предназначена для идентификации лица , подписавшего электронный документ, и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных законом.
Использование электронной подписи позволяет осуществить:
-
Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.
-
Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.
-
Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он не может отказаться от своей подписи под документом.
-
Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
ИСТОРИЯ ВОЗНИКНОВЕНИЯ
В 1976 году Уитфилдом Диффи и Мартином Хеллманом было впервые предложено понятие «электронная цифровая подпись», хотя они всего лишь предполагали, что схемы ЭЦП могут существовать.
В 1977 году, Рональд Ривест, Ади Шамир и Леонард Адлеман разработали криптографический алгоритм RSA, который без дополнительных модификаций можно использовать для создания примитивных цифровых подписей.
Вскоре после RSA были разработаны другие ЭЦП, такие как алгоритмы цифровой подписи Рабина, Меркле.
В 1984 году Шафи Гольдвассер, Сильвио Микали и Рональд Ривест первыми строго определили требования безопасности к алгоритмам цифрово подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям.
ЭЦП В РОССИИ
В 1994 году Главным управлением безопасности связи Федерального агентства правительственной связи и информации при Президенте Российской Федерации был разработан первый российский стандарт ЭЦП — ГОСТ Р 34.10-94.
В 2002 году для обеспечения большей криптостойкости алгоритма взамен ГОСТ Р 34.10-94 был введен стандарт ГОСТ Р 34.10-2001 , основанный на вычислениях в группе точек эллиптической кривой. В соответствии с этим стандартом, термины «электронная цифровая подпись» и «цифровая подпись» являются синонимами.
Защита информации. Цифровая подпись
... доступа к информации. Общие технические требования"; ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования; ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на ...
ВИДЫ ЭЛЕКТРОННЫХ ПОДПИСЕЙ В РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральный закон РФ 63-ФЗ от 6 апреля 2011г. устанавливает следующие виды ЭП:
АЛГОРИТМЫ
Существует несколько схем построения цифровой подписи:
-
На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица — арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру.
-
На основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭП наиболее распространены и находят широкое применение.
Кроме этого, существуют другие разновидности цифровых подписей (групповая подпись, неоспоримая подпись, доверенная подпись), которые являются модификациями описанных выше схем. Их появление обусловлено разнообразием задач, решаемых с помощью ЭП.
ИСПОЛЬЗОВАНИЕ ХЕШ-ФУНКЦИЙ
Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хеш. Для вычисления хэша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хеш-функция.
Использование хеш-функций даёт следующие преимущества:
-
Вычислительная сложность. Обычно хеш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хеша являются более быстрыми, чем алгоритмы ЭП. Поэтому формировать хэш документа и подписывать его получается намного быстрее, чем подписывать сам документ.
-
Совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хеш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат.
-
Целостность. Без использования хеш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.
Стоит заметить, что использование хеш-функции не обязательно при электронной подписи, а сама функция не является частью алгоритма ЭП, поэтому хеш-функция может использоваться любая или не использоваться вообще.
В большинстве ранних систем ЭП использовались функции с секретом, которые по своему назначению близки к односторонним функциям. Такие системы уязвимы к атакам с использованием открытого ключа (см. ниже), так как, выбрав произвольную цифровую подпись и применив к ней алгоритм верификации, можно получить исходный текст. Чтобы избежать этого, вместе с цифровой подписью используется хеш-функция, то есть, вычисление подписи осуществляется не относительно самого документа, а относительно его хеша. В этом случае в результате верификации можно получить только хеш исходного текста, следовательно, если используемая хеш-функция криптографически стойкая, то получить исходный текст будет вычислительно сложно, а значит атака такого типа становится невозможной.
Электронная подпись в системе документооборота
... значимый электронный документооборот с партнерскими компаниями, - органами государственной власти и внебюджетными фондами. Функции ЭЦП -Полный контроль целостности передаваемого электронного платежного документа: в случае любого случайного или преднамеренного изменения документа цифровая подпись станет ...
СИММЕТРИЧНАЯ СХЕМА
Симметричные схемы ЭП менее распространены чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи , основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятия ЭП Диффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощью блочного шифра. Асимметричные схемы цифровой подписи опираются на вычислительно сложные задачи, сложность которых еще не доказана, поэтому невозможно определить, будут ли эти схемы сломаны в ближайшее время, как это произошло со схемой, основанной на задаче об укладке ранца. Также для увеличения криптостойкости нужно увеличивать длину ключей, что приводит к необходимости переписывать программы, реализующие асимметричные схемы, и в некоторых случаях перепроектировать аппаратуру. Симметричные схемы основаны на хорошо изученных блочных шифрах.
- В связи с этим симметричные схемы имеют следующие преимущества:
-
Если стойкость шифра окажется недостаточной, его легко можно будет заменить на более стойкий с минимальными изменениями в реализации.
Стойкость симметричных схем ЭП вытекает из стойкости используемых блочных шифров, надежность которых также хорошо изучена.
Однако у симметричных ЭП есть и ряд недостатков:
-
Нужно подписывать отдельно каждый бит передаваемой информации, что приводит к значительному увеличению подписи. Подпись может превосходить сообщение по размеру на два порядка.
-
Сгенерированные для подписи ключи могут быть использованы только один раз, так как после подписывания раскрывается половина секретного ключа.
-
Из-за рассмотренных недостатков симметричная схема ЭЦП Диффи-Хелмана не применяется, а используется её модификация, разработанная Березиным и Дорошкевичем, в которой подписывается сразу группа из нескольких бит. Это приводит к уменьшению размеров подписи, но к увеличению объема вычислений. Для преодоления проблемы «одноразовости» ключей используется генерация отдельных ключей из главного ключа.
АСИММЕТРИЧНАЯ СХЕМА
Асимметричные схемы ЭП относятся к криптосистемам с открытым ключом. В отличие от асимметричных алгоритмов шифрования, в которых зашифрование производится с помощью открытого ключа, а расшифрование — с помощью закрытого, в схемах цифровой подписи подписывание производится с применением закрытого ключа, а проверка — с применением открытого.
Общепризнанная схема цифровой подписи охватывает три процесса:
-
Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.
6 стр., 2878 словЭлектронная цифровая подпись
... должен иметь механизм электронной цифровой подписи, подтверждаемый сертификатом. Владелец сертификата ключа подписи владеет закрытым ключом электронной цифровой подписи, что позволяет ему с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). Для того, чтобы электронный документ могли открыть и ...
-
Формирование подписи. Для заданного электронного документа с помощью закрытого ключа вычисляется подпись.
-
Проверка (верификация) подписи. Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.
Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:
-
Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.
-
Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись
Следует отличать электронную цифровую подпись от кода аутентичности сообщения (MAC).
ВИДЫ АСИММЕТРИЧНЫХ АЛГОРИТМОВ ЭП
Как было сказано выше, чтобы применение ЭП имело смысл, необходимо, чтобы вычисление легитимной подписи без знания закрытого ключа было вычислительно сложным процессом.
Обеспечение этого во всех асимметричных алгоритмах цифровой подписи опирается на следующие вычислительные задачи:
-
Задачу дискретного логарифмирования (EGSA)
-
Задачу факторизации, то есть разложения числа на простые множители (RSA)
Вычисления тоже могут производиться двумя способами: на базе математического аппарата эллиптических кривых (ГОСТ Р 34.10-2001) и на базе полей Галуа (DSA).
В настоящее время самые быстрые алгоритмы дискретного логарифмирования и факторизации являются субэкспоненциальными. Принадлежность самих задач к классу NP-полных не доказана.
Алгоритмы ЭП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением документа. При верификации цифровых подписей с восстановлением документа тело документа восстанавливается автоматически, его не нужно прикреплять к подписи. Обычные цифровые подписи требуют присоединение документа к подписи. Ясно, что все алгоритмы, подписывающие хеш документа, относятся к обычным ЭП. К ЭП с восстановлением документа относится, в частности, RSA.
Схемы электронной подписи могут быть одноразовыми и многоразовыми. В одноразовых схемах после проверки подлинности подписи необходимо провести замену ключей, в многоразовых схемах это делать не требуется.
Также алгоритмы ЭП делятся на детерминированные и вероятностные. Детерминированные ЭП при одинаковых входных данных вычисляют одинаковую подпись. Реализация вероятностных алгоритмов более сложна, так как требует надежный источник энтропии, но при одинаковых входных данных подписи могут быть различны, что увеличивает криптостойкость. В настоящее время многие детерминированные схемы модифицированы в вероятностные.
В некоторых случаях, таких как потоковая передача данных , алгоритмы ЭП могут оказаться слишком медленными. В таких случаях применяется быстрая цифровая подпись. Ускорение подписи достигается алгоритмами с меньшим количеством модульных вычислений и переходом к принципиально другим методам расчета.
ПОЛУЧЕНИЕ ЭЦП
Перед тем как практически начать применять ЭЦП в своей работе, надо создать файлы сертификата и закрытого ключа. Сертификат будет использоваться для проверки подлинности данных подписанных ЭЦП любым человеком, использующим эти данные. А закрытый ключ нужен человеку для формирования ЭЦП подписываемых им данных. При создании сертификатов и ключей используется специальные криптографические программы, которые в принципе есть в составе операционной системы любого компьютера.
Государственная система информации
... промышленности и смежным отраслям, государственным хранилищем патентных документов. Основы государственной системы патентной информации в Беларуси закладывались еще ... тыс. экз.) и государственный фонд патентных документов. Кроме того, имеются электронные каталоги научно-технической литературы ... первичному документу. К вторичным документам относятся рефераты или аннотации описаний к патентам, которые ...
Однако, доверять полученному таким образом сертификатам могут только люди, работающие на этом компьютере. Для того чтобы создать и в дальнейшем использовать сертификат, которому будут доверять все, кто будет проверять подлинность ЭЦП, нужна определенная организация, которая обеспечит нормативную, организационную и правовую основу использования выпущенных ею сертификатов. Такой организацией является Удостоверяющий Центр.
Этапы создания:
-
Договор с Удостоверяющим центром
-
Создание закрытого ключа и получение сертификата
-
Установка криптопровайдера
-
Установка системы «КАРМА
ОСОБЕННОСТИ ЭЛЕКТРОННОГОДОКУМЕНТООБОРОТА
электронного документооборота
электронного документооборота
-
поиск документов;
-
маршрутизация;
-
создание отчетов;
-
ведение архива;
-
администрирование прав доступа к документам различной степени конфиденциальности.
-
Сферу электронного документооборота в основном регулируют следующие нормативные правовые акты:
-
Федеральный закон от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи»;
-
Федеральный закон от 23 сентября 1992 г. № 3523-I «О правовой охране программ для электронных вычислительных машин и баз данных»;
-
Федеральная целевая программа «Электронная Россия (2002—2010 гг.)» (постановление Правительства РФ от 28 января 2002 г. № 65);
-
ГОСТ Р 15489-1—2007 «Управление документами. Общие требования».
В соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе. Федеральный закон «Об электронной цифровой подписи» дает определения основным терминам электронного документооборота:
-
электронный документ — документ, в котором информация представлена в электронно-цифровой форме;
4 стр., 1776 словСистема автоматизации документооборота. Электронный документ Содержание
... - Спб., 2006. 2. Правовой режим электронного документа и документооборота Основным нормативным документом, регламентирующим вопросы электронного документооборота в России, является Федеральный закон от 10.01.02 г. N 1-ФЗ "Об электронной цифровой подписи" (далее - Закон ...
-
электронная цифровая подпись— реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
-
владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);
-
средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
-
сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;
-
закрытый ключ электронной цифровой подписи — уникальная последовательность символов , известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;
-
открытый ключ электронной цифровой подписи — уникальная последовательность символов, соответствующая закрыто к электронному ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;
-
сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
-
подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
-
пользователь сертификата ключа подписи— физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;
4 стр., 1658 словПравовые проблемы использования электронной подписи
... Правовые проблемы использования электронной подписи и способы их решения Важной проблемой использования электронных документов является обеспечение юридической силы таких документов, в связи с чем, для решения этой проблемы предусмотрен такой реквизит электронного документа как электронная цифровая подпись. ...
-
информационная система общего пользования — информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
-
корпоративная информационная система — информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы. Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг специально созданными для этого центрами.
В соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» в целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами. Вопросы использования электронных документов и электронной цифровой подписи освещаются и в других нормативных правовых актах, например в ст. 160 Гражданского кодекса Российской Федерации.
ОСОБЕННОСТИ ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
В недрение системы электронного документооборота (СЭД), позволяет приобрести огромную гибкость в обработке и хранении информации и заставляет бюрократическую систему компании работать быстрее и с большей отдачей. В то же время, СЭД порождает новые риски, и пренебрежения защитой обязательно приведет к новым угрозам конфиденциальности.
Последние несколько лет спрос на системы электронного документооборота (СЭД) увеличивался и, по прогнозам экспертов, эта тенденция продолжится. Осознание выгоды от их использования уже даже давно дошло до самого инертного к новшествам и самого мощного холдинга нашей страны — госсектора, который вышел на это поле с русским размахом, обеспечив существенную долю спроса. Но, внедряя СЭД нельзя забывать о безопасности системы — желающих полазить в чужих документах достаточно. Уже много лет пишутся целые книги о промышленном шпионаже, компьютерных преступлениях, а наиболее практичные уже не один год реализуют написанное на практике.
СТАНДАРТНЫЙ НАБОР УГРОЗ
Угрозы для системы электронного документооборота достаточно стандартны и могут быть классифицированы следующим образом. Угроза целостности — повреждение и уничтожение информации, искажение информации — как не намеренное в случае ошибок и сбоев, так и злоумышленное. Угроза конфиденциальности — это любое нарушение конфиденциальности, в том числе кража, перехват информации, изменения маршрутов следования. Угроза работоспособности системы — всевозможные угрозы, реализация которых приведет к нарушению или прекращению работы системы; сюда входят как умышленные атаки, так и ошибки пользователей, а также сбои в оборудовании и программном обеспечении.
Европейская система защиты прав человека. Роль ОБСЕ
... Начальная структура Суда и механизм рассмотрения дел основана на двухзвенной системе защиты прав, которая включает Европейскую Комиссию по Правам Человека (устаревший или ненужный на сегодняшний день) и Суд. Дихотомия ... заведения, и поговорить с задержанными людьми или с любым, кто может дать подходящую информацию, такие как НПО занимающиеся правами человека. Комитет по окончании визитов пишет ...
Защиту именно от этих угроз в той или иной мере должна реализовывать любая система электронного документооборота. При этом, с одной стороны, внедряя СЭД, упорядочивая и консолидируя информацию, увеличиваются риски реализации угроз, но с другой стороны, как это ни парадоксально, упорядочение документооборота позволяет выстроить более качественную систему защиты.
Источников угроз в нашем небезопасном мире не мало: это и «кривые руки» некоторых системных администраторов, и техника, которая имеет свойство ломаться в самый не подходящий момент, и форс-мажорные обстоятельства, которые редко, но все же происходят. И даже если серверы не пострадают от пожара, произошедшего в здании, будьте уверенны — их непременно зальют водой приехавшие пожарники. В целом же, можно выделить несколько основных групп: легальные пользователи системы , административный ИТ-персонал, внешние злоумышленники.
Спектр возможных злодеяний легальных пользователей достаточно широк — от скрепок в аппаратных частях системы до умышленной кражи информации с корыстной целью. Возможна реализация угроз в разных классах: угрозы конфиденциальности, угрозы целостности. Пользователь системы — это потенциальный злоумышленник, он может сознательно или не сознательно нарушить конфиденциальность информации.
Особая группа — это административный ИТ-персонал или персонал службы ИТ-безопасности. Эта группа, как правило, имеет неограниченные полномочия и доступ к хранилищам данных, поэтому к ней нужно отнестись с особым вниманием. Они не только имеют большие полномочия, но и наиболее квалифицированы в вопросах безопасности и информационных возможностей. Не так важен мотив этих преступлений, был ли это корыстный умысел или ошибка, от которой никто не застрахован, результат один — информация либо потерялась, либо получила огласку. Согласно многочисленным исследованиям, от 70 до 80% потерь от преступлений приходятся на атаки изнутри. Набор внешних злоумышленников сугубо индивидуален. Это могут быть и конкуренты, и партнеры, и даже клиенты.
КАК ЗАЩИЩАТЬ?
Не останавливаясь на средствах защиты компьютерных сетей, сетевых устройств и операционных систем с их файловыми система, представляющих отдельную тему для разговора, рассмотрим более подробно средства, интегрированные в сами СЭД. Любая СЭД, претендующая на звание «защищенной», должна как минимум предусмотреть механизм защиты от основных ее угроз: обеспечение сохранности документов, обеспечение безопасного доступа, обеспечение подлинности документов, протоколирование действия пользователей.
Обеспечение сохранности документов
СЭД должна обеспечить сохранность документов от потери и порчи и иметь возможность их быстрого восстановления. Статистика неумолима, в 45% случаев потери важной информации приходятся на физические причины (отказ аппаратуры, стихийные бедствия и подобное), 35% обусловлены ошибками пользователей и менее 20% — действием вредоносных программ и злоумышленников. Опрос аналитической компании Deloitte Touche, проведенный в начале 2006 г., показал, что более половины всех компаний сталкивались с потерей данных в течение последних 12 месяцев. 33% таких потерь привели к серьезному финансовому ущербу. Представители половины компаний, переживших потерю данных, заявляют, что причиной инцидента стал саботаж или халатное отношение к правилам информационной политики компании, и только 20% респондентов сообщили, что интеллектуальная собственность их компаний защищена должным образом. Всего 4% опрошенных заявило, что их работодатели обращают должное внимание на информационную политику компании. Что касается СЭД, то в эффективности ее защиты уверено только 24% участников опроса.
Понятие электронного документа
... Федеральному закону «Об электронной цифровой подписи» электронный документ — документ, в котором информация представлена в электронно-цифровой форме. В соответствии с редакцией 2000 г. Федерального закона «Об информации, информатизации и защите информации» электронный документ — сведения, представленные ...
Так, например, СЭД, в основе своей использующие базы данных Microsoft SQL Server или Oracle, предпочитают пользоваться средствами резервного копирования от разработчика СУБД (в данном случае Microsoft или Oracle).
Иные же системы имеют собственные подсистемы резервного копирования, разработанные непосредственно производителем СЭД. Сюда следует также отнести возможность восстановление не только данных, но и самой системы в случае ее повреждения.
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОГО ДОСТУПА
Этот момент обычно все понимают под безопасностью СЭД, чем часто ограничивают понятие безопасности систем. Безопасный доступ к данным внутри СЭД обеспечивается аутентификацией и разграничением прав пользователя.
Для упрощения будем называть процессы установления личности пользователя и процессы подтверждения легитимности пользователя на то или иное действие или информацию одним термином — аутентификацией, понимая под ним весь комплекс мероприятий, проводимых как на входе пользователя в систему, так и постоянно в течении его дальнейшей работы.
Здесь необходимо заострить внимание на методах аутентификации. Самый распространенный из них, конечно, парольный. Основные проблемы, которые сильно снижают надежность данного способа — это человеческий фактор. Даже если заставить пользователя использовать правильно сгенерированный пароль, в большинстве случаев его можно легко найти на бумажке в столе или под клавиатурой, а особо «талантливые» обычно прикрепляют ее прямо на монитор.
Самый старый из известных миру способов аутентификации — имущественный. В свое время полномочия владельца сундука подтверждались ключами, сегодня прогресс ушел далеко вперед, и полномочия пользователя подтверждаются специальным носителем информации. Существует множество решений для имущественной аутентификации пользователя: это всевозможные USB-ключи, смарт-карты, «таблетки» магнитные карты, в том числе используются и дискеты, и CD. Здесь также не исключен человеческий фактор , но злоумышленнику необходимо также заполучить сам ключ и узнать PIN-код.
Максимально надежный для проведения идентификации и последующей аутентификации способ — биометрический, при котором пользователь идентифицируется по своим биометрическим данным ( это может быть отпечаток пальца, сканирования сетчатки глаза, голос).
Однако в этом случае стоимость решения выше, а современные биометрические технологии еще не настолько совершенны, чтобы избежать ложных срабатываний или отказов.
Еще один важный параметр аутентификации — количество учитываемых факторов. Процесс аутентификации может быть однофакторным, двухфакторным и т.д. Также возможно комбинирование различных методов: парольного, имущественного и биометрического. Так, например, аутентификация может проходить при помощи пароля и отпечатка пальца (двухфакторный способ).
РАЗГРАНИЧЕНИЯ ПРАВ ПОЛЬЗОВАТЕЛЯ
В любой системе обязательно должно быть предусмотрено разграничение прав пользователя — и чем гибче и детальнее, тем лучше. Пусть потребуется большее время на настройку, но в итоге мы получим более защищенную систему. Разграничение прав внутри системы технически устраивают по-разному: это может быть полностью своя подсистема, созданная разработчиками СЭД, или подсистема безопасности СУБД, которую использует СЭД. Иногда их разработки комбинируют используя свои разработки и подсистемы СУБД. Такая комбинация предпочтительнее, она позволяет закрыть минусы подсистем безопасности СУБД, которые также имеют «дыры».
КОНФИДЕНЦИАЛЬНОСТЬ
Огромным преимуществом для конфиденциальности информации обладают криптографические методы защиты данных. Их применение позволят не нарушить конфиденциальность документа даже в случае его попадания в руки стороннего лица. Не стоит забывать, что любой криптографический алгоритм обладает таким свойством как криптостокойсть, т.е. и его защите есть предел. Нет шифров, которые нельзя было бы взломать — это вопрос только времени и средств. Те алгоритмы, которые еще несколько лет назад считались надежными, сегодня уже успешно демонстративно взламываются. Поэтому для сохранения конфиденциальности убедитесь, что за время, потраченное на взлом зашифрованной информации, она безнадежно устареет или средства, потраченные на ее взлом, превзойдут стоимость самой информации.
Кроме того, не стоит забывать об организационных мерах защиты. Какой бы эффективной криптография не была, ничто не помешает третьему лицу прочитать документ, например, стоя за плечом человека, который имеет к нему доступ. Или расшифровать информацию, воспользовавшись ключом который валяется в столе сотрудника.
ОБЕСПЕЧЕНИЕ ПОДЛИННОСТИ ДОКУМЕНТОВ
Сегодня основным и практически единственным предлагаемым на рынке решением для обеспечения подлинности документа является электронно-цифровой подписи (ЭЦП).
Основной принцип работы ЭЦП основан на технологиях шифрования с ассиметричным ключом. Т.е. ключи для шифрования и расшифровки данных различны. Имеется «закрытый» ключ, который позволяет зашифровать информацию, и имеется «открытый» ключ, при помощи которого можно эту информацию расшифровать, но с его помощью невозможно «зашифровать» эту информацию. Таким образом, владелец «подписи» должен владеть «закрытым» ключом и не допускать его передачу другим лицам, а «открытый» ключ может распространяться публично для проверки подлинности подписи, полученной при помощи «закрытого» ключа.
Для наглядности ЭЦП можно представить как данные, полученные в результате специального криптографического преобразования текста электронного документа. Оно осуществляется с помощью так называемого «закрытого ключа» — уникальной последовательности символов, известной только отправителю электронного документа. Эти «данные» передаются вместе с текстом электронного документа его получателю, который может проверить ЭЦП, используя так называемый «открытый ключ» отправителя — также уникальную, но общедоступную последовательность символов, однозначно связанную с «закрытым ключом» отправителя. Успешная проверка ЭЦП показывает, что электронный документ подписан именно тем , от кого он исходит, и что он не был модифицирован после наложения ЭЦП.
Таким образом, подписать электронный документ с использованием ЭЦП может только обладатель «закрытого ключа», а проверить наличие ЭЦП — любой участник электронного документооборота, получивший «открытый ключ», соответствующий «закрытому ключу» отправителя. Подтверждение принадлежности «открытых ключей» конкретным лицам осуществляет удостоверяющий центр — специальная организация или сторона, которой доверяют все участники информационного обмена. Обращение в удостоверяющие центры позволяет каждому участнику убедиться, что имеющиеся у него копии «открытых ключей», принадлежащих другим участникам (для проверки их ЭЦП), действительно принадлежат этим участникам.
Большинство производителей СЭД уже имеют встроенные в свои системы, собственноручно разработанные или партнерские средства для использования ЭЦП, как, например, в системах Directum или «Евфрат-Документооборот». Такой тесной интеграции с ЭЦП немало способствовал и выход федерального закона о ЭЦП (№1–ФЗ от 10.01.2002г.) в котором электронная цифровая подпись была признана имеющий юридическую силу наряду с собственноручной подписью. Стоить заметить, что согласно законам РФ, свою систему электронной цифровой подписью может разрабатывать только компания, имеющая на это соответствующую лицензию от ФАПСИ (ныне от ФСБ).
Равно как и компания, использующая в своих разработках ЭЦП, должна иметь лицензию от органов государственной власти.
Протоколирование действий пользователей
ЗАКОНОДАТЕЛЬНОЕ РЕГУЛИРОВАНИЕ
Российское законодательство в течение последних нескольких лет начинает активно проявлять интерес к высоким технологиям. Однако пока мы идем с отставанием, по сравнению с рядом зарубежных стран, в области правового регулирования информационных технологий и документооборота в частности. Последним прямо настоящим прорывом было принятие федерального закона от 10 января 2002 «Об электронной цифровой подписи». В нем ЭЦП приравнена к собственноручной подписи при соблюдении соответствующих условий указанных в законе и даже может рассматриваться заменой печати организации, естественно так же при соблюдении соответствующих условий. Помимо указанного ФЗ «Об ЭЦП» сейчас электронный документооборот в нашей стране регулируется рядом следующих законов: ФЗ «Об информации, информатизации и защите информации», который содержит формальные определения таких понятий, как «информация», «документированная информация», «документ», «информатизация», «информационные ресурсы».
Федеральный законы «О связи» и «Об участии в международном информационном обмене» также определяют понятия «документированная информация», «информационные ресурсы», «информационные продукты», «информационные услуги». Например, под «документом» здесь понимается «зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать». Косвенно электронного документооборота также касается закон «О лицензировании отдельных видов деятельности», устанавливающий обязательность лицензирования деятельности по выдаче сертификатов ключей ЭЦП, регистрации владельцев ЭЦП, оказанию услуг, связанных с использованием ЭЦП, и подтверждению подлинности ЭЦП. Здесь же предусмотрено лицензирование деятельности: по распространению шифровальных (криптографических) средств, по техническому обслуживанию шифровальных (криптографических) средств, по предоставлению услуг в области шифрования информации, по разработке, производству шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.
Кроме того, есть целый ряд ГОСТов. ГОСТ 6.10.4-84 «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники», определяющий требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинных носителях, информации, создаваемым средствами вычислительной техники, а также порядок внесения изменений в указанные документы; ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования»; ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».
Список законов и государственных стандартов представлен здесь не полно, кроме указанных существует еще ряд постановлений, указов, писем, стандартов, для описания которых потребуется, наверное, отдельный выпуск журнала. Следует заметить, что работа в правом регулирования области ИТ продолжается и сейчас. В Государственной думе во втором чтении был принят законопроект нового закона «Об информации, информационных технологиях и о защите информации». Данный проект закона определяет порядок сбора, передачи, производства и распространения информации в РФ, использования информационно-телекоммуникационных сетей, устанавливает ответственность за нарушения в сфере информтехнологий и коммуникаций. Вводятся новые понятия («обладатель информации», «информационная технология», «оператор информационной системы» и другие), обеспечивающие однозначное толкование законодательных норм. За обладателем информации закрепляются исключительные права на определение доступа к информационным ресурсам и их использование. Законопроект вводит классификацию информации по критериям доступности и способам распространения. Фиксируется «презумпция открытости информации о деятельности государственных органов и органов местного самоуправления». В проекте закона записано , что «право на доступ к какой-либо информации не может быть использовано для насильственного изменения основ конституционного строя, нарушения территориальной целостности РФ, создания угроз обороне страны, безопасности государства и охране правопорядка». Поправки о запрете использования импортного программного оборудования (ПО) на стратегических объектах России были отклонены депутатами Государственной Думы.
ЗАКЛЮЧЕНИЕ
Основное проблемное место при организации защиты СЭД, как отмечают большинство разработчиков систем защиты, это не технические средства, а лояльность пользователей. Как только документ попадает к пользователю, конфиденциальность этого документа по отношению к пользователю уже нарушена. Техническими мерами в принципе невозможно предотвратить утечку документа через этого пользователя. Он найдет множество способов скопировать информацию, от сохранения его на внешний носитель до банального фотографирования документа с помощью камеры, встроенной в сотовый телефон. Основные средства защиты здесь — это организационные меры по ограничению доступа к конфиденциальным документам и работы с самим пользователем. Он должен понимать степень своей ответственности, которую несет перед организацией и законом Российской Федерации.
Системы российских разработчиков условно можно поделить на две группы — ориентированные на коммерческое использование (Directum, «Ефрат-документооборот», LanDoc, Optima-WorkFlow) и ориентированные на использование в государственных структурах («Гран-Док» и «Золушка»).
Это не означает, что их применение строго ограничено, некоторые системы вполне успешно применяются как в государственных структурах, так и в коммерческих организациях. Просто каждая их этих групп имеет свою специфику не только в технологиях организации документооборота и делопроизводства, но и свои отличительные черты в системах защиты.
Основное отличие в системах защиты — это алгоритмы, применяемые в шифровании и ЭЦП К сожалению, пока вопрос защищенности систем документооборота только начинает интересовать конечных пользователей и разработчиков соответственно. Практически все системы обладают парольной аутентификацией и разграничением доступа пользователей. Некоторые из них имеют также возможности интеграции с Windows-аутентификацией, что дает возможность пользоваться дополнительными средствами аутентификации, поддерживаемыми Windows. Не все из перечисленных решений имеют свою криптографическую защиту — шифрование документов или ЭЦП. В ряде продуктов это возможно только при помощи дополнительных средств сторонних разработчиков.
Подход к защите электронного документооборота должен быть комплексным. Необходимо трезво оценивать возможные угрозы и риски СЭД и величину возможных потерь от реализованных угроз. Как уже говорилось, защиты СЭД не сводится только лишь к защите документов и разграничению доступа к ним. Остаются вопросы защиты аппаратных средств системы, персональных компьютеров, принтеров и прочих устройств; защиты сетевой среды, в которой функционирует система, защита каналов передачи данных и сетевого оборудования, возможно выделение СЭД в особый сегмент сети. Комплекс организационных мер играют роль на каждом уровне защиты, но им, к сожалению, часто пренебрегают. А ведь здесь и инструктаж, и подготовка обычного персонала к работе с конфиденциальной информацией. Плохая организация может свести к нулю все технические меры, сколь совершенны они бы не были.
ЛИТЕРАТУРА
[Электронный ресурс]//URL: https://pravsob.ru/referat/fz-ob-elektronnoy-podpisi/
-
Панасенко, С. П. Основы криптографии для экономистов: учеб. пособие: — М. : Финансы и статистика, 2005. — С. 175.
-
Кобелев, О. А. Электронная коммерция: учеб. Пособие. — 3-е изд. — М. : 2008. — С. 684.
-
Акопов, Г. Л. Правовая информатика: учеб. пособие М. и К. Дашков; 2009. — С. 320.
-
Рябко, Б. Я., Фионов А. Н. Основы современной криптографии. — М. : Научный Мир, 2004. — С.173.
-
Мао, В. Современная криптография. Теория и практика: книга. — М. : Вильямс, 2005. — С. 768.