Новые правила безопасности в ГИС “Меркурий”

Информируем вас о дополнительных мерах, которые мы предприняли и планируем предпринять в ближайшее время для обеспечения защиты информации в ФГИС ВетИС и компонента Меркурий, в частности.

!!! Основная срочная новость: обязательно указать в Меркурии (в ВетИС) номера СНИЛС и личного мобильного телефона до 1 марта сего года, иначе доступа не будет !!! Подробнее в четвёртом пункте.

Первое

Как вы знаете, ВетИС и ее компоненты интегрированы с системой ЕСИА (Единая Система Идентификации и Аутентификации). Это дает возможность зарегистрированным пользователям ВетИС дополнительно аутентифицироваться в любом компоненте ВетИС с использованием реквизитов доступа к сервисам Электронного правительства. ЕСИА предоставляет широкие возможности по настройке способа аутентификации, включая двухфакторную аутентификацию или аутентификацию с использованием средств Электронной Подписи. Эта возможность была предоставлена как дополнительная к существовавшему тогда единственному способу аутентификации – с использованием реквизитов (имени пользователя и пароля) ВетИС, предоставляемых при регистрации.

Сейчас в целях дополнительной защиты информации, персональных данных и прочей конфиденциальной информации пользователей, нами принято решение, что пользователь должен иметь возможность не только подключать новые способы аутентификации, но и ограничить те, использовать которые он не планирует. Например, использовать для аутентификации в ВетИС только ЕСИА и не использовать реквизиты ВетИС. Это изменение, в том числе, позволит компаниям, которые предъявляют повышенные требования к защите информации, выполнять аутентификацию в ВетИС только с использованием средств Электронной Подписи. Такие обращения мы получали от хозяйствующих субъектов и сейчас удовлетворяем эти пожелания.

Для этого в компоненте Паспорт, реализована и будет доступна пользователям с 16.02.2021 дополнительная функция, с помощью которой пользователь может подключить возможность аутентификации с использованием ЕСИА и заблокировать иные способы аутентификации.

Второе

Дополнительно, мы начали работы по реализации возможности регистрации новых пользователей в ВетИС с использованием ЕСИА и сведений Портала Государственных Услуг. О вводе в эксплуатацию этой возможности будет сообщено дополнительно.

Третье

Для повышения безопасности в ближайшее время во всех компонентах ВетИС будут включены автоматизированные средства контроля соблюдения пользователями парольной политики, в случае использования при аутентификации реквизитов ВетИС.
Основные аспекты парольной политики следующие:

  • Срок действия пароля: 180 дней, с последующей обязательной сменой.
  • За 14 дней до истечения срока действия пароля ВетИС будет отображать соответствующее предупреждение.
  • Новый пароль не должен повторять 10 предыдущих.
  • Длина и формирование пароля: не менее 8 символов, в пароле обязательно должны присутствовать строчные и прописные буквы, цифры.

Вводить средства автоматизированного контроля парольной политики мы начнем с компонента Веста. Где при входе, в случае приближения даты истечения срока действия пароля, будет выводиться предупреждение вида:

«Срок действия вашего пароля заканчивается. Сменить пароль вы можете в своем профиле компонента Паспорт. Процесс аутентификации будет автоматически продолжен через 10 секунд или вы можете продолжить самостоятельно.»

А при истечении срока действия пароля, доступ в компонент будет заблокирован с соответствующим сообщением:

«Ваш пароль устарел. Для продолжения работы, вам необходимо его изменить».

Четвертое

Вынуждены еще раз привлечь ваше внимание к вопросу о необходимости внесения полных регистрационных данных лиц, имеющих доступ к ВетИС.

Ранее (см. публикации О заполнении реестров ВетИС и Об изменении порядка доступа к ВетИС из анонимных сетей) мы не раз обращали ваше внимание на необходимость указания в регистрационных данных личных мобильных номеров как средства осуществления двойной идентификации пользователей и СНИЛС как единственного в России уникального идентификатора гражданина. Поясняли, что это в интересах добросовестных участников производства и обращения, поскольку эти данные мы используем для верификации того, что доступ к системе осуществляет именно тот, кто зарегистрирован, и тот, чьи регистрационные данные в ВетИС указаны верно.

Мониторинг этого вопроса показал, что наши предупреждения вами не услышаны и вот какую картину мы имеем на сегодняшний день с указанием номеров мобильных телефонов.

Из 796’893 уполномоченных лиц и аттестованных специалистов, осуществляющих в настоящее время, доступ к системе указали в регистрационных данных номер своего телефона только 19’693 человека, что составляет 2% от этого числа.

Из 38’942 сотрудников региональных ветслужб и подведомственных им учреждений, осуществляющих в настоящее время, доступ к системе указали в регистрационных данных номер своего телефона только 2’590 человек, что составляет 6,7% от этого числа.

Такая ситуация – это открытые ворота для жуликов, чем те сейчас и пользуются, в том числе нанося ущерб добросовестным участникам производства и обращения!

В связи с вышеизложенным и отсутствием вашей, уважаемые дамы и господа, коллеги, реакции на уговоры в течение более, чем полутора лет, вынуждены сообщить, что с 01.03.2021 доступ не указавших в регистрационных данных упомянутые сведения лиц к ВетИС вообще, и к системе Меркурий в частности, будет прекращен.

Надеемся, что прошедших полутора лет и оставшегося времени вам хватит, чтобы внести эти данные. Пожалуйста, обратите внимание на этот вопрос во избежание срывов в вашей работе после 01.03.2021.

Рассказать коллегам:
Добавить комментарий