ЕСИА ЧЕРЕЗ ГОСТ: ЧТО МЕНЯЕТ СВЯЗКА ROOX И «ИНФОТЕКС ИНТЕРНЕТ ТРАСТ»
Главное
RooX UIDM и инфраструктура «Инфотекс Интернет Траст» теперь работают в единой схеме аутентификации при подключении к ЕСИА. Пользователь проходит идентификацию через квалифицированную электронную подпись по ГОСТ, а IAM-платформа управляет сессией и правами доступа. Для ГИС, где требуется аттестация по 17-му приказу ФСТЭК, это закрывает один из самых болезненных архитектурных узлов — стык между управлением доступом и криптографическим подтверждением личности.
Что произошло
RooX — российская платформа класса CIAM/IAM, обеспечивающая управление идентификацией, единый вход и многофакторную аутентификацию. «Инфотекс Интернет Траст» — аккредитованный удостоверяющий центр, работающий на базе российской криптографии (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012). Компании объявили о технологическом партнёрстве: их продукты прошли совместное тестирование и подтвердили совместимость при сценарии входа через ЕСИА с использованием квалифицированной электронной подписи.
На практике это означает следующее: пользователь системы, подключённой к ЕСИА, может подтвердить личность с помощью КЭП, выданной «Инфотекс Интернет Траст», а RooX UIDM берёт на себя оркестрацию всего потока аутентификации — от инициации запроса до выдачи токена доступа. Криптографический слой остаётся российским и сертифицированным, управленческий слой — гибким и программируемым.
Почему это важно
Требование использовать отечественную криптографию при работе с ЕСИА закреплено в методических рекомендациях Минцифры и согласуется с приказами ФСБ России, регулирующими применение СКЗИ в государственных системах. Одновременно 17-й приказ ФСТЭК обязывает ГИС проходить аттестацию, и один из неизменных вопросов аттестационной комиссии — как реализована аутентификация пользователей и на каком криптографическом основании она построена.
До сих пор организации нередко решали эту задачу «в лоб»: отдельно настраивали интеграцию с ЕСИА, отдельно внедряли СКЗИ, отдельно выстраивали управление доступом — и получали три несвязанных подсистемы, которые сложно сопровождать и ещё сложнее аттестовывать как единое целое. Совместное решение RooX и «Инфотекс Интернет Траст» предлагает архитектуру, в которой эти три слоя проектировались вместе и проверены на совместимость заранее.
Для закупщиков в госсекторе это имеет прямое значение: оба продукта присутствуют в реестре российского ПО Минцифры, что снимает риски при формировании технического задания по ППРФ 1236 и при обосновании невозможности закупки иностранного аналога. Интеграция между ними — не самостоятельная закупочная позиция, а подтверждённая совместимость двух реестровых продуктов, что упрощает позицию заказчика перед регулятором.
Где схема работает, а где требует уточнений
Связка закрывает типовой сценарий: сотрудник или гражданин входит в ГИС через ЕСИА, используя КЭП. Это покрывает большую часть случаев в региональных и федеральных системах, где ЕСИА выступает провайдером идентификации.
Вместе с тем стоит проверить несколько граничных условий перед тем, как закладывать связку в проектную документацию:
- Класс защиты системы. Если ГИС относится к классу К1 или система обрабатывает сведения, составляющие государственную тайну, требования к СКЗИ существенно жёстче. Для таких случаев нужна отдельная оценка применимости конкретных сертифицированных компонентов.
- Объекты КИИ. Для значимых объектов КИИ (187-ФЗ) требования к средствам защиты определяются приказами ФСБ и ФСТЭК в связке — убедитесь, что используемые СКЗИ имеют нужный класс и актуальный сертификат соответствия.
- Сценарии без КЭП. Если часть пользователей будет входить через ЕСИА по логину/паролю или через биометрию, криптографический слой «Инфотекс Интернет Траст» в этих потоках не задействован — управление доступом остаётся за RooX, но сертификационная картина для аттестации будет иной.
- Действующий сертификат УЦ. При формировании требований убедитесь, что удостоверяющий центр аккредитован на момент выдачи сертификатов пользователям. Аккредитация по 63-ФЗ периодически продлевается — статус нужно проверять на актуальную дату.
Что делать заказчику
- Проверить, входит ли ЕСИА в текущую или планируемую архитектуру ГИС. Если система обязана использовать ЕСИА для идентификации граждан или сотрудников, связка RooX + ИИТ закрывает стандартный сценарий без дополнительной интеграционной работы.
- Запросить у вендоров актуальные сертификаты СКЗИ и документы на аттестацию совместного решения, если таковая проводилась. Это ускорит прохождение собственной аттестации ГИС.
- Оценить, какие сценарии аутентификации используются в системе помимо КЭП, — и убедиться, что для каждого из них выбран сертифицированный механизм.
- При подготовке технического задания зафиксировать требование к реестровому ПО (ППРФ 1236) и указать конкретные ОКПД2-коды для IAM-платформы и СКЗИ — это снизит риск переторжки по критерию «аналог из реестра».
- Если система относится к КИИ или обрабатывает ПДн выше второй категории, проконсультироваться с лицензиатом ФСБ до финализации архитектуры — требования к классу СКЗИ в таких случаях определяются индивидуально.
Связанные продукты
Если в контуре системы требуется не только криптография на уровне аутентификации, но и доверенная загрузка рабочих мест — особенно актуально для АРМ операторов ГИС с классом К1 — стоит рассмотреть аппаратные модули доверенной загрузки. КРИПТОН-ЗАМОК/У (М-526Б) и КРИПТОН-ЗАМОК/Е (М-526Е1) сертифицированы ФСТЭК по классу 1Б и обеспечивают контроль целостности среды до загрузки ОС. В связке с сертифицированными СКЗИ они закрывают требования к доверенной вычислительной среде, которые часто фигурируют в технических заданиях на аттестацию ГИС высоких классов защиты.
Для рабочих мест с форм-фактором Mini PCI-E предусмотрена модификация КРИПТОН-ЗАМОК/mini — подходит для встраиваемых АРМ и компактных рабочих станций.
Источник
Полный текст · Cnews — Новости IT