онлайн-платежи безопасными

19 августа 2019

Кардинг – это любые мошеннические операции, связанные с пластиковыми картами. Какие виды кардинга существуют и как с ними бороться, рассказывает Сергей Прохоров, эксперт «КОРУС Консалтинг».