Взгляд на проекты Е-правительства изнутри

Проекты Е-правительства («e-Government») – это наиболее волнующая с момента вступления в ЕС тема как для ИТ-служащих, так и для служащих государственных структур.

Проекты Е-правительства – это эффективное и гарантированно отвечающее принятым законам обслуживание населения различными организациями  за счет применения наиболее передовых информационных технологий. Сферы применения – медицина, социальная сфера, транспорт, жилищное хозяйство, налогообложение и многие другие.

Взгляд на проекты изнутри – это лишенный пафоса, отстраненный от довлеющих над обществом мифов и стереотипов,  рациональный взгляд разработчика.

Проекты Е-правительства изнутри выглядят как набор задач создания специализированных и интегрированных информационных систем, архитектура и реализация которых зависят от конкретного назначения. В любой из таких систем должны быть реализованы различные уровни защиты данных и, соответственно, предусмотрены  различные уровни доступа с различными требованиями защиты. Также должны  быть предоставлены интерфейс пользователя–служащего и интерфейс  пользователя-клиента, определяемые назначением системы и отвечающие потребностям заказчика.

Государственные организации, осуществляющие планирование и заказ проектов, проводят чрезвычайно сложную работу формализации задач эффективного обслуживания населения в задачи создания конкретных информационных систем. При этом достаточно новыми, достаточно специфическими и достаточно важными являются  задачи информационной защиты.

Группа предприятий «Penki kontinentai» является перспективным участником разработки и внедрения ряда ИТ-систем. Хотелось бы обратить внимание специалистов, принимающих решения в области планирования и проектирования информационных систем, на ряд положений:

• Многие информационные материалы, относящиеся к PKI-продуктам, системам и т. п., размещенные в интернете, являются всего лишь средством формирования перспективного рынка PKI-продуктов. А сами продукты пока не существуют. Также нигде не внедрены и даже не реализованы некоторые основанные на  PKI-системы, описанные как решения  или даже включенные в техническую документацию. Пример тому – описанные, но нереализованные в международных платежных системах платежи через интернет. Поэтому не следует планировать систему защиты информации как набор готовых решений, не требующих разработки. Любая информационная система требует специально разработанной и интегрированной системы защиты, архитектура которой должна строится с учетом реально существующих продуктов.
• С ранее сказанным связано заблуждение относительно стоимости системы защиты информации. Недостаточно предусмотреть покупку карточек,  карточных ридеров, сертификатов. К ним потребуется ряд аппликаций и решений, которые используют ключи и сертификаты для осуществления аутентификации клиента, электронной подписи документов и т. д. Возможно, потребуются дополнительные разработки. Все это требует значительных средств. Нельзя оценить стоимость системы защиты, исходя из количества ее конечных пользователей. Для оценки необходимо видеть архитектуру всей системы в целом. Общая цена создания системы защиты,  как правило, составляет около 25% стоимости всего проекта.
• Компоненты системы защиты электронной информации весьма разнообразны и не ограничиваются применением идентификационных карточек и сертификатов клиента. Так, при проектировании информационных систем следует проанализировать целесообразность включения в него специального CA (Certificate authority). Это технически реальное и зачастую экономически обоснованное решение. Услуга по встраиванию специализированного СА  в систему заказчика может быть выполнена силами компании SSC, которая оказывает услуги по предоставлению квалифицированных сертификатов.
• Не следует  отождествлять задачи Е-правительства с внедрением электронной подписи, сертификатов, карточек пользователя, содержащих сертификаты. Это лишь некоторые средства защиты информации в ряду многих других средств и их применение не может быть самоцелью, а в каждом отдельном случае должно быть технически и экономически обосновано. Так, неверно игнорировать банковские технологии, если предполагаемые услуги так или иначе связаны с платежами или предоставляются через торговые предприятия. Например, система компенсированных коммунальных платежей так или иначе включает платеж с соответствующим взаимодействием его характерных участников. Поскольку клиент ассоциируется  с платежной карточкой путем проверки PIN и карточка авторизуется (аутентифицируется) банком, то никаких дополнительных средств аутентификации клиента не требуется. Следует помнить, что аутентификация платежной карты через персьнальный компьютер и интернет невозможна!
• Самое трагическое заблуждение некоторых интеграторов систем состоит в том, что в Литве сформирована  инфраструктура, позволяющая аутентифицировать любого  клиента по известным технологиям, использующим проверку подписи и сертификата. Но такой  инфраструктуры в Литве нет: Есть CA, но у населения отсутствуют ID-карточки, содержащие ключи личной подписи. Также отсутствует в Литве современная система производства карточек ID, позволяющая формировать и записывать на карточку биометрические данные клиента. Поэтому не следует включать, где надо и не надо, аутентификацию клиента для доступа  к несекретной информации. Выдача PKI-карточек c ключами и сертификатами (плюс дополнительных программных продуктов для установки на персональный компьютер клиента) могут привести к нереально большим затратам (если в качестве пользователей принять значительную часть населения). Кроме того, иногда выдача таких средств аутентификации может быть невозможна по социальным причинам. Задача выдачи ключей для аутентификации и личной подписи должна быть решена в рамках отдельных проектов паспортизации населения  (города, страны).
• Последнее важное замечание. При планировании информационных услуг населению, в которых в качестве интерфейса используется  интернет-портал, следует помнить: аутентификация клиента с использованием карточек или электронного ключа возможна не с любого персонального компьютера, а только с того, где установлено специализированное  программное обеспечение. Причем, оно различно для карточек разных типов и разных производителей.

Е-правительство и Балтийский регион: никто не лишний >>>

Литовский Центр цифровой сертификации >>>

Лидия Бастина, системный аналитик Центра компетенции "Wincor Nixdorf", "Penkių kontinentų" bankinės technologijos