Требования для подключения к Суперсервису Поступление в вуз онлайн

Порядок подключения ВУЗов к суперсервису «Поступление в ВУЗ онлайн»: взаимодействие вузов с Суперсервисом возможно двумя способами: внесение данных через личный кабинет ВУЗа в Суперсервисе (основной способ для кампании 2021 года), автоматическая передача данных из информационной системы ВУЗа в Суперсервис (обязательный способ для кампаний 2022 и последующие года приема).

Реализация пунктов 1-3 должна быть осуществлена в срок до 1 июня 2021 года.

1. Внести изменения в правила приема вуза, указав одним из способов подачи заявлений - ЕПГУ (в соответствии с приказом Минобрнауки России от 1 апреля 2021 года № 226).

2. Подключиться к защищенной сети передачи данных ФГАНУ ЦИТИС №13833

2.1. Заключить договор на приобретение VipNet для подключение к сети №13833

2.2. Направить в ФГАНУ ЦИТиС заявление, квалифицированный сертификат ключа проверки электронной подписи, выданный на лицо, указанное в заявлении на подключение, копию договора на получение лицензии.

2.3. После получения парольной и справочно-ключевой информации необходимо осуществить подключение к сети №13833 и подтвердить в ФГАНУ ЦИТиС наличие подключения (ВУЗ виден в закрытой сети).

3. Подключиться к тестовому контуру Сервиса приема (не требует подключения к защищенной сети, инструкции)

3.1. Получить доступ в личный кабинет

3.2. Внести конкурсные группы (указав бакалавриат или специалитет, бюджетные места, очная или очно-заочная форма)

3.3. Перевести статус приемной кампании «Идет набор».

4. Рассмотреть возможность проведения интеграции информационной системы ВУЗа (при её наличии) с Суперсервисом (работа по API).

Требования для подключения к Суперсервису

9 февраля 2021 года опубликованы требования по подключению образовательных организаций высшего образования к Сервису приема:

Федеральное государственное автономное научное учреждение «Центр информационных технологий и систем органов исполнительной власти» (далее – ФГАНУ ЦИТиС) сообщает, что образовательным организациям высшего образования (далее – ООВО), с целью их дальнейшего подключения к Федеральной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования (в части приема), доработанной в рамках достижения целевого состояния Суперсервиса «Поступление в ВУЗ онлайн» (далее – Сервис приема) через защищенную сеть передачи данных 13833 (далее – ЗСПД, сеть 13833) необходимо:

1) обеспечить наличие квалифицированного сертификата ключа проверки электронной подписи (далее – КСКПЭП) на лицо, получающее парольную и справочно-ключевую информацию для подключения к ЗСПД (необходим для шифрования и расшифровки парольной и справочно-ключевую информации);

2) обеспечить наличие КСКПЭП на информационную систему (необходим для обеспечения подлинности и достоверности электронных документов и сведений, предоставляемых информационной системой образовательной организацией в Сервис приема);

3) обеспечить наличие сертифицированного ФСБ России средства криптографической защиты информации (далее – СКЗИ) с функцией расшифрования файлов (необходимо для расшифровки парольной и справочно-ключевую информации, ViPNet PKI Client, КриптоАРМ или любое аналогичное средство).

4) приобрести у любой организации-партнёра ОАО «ИнфоТеКС» СКЗИ ViPNet Client для сети 13833, произвести установку и настройку указанного средства криптографической защиты информации. Если организация владеет собственной ViPNet-сетью, то возможна установка межсетевого взаимодействия между ViPNet-сетью организации и ЗСПД;

5) провести оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в отношении принадлежащей организации информационной системы персональных данных в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и приказом ФСТЭК России от 18 февраля 2013 г. № 21;

6) получить файлы парольной и справочно-ключевой информации ЗСПД от ФГАНУ ЦИТиС;

7) произвести доработку информационной системы организации, с помощью которой образовательная организация производит учет и обработку заявлений о приеме на обучение, в соответствии с требованиями спецификации автоматизированного информационного взаимодействия сервиса приема с информационными системами образовательных организаций высшего образования посредством программного интерфейса (API).

КСКПЭП можно приобрести в любом аккредитованном удостоверяющем центре.

В КСКПЭП на информационную систему не указывается в качестве владельца КСКПЭП физическое лицо, действующее от имени юридического лица (в КСКПЭП отсутствуют поля фамилия - SN, имя и отчество - GN, структурное подразделение - OU, должность - T, СНИЛС - SNILS).

Начиная с 2022 года в реализации суперсервиса «Поступление в вуз онлайн» будут принимать участие все образовательные организации высшего образования (в том числе муниципальные и частные) и их филиалы, находящиеся на территории Российской Федерации, в которых ведется прием по программам бакалавриата и специалитета:

1. по всем формам обучения (очная, очно-заочная, заочная);
2. за счет бюджетов всех уровней, а также за счет средств физических и (или) юридических лиц.

Не включаются вузы и филиалы по следующим причинам:

• находятся на территории иностранных государств;
• отсутствует прием на программы бакалавриата и специалитета;
• запрещен прием заявлений в электронном виде;
• осуществляется исключительно прием граждан, сведения о которых составляют государственную тайну.

Частные образовательные организации высшего образования, находящиеся на территории Российской Федерации, в которых прием на программы бакалавриата и специалитета производится исключительно за счет средств физических и (или) юридических лиц, принимают участие на добровольной основе.

Тестовый/рабочий контур и личный кабинет Суперсервиса

Адрес тестового сервера для взаимодействия по API: 85.142.162.12:8031

Доступные API-сервисы (функционал аналогичен боевому контуру):

• /api/certificate/check
• /api/cls/request
• /api/token/new
• /api/token/service/info
• /api/token/epgu/info
• /api/token/confirm

Без проверки сертификатов (для организаций, у которых сертификат не зарегистрирован и не привязан к организации в системе):

• /api/token/no-certificate/service/info
• /api/token/no-certificate/epgu/info
• /api/token/no-certificate/confirm

Тестовый личный кабинет доступен по адресу: 85.142.162.4:8032. Учетные записи участников первого этапа апробации Суперсервиса действительны.

Для новых участников, если организация отсутствует в справочнике, необходимо заполнить форму для внесения данных об организации в техподдержке, затем техподдержка зарегистрирует пользователя.

Тестовый контур – открытый, поэтому тестирование необходимо проводить только на условных данных.

Адрес рабочего сервера для взаимодействия по API в защищенной сети: 10.3.60.3:8031

Рабочий личный кабинет в защищенной сети доступен по адресу: 10.3.60.2. Учетные записи участников тестового контура будут перенесены в рабочий.

Вузам необходимо определить ответственного за работу в модуле Сервис приема ФИС ГИА и Приема (приказом) и зарегистрировать его как администратора. Далее администратор добавляет в систему всех пользователей вуза, которых вуз считает нужным допустить к данным.

Регистрация пользователей в тестовом контуре (может работать без защищенной сети) и в продуктивном контуре (только в защищенной сети, в настоящее время не доступен) Сервиса приема является независимой. Поэтому добавление полного объема пользователей в тестовый контур не требуется.

Обращаем внимание, что в продуктивном контуре будут персональные данные. Поэтому администратор несет ответственность не только за добавление иных пользователей в кабинет вуза, но и за проверку наличия у них полномочий на доступ к данным.

Вопросы по реализации функционала Сервиса приема и его работоспособности необходимо адресовать в адрес тех.поддержки ЦИТиС: sspvo@citis.ru

Относительно внесения филиалов: если филиал подключается к Сервису приёма самостоятельно, то у него собственный администратор. Если филиал подключается через головной вуз, то администратор один, от головного вуза. При этом администратор может добавить сотрудников филиала как пользователей.

Регистрация в сервисе приема

Для входа в личный кабинет сервиса приема (суперсервис Поступление в вуз онлайн) в 2022 году вузу сначала нужно зарегистрировать администратора сервиса, который уже в свою очередь регистрирует самостоятельно пользователей сервиса (операторов ПК).

Для регистрации администратора необходима ЭЦП вуза (имеющая в свойствах ЭЦП - ОГРН, обсуждение - какая подпись нужна для суперсервиса).

Необходимо:

1. Заполнить excel-файл с ФИО и электронной почтой администратора от вуза (это может быть ответственный секретарь ПК или сотрудник управления информатизации вуза).

2. Издать приказ ООВО о назначении Администратора и сохранить его в формате pdf.

Текст приказа может быть примерно таким: О назначении ответственного лица. В целях своевременной реализации Приёмной кампании в ФГБОУ ВО * посредством Суперсервиса ПРИКАЗЫВАЮ: 1. Назначить администратором от образовательной организации в Сервисе приема ССПВО ****

Затем необходимо эти файлы подписать ЭЦП. В итоге должно быть два файла, например:

1) Шаблон регистрации Администратора ВУЗа.xlsx.sig

2) Приказ о назначении администратора.pdf.sig

Эти файлы необходимо загрузить в форму регистрации администратора (в личном кабинете).

Если при регистрации возникают следующие ошибки:

• xls file: Invalid Signature
• xls file: Can't verify cert chain
• xls file: Invalid cryptographic message type
• xls file: The revocation process could not continue - the certificate(s) could not be checked

Возможные причины проблемы:

1. При подписании файла забыли снять галочку "Сохранить подпись в отдельном файле". Проверьте размер файла с подписью, он должен совпадать с исходным файлом.

2. Сертификат выдан тестовым центром (если для регистрации делался тестовый сертификат, то он может не проходить проверку, т.к. в сервисе приема не загружены тестовые удостоверяющие центры). Рекомендуется подписывать документы реальной действующей ЭЦП, даже если регистрация происходит в тестовом личном кабинете.

3. ЭЦП просрочена.

4. ЭЦП выдана на человека, а не на вуз (в подписи отсутствует ОГРН).

5. Попробуйте загрузить еще раз (сообщалось, что при нескольких попытках загрузки удается загрузить документ).

6. Если подписание через КриптоАрм, то возможно не задан формат Der (если подписание через сторонние приложения, то желателен формат Cades, гост 34-10-2012, если провайдер криптопро csp).

Можно сделать одного администратора как для головного вуза, так и для филиалов: регистрируется один администратор для всего вуза (в т.ч. филиалов). Для головной организации, когда создаются пользователи, через поддержку добавляются филиалы. Таким образом, администратор создаёт пользователей и для головного вуза, и для филиалов.

Вопрос-ответы вузов

Вопрос: Наш ВУЗ был участником пилотного проекта в прошлом году, мы выделяли одно АРМ для подключения к сети 13833. Возможно ли подключиться с двух АРМ (от одного вуза), что для этого нужно сделать?

Официальный ответ: Взаимодействие ИС ООВО с Сервисом приема предполагается посредством программного интерфейса API. АРМ с подключением к сети, с возможностью работы в личном кабинете было одно. Если ВУЗ считает необходимым работать с нескольких АРМ, то придется приобрести необходимые лицензии.

Вопрос: В требованиях по подключению к суперсервису:

4) приобрести СКЗИ ViPNet Client для сети 13833

5) провести оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в отношении принадлежащей организации информационной системы персональных данных в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и приказом ФСТЭК России от 18 февраля 2013 г. № 21;

Что означает п.5?

Ответы от коллег вузов:

1. Для подключения к ФИС ГИА писали прямо: ИС вуза должна иметь аттестат по защите ПДн, который может дать только лицензиат ФСТЭК и ФСБ. Может в этом случае можно обойтись внутренней самостоятельной оценкой и оформить актом?

2. Вопрос актуальный. Мы можем локальным актом провести оценку или необходимо вызывать каких-то конкретных представителей? Скзи и Vipnet при этом самим вузом обновлялись?

3. Мы провели проверку на соответствие приказу 21 ФСТЭК сами и составили Акт. Термин Аттестация не соответствует законодательству. Правильно популярно - проверка соответствия требованиям Приказа ФСТЭК 21 1 раз в три года. СКЗИ у нас КриптоПро, VipNet у нас Client, на новый АРМ поставили новые. Но подойдут любые рабочие СКЗИ. Требуется не обновленность, а наличие сертификата ФСБ.

Вопрос: Получилось ли использовать один канал випнет также и для Суперсервиса (уже существующий)?

Ответы от коллег вузов:

1. В случае если у вас в организации имеется собственная випнет сеть, важно корректно отправить заявку, чтобы не столкнуться с недопониманием коллег со стороны Суперсервиса, но в конечном итоге успешно обменялись межсетевой информацией и установили взаимодействие.

2. Да - межсетевое взаимодействие, то есть работа не с помощью випнет клиента установленного на рабочее место, а сетями. Наш координатор и сервер в туннеле за ним взаимодействует с координатором 13833. Нам видны узлы присланные коллегами в экспорте, равно как и коллегам видны исключительно те узлы которые необходимы для связи.

Вопрос: Расскажите о подводных камнях в случае такой настройки? У нас есть сеть vipnet, филиалы иногородние тоже в ней. По опыту согласования знаем, что всегда есть недопонимание.

Ответы от коллег вузов: Для Суперсервиса больше одного компьютера в сети VipNet не нужно, так как только один компьютер выгружает и загружает данные в 1С (из Суперсервиса), на нём же смотрим личный кабинет Суперсервиса. Для старых ФИСов у нас интеграция VipNet сетей, так как необходимо на нескольких компьютерах работать руками. Один канал VipNet для старой и новой ФИС сделать нельзя в том числе и потому, что один канал к ФЦТ, другой к ЦИТиС, но ничто не мешает сделать интеграцию VipNet сети ООВО и с ФЦТ, и с ЦИТиС.

Вопрос: После получения подписанного заявления техническая поддержка ЗСПД № 13833 направляет образовательной организации:

• файл, содержащий необходимую для подключения к ViPNet-сети № 13833 парольную и справочно-ключевую информацию (далее – dst-файл), – по электронной почте;
• ссылку на скачивание дистрибутива ViPNet Сlient – по электронной почте;
• акт приема-передачи парольной и справочно-ключевой информации на бумажном носителе в двух экземплярах – почтовым отправлением.

при этом в "Требованиях по подключению" указанно

4) приобрести у любой организации-партнёра ОАО «ИнфоТеКС» СКЗИ ViPNet Client для сети 13833, произвести установку и настройку указанного средства криптографической защиты информации

Нужно ли приобретать VipNet Client для сети 13833 или он будет предоставлен?

Ответы от коллег вузов:

1. Клиент приобретаете, а дст файл с ключами, на которых зашиты параметры, сформированные в рамках вашего заявления, вам присылают по почте.

2. В 2021 году VipNet Client предоставлен не будет. Подаете запрос на сайте Инфотекса с номером сети, Вам рекомендуют партнера и Вы у партнера покупаете лицензию. Далее обращаетесь в ЦИТиС за ПКИ, которую, как выше сказали, шифруют на Ваш сертификат и высылают на Вашу электронную почту.

Вопрос: Цитата из требований: 2) обеспечить наличие КСКПЭП на информационную систему (необходим для обеспечения подлинности и достоверности электронных документов и сведений, предоставляемых информационной системой образовательной организацией в Сервис приема) (В КСКПЭП на информационную систему не указывается в качестве владельца КСКПЭП физическое лицо, действующее от имени юридического лица (в КСКПЭП отсутствуют поля фамилия - SN, имя и отчество - GN, структурное подразделение - OU, должность - T, СНИЛС - SNILS)).

Но поставщик который нас обслуживает не может предоставить КСКПЭП без указания лица на которого выдана КСКПЭП. Где можно приобрести данную КСКПЭП?

Ответы от коллег вузов: Поставщику КСКПЭП (удостоверяющему центру) необходимо заказать сертификат Юридического лица, например, выбрать это на Портале заявителя Казначейства. Отличие сертификатов в том, что он выдается руководителю, но ИНН указывается не физического лица, а юридического лица университета. ФИО и СНИЛС владельца в сертификате есть.

Вопросы: кто-то уже связывался с компаниями-партнерами Инфотекса по вопросам приобретения дистрибутивов VipNet для сети 13833? Знают ли они про сеть 13833?

Ответ от коллег вузов: Необходимо на сайте Инфотекса попросить предложить партнера, работающего с 13833. У разных партнеров разные сети. Пишите на сайт Инфотекса и сразу всё прояснится. Они сразу Вас направят по правильному адресу.

Вопрос: Можно ли сделать межсетевое взаимодействие между випнет сетью вуза и сетью суперсервиса?

Ответ от ЦИТИС: Если ООВО принадлежит собственная ViPNet сеть, то возможно осуществить организацию межсетевого взаимодействия между ЗСПД 13833 и ЗСПД ООВО. Порядок организации межсетевого взаимодействия между ЗСПД 13833 и ЗСПД ООВО опубликован на официальном сайте ФГАНУ ЦИТиС - https://citis.ru/13833

Вопрос: Где можно ознакомиться с процедурой оценки соответствия? Какая нормативно-правовая база? По госту? СТРК?

Ответ от ЦИТИС: Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в отношении принадлежащей ООВО информационной системы персональных данных проводиться в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и приказом ФСТЭК России от 18 февраля 2013 г. № 21

Вопрос: Проясните вопрос по подключению к новой сети, если у вуза уже есть аттестованные места для работы с ФИС ГИА и ФРДО.

Ответ от ЦИТИС: С порядком подключения к ЗСПД 13833 можно ознакомиться на официальном сайте ФГАНУ ЦИТиС - https://citis.ru/13833. Для подключения к ФИС ГИА и приема и ФИС ФРДО используются VipNet сети, не связанные с ЗСПД 13833. В связи с этим использовать АРМ, подключенные к ФИС ГИА и приема и ФИС ФРДО для доступа к Сервису приема нельзя.

При этом, если АРМ ООВО подключены к ФИС ГИА и приема и ФИС ФРДО через VipNet сеть ООВО (путем организации межсетевого взаимодействия), то возможно организовать межсетевое взаимодействие между ЗСПД 13833 и ЗСПД ООВО.

Вопрос: В требованиях по подключению к суперсервису: «провести оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в отношении принадлежащей организации информационной системы персональных данных в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и приказом ФСТЭК России от 18 февраля 2013 г. № 21». Что означает данный пункт?

Ответ от ЦИТИС: Передаваемые в Сервис приема сведения содержат, в том числе, персональные данные. В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, производящие их обработку, являются операторами (персональных данных), а ИС, производящие обработку персональных данных – ИСПДн. ИС и АРМ ООВО подключенные к Сервису приема представляют собой составную часть ИСПДн Вашей организации.

В соответствии с требованиями ст. 18.1 Федерального закона 152-ФЗ оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом и принятыми в соответствии с ним нормативными правовыми актами.

На основании пункта 6 части 1 приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» ИСПДн должны пройти оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных.

Такая оценка эффективности проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Вопрос: Где приобрести обезличенный сертификат? Мы приобрели стандартный ЭЦП юр. лица с указанием ФИО должностного лица. Подойдет ли он?

Официальный ответ: Приобрести КСКПЭП можно в аккредитованном удостоверяющем центре. Информация по удостоверяющим центрам размещена на сайте Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по адресу: https://digital.gov.ru/ru/activity/govservices/2/

Приобретенный вами КСКПЭП возможно использовать для подключения к Сервису приема через ЗСПД 13833.

Вопрос: Подойдут ли сертификаты ЭЦП для подключения к сервису приема и для работы с сервисом приема, полученные в казначействе?

Официальный ответ: Да, подойдут. В подписи должен присутствовать ОГРН вуза. Например, если попытаться загрузить в ЛК сервиса приема подпись ректора, выданную казначейством, где отсутствовал ОГРН вуза, то можно получить ошибку: "При загрузке файла произошла ошибка: ОГРН выбранной организации не совпадает с ОГРН, указанным в сертификате".

Вопрос: Каким образом необходимо осуществить привязку сертификата ЭЦП к организации?

Официальный ответ: В личном кабинете, в разделе «Организация»-«Управление» необходимо загрузить любой файл, подписанный электронной подписью в формате attached PKSC#7, кодировка der. Данная процедура привяжет сертификат ЭП к организации.