Някои аспекти на защитата на електронното управление на документи

Алексей Сабанов,
Търговски директор на ЗАО "Aladdin R.D.", д-р.

Доскоро концепцията за сигурен електронен документ­оборотът (ZED) беше размит­затрупано и непълно. Той не е разкрит в нормативните документи. На уебсайтовете на разработчиците на системи за електронно управление на документи (EDMS) все още можете да намерите редица определения, от които следва, че е достатъчно да се използва­използване на електронен цифров подпис (EDS). В същото време, как правилно да се използва EDS, как­Често не се обяснява каква инфраструктура е необходима и какви сигурни услуги трябва да бъдат разположени въз основа на нея. На сайтове за интеграция­tori обикновено предоставят примери за конкретни изпълнения на ESA системи от конкретни доставчици, с които­рите интегратори са разработили определени бизнес отношения и имат специалисти, обучени за изпълнение.

Понятието ZED се дефинира от­определено трудно, особено в контекста на променящата се правна уредба­това поле, липса на стандарти и бързо развиваща се технология­гий. Имайки това предвид, ще се опитаме да засегнем някои от най-противоречивите и актуални въпроси на защитата на EDMS, като по този начин ще разработим и разкрием самата концепция за EDMS и нейните компоненти.

Защо задачата за защита на документооборота става спешна едва сега?

Ако отговорите на този въпрос­нарасна изключително кратко, тогава току-що дойде времето. Има няколко основни причини, поради които развитието на ZED сега е във фокуса на вниманието:

● с прякото участие на висши държавни служители, интензивно­но публичните услуги се развиват, предоставяни в електронна форма­без форма, обменът на електронни документи бързо достига критичен обем, при който­ромът неизбежно повдига въпроси за защита на поверителната информация­формация, по-специално човек­локални данни;

● услуги, предоставяни по електронен път­редовна форма, трябва да се основава­Xia на ZED, от създаването­електронен документ в отговор на искане от физическо или юридическо лице, като правило­vilo, предшествано от огромен ra­бот за обмен на документи между­от много отдели, които­далеч не винаги е необходимо да се прави публично достояние;

● има реална нужда­способността да се предоставят и разберат механизмите на даване­рони документи на юридически­каква мощност наравно с хартиените документи.

Промяна на парадигмата на отбраната

Ако по-ранните електронни документи или информация са били защитени­ресурсни ресурси, съдържащи документи, сега основният вектор на атака се променя и съответно­по-специално обектът на защита. Освен тра­отдалечени атаки върху информация­все по-често техният обект се превръща във взаимодействието на „човека­век - електронен документ "," th­Ловек е информационен ресурс ”. Основната теза: не трябва да се защитават документите, а самите системи за трансфер.­отдаване, обработка и съхранение на електрически­на престолни документи, когато законните потребители имат достъп до работа с електронни документи.

Ясно е, че взаимодействието е процес и като всеки друг продължава във времето. Задачата за защита на взаимодействието, подобно на самия процес, е разделена на етапи. Един от­и по-значима е процедурата­достъп на потребителя до системата, до инструменти за обработка и­рядко за документи. Например­мерки, системата за контрол на достъпа трябва да осигури минимизиране­права за достъп за всеки потребител­доставчик на принципа на достатъчност

за извършване на директни сервизни функции. Много е важно да се осигури сигурен достъп, като се използват като механизми­mov на двупосочно двуфакторно удостоверяване на такива усъвършенствани услуги за сигурност като цифров подпис. За това е необходимо да се изгради инфраструктура с публичен ключ, система за управление на частен ключ, да се използва защитено­медия (ще говорим за тях по-долу), но това ще защити взаимодействието на потребителя с­ресурси за формиране и сътрудничество­документите, съдържащи се в тях.

Какво е сигурно управление на електронни документи?

Основната идея е, че за­към защитата на системата за електронно управление на документи трябва да се подходи от гледна точка на класиката­щитове на информационната система. А именно, в допълнение към вече известните сред разработчиците на EDMS задачи за защита на електронните документи, като:

● удостоверяване на потребителя и споделяне на достъп;

● електрон за контрол на целостта­документ за крак;

● поверителност по електронен път­ти документ;

● осигуряване на правно значение­електронни мостове за документи,

за организацията на ZED е необходимо да се използват механизми за осигуряване­четене:

● наблюдение на целостта на­моят софтуер;

● регистрация на събития в информация­национални системи;

● виртуални частни мрежи;

● одит на информационната сигурност­ност,

които са добре познати на специалистите­листове за защита на данните.

Помислете за някои аспекти на защитата на EDMS, които причиняват дискусия­тези и въпроси на конференции и семинари.

Удостоверяване на потребителя

По този начин уникалната идентификация е възможна само чрез удостоверяване. Auten­удостоверяването е потвърждение на идентичността на идентификатора,­хакнат, обикновено чрез криптографски трансформации­Ний. В резултат на това получаваме логично­верига: няма надеждна лична карта­тификацията не може да се откаже, най-надеждната идентификация е­Следователно удостоверяването не може да се направи без удостоверяване.Освен това силното удостоверяване позволява не само да се отдели, но и да персонализира достъпа, т.е.да накара всички потребители, работещи, например, с лични данни, да отговарят лично за всичките си действия.­с тези данни. Както бе споменато по-горе, в този случай е необходимо достъпът да бъде минимален­точно да изпълнява работни задължения. Модерен под­преместване за организиране на персона­фиксираният достъп е използването на базирани на PKI решения, а механизмът за удостоверяване е процедурата EDS.

Като се има предвид всичко по-горе, може да се твърди, че общата­Задачите за организацията на ZED са:

● силно удостоверяване на потребителя­доставчиците да организират достъпа до защитени и информационно значими ресурси;

● ограничаване на достъпа до поверителни­социална информация и човек­локални данни;

● блокиране на неоторизирано­свободен достъп;

● осигуряване на публичност­информация за Ной.

Инфраструктурни решения

Компоненти на инфра­структурите за осигуряване на ZED са:

● инфраструктура на електронни бази данни на документи (регистри, ре­histrs, описи), принадлежащи­различни отдели;

● EDS инфраструктура, включително­с разрешено сертифициране­центрове, които са част от единна система, базирана на развита инфраструктура­публични ключови структури -PKI. Архитектурата на националната PKI система все още не е окончателно одобрена, но всички разбират, че съществуващите ведомствени „острови на доверие“ трябва да бъдат свързани в единна система;

● инфраструктура на надеждни услуги, като доверена трета страна, надеждна времева инфраструктура (базирана на надежден източник на време) за щамповане на времето­ток, приложен към електронен документ: udos инфраструктура­Потвърждение на мястото на публикуване на документи­че (сделка, договор, споразумение, споразумение) две или повече сто­Доверен Доверен Роунс­та страна;

● инфраструктура на електронната ре­информация за участниците­взаимодействие за под­потвърждение на техния правен статут, правомощия, правомощия и права на подпис.

Предизвикателството при управлението на частни ключове

Съгласно параграф 1 на чл. 12 от Закон No 1-FZ "За електронните цифрови подписи" задачата за съхранение е затворена­този ключ е на собственика му­tse. Може ли необучен потребител самостоятелно да оборудва­дръж се близо­този ключ?

Трябва да се гарантира сигурността на личния ключ на потребителя­чена на всеки етап от живота му­цикъл: на етапа на генериране на двойка ключове (отворена и затворена­допълнителни ключове), докато съхранявате частния ключ, когато използвате­частният ключ (извършване на криптографски операции,­бъдеща употреба затворена­потребителски ключ, например, образуването на EDS) и при унищожаване­частен ключ.

електронния
Генериране на двойката ключове трябва­да работи в околната среда, с изключение на­което както възможността за влияние на нападателя върху самия процес на генериране, така и вероятността за­получаване на всякаква информация за частния ключ, която по-късно­tvi може да се използва, когато се опитвате да го възстановите. Когато съхранявате частния ключ, трябва­трябва да сме сигурни, че е поверително­Социалност и почтеност Ключът трябва да бъде надеждно защитен от неоторизиран достъп и модификация. Най-добрите мустаци­тризнаци за поколение и храм­частните ключове са хардуерни устройства (eToken), които също са предназначени да извършват криптографски операции, които изискват използването на­частен ключ.

Когато използвате частен ключ, е важно да изключите възможността­прихващане и неразрешено­предназначена (против волята и желанието на собственика) употреба.

И накрая, на етапа унищожени­изисква се частният ключ­да гарантира гарантирано унищожаване на информация и пол­възможността за многократното му използване (например чрез възстановяване на преди­самотно съхранение).

Правно значим електронен документооборот

Ролята на сигурния работен процес днес

Разбира се, конструкцията на „елек­тронно правителство "трябва да даде мощен тласък за развитието на системата­теми ZED, Например, развитието на такива масивни системи като държавата­kupok, невъзможно е без ZED, Всъщност самото наддаване трябва да бъде един вид връх на пирамидата, чиято основа трябва да бъде­обмен на документи (събиране на заявления от потребители, бюджет­дажба, обосновка на разходите

и т.н.). Ролята на ZED е не по-малко важна при предоставянето на обществени услуги, използващи електронни документи.­ченгета. Тук въпросите за междуведомствения обмен също ще възникнат с пълен растеж.­върху защитени документи­които ще формират основата за изготвяне по искане на гражданин или организация на електронен документ, който има правни последици.

Бих искал това, както в случая с проекта на Закон „За електро­рон подпис ", законодателните иновации вървяха в крак с времето­не забавихме, но помогнахме за развитието на обещаващи технологии­gii, допринасящи за повишаване на сигурността на взаимодействието­противник - информационни ресурси ", и броя на измамите, по-специално с лични данни,­пазвата намаля.

Какви закони и наредби трябва да бъдат приети, за да придобият юридическа сила електронните документи (ЕД) и каква е ролята на сигурния работен процес в електронното управление? С този въпрос се обърнахме към експерти от бранша.

Коментари на експерти

Сергей КАЗАКОВ, Ръководител на отдела за иновативни проекти, администрация на Волгоград­■ площ

Когато се прилага­nii юридически знам­възниква най-важният EDF­Има много усложнения. На първо място, как не­изпрати ЕД до църквата­нение? Що за архив ще бъде? Как ще се регулира дейността му? Може би се нуждаем от закон "За електрона­архиви ". В противен случай не е ясно кой документ е хартиен или електронен­ny е основният и който е неговото копие. Не е ясно и как да се разглеждат молбите на гражданите, получени в електронна форма? В крайна сметка Законът „За процедурата за разглеждане­ний на граждани на Руската федерация “недвусмислено казва, че жалбата на гражданин е писмено предложение, изявление или жалба. Съответно този закон също трябва да бъде изменен. Освен това гражданинът ще получи държава­услуга за дарение в електронна форма без EDS е невъзможна. В противен случай държавната агенция няма да може да идентифицира разписката­доставчик на услуги. Следователно е необходимо законодателно да се определи какви услуги гражданите могат да получат в електронна форма и процедурата за получаването им, както и процедурата гражданите да получават свои­EDS.

Ако документите не са сек­на дребно или ПДЧ, не съдържат лични­nal data не е проект­mi нормативни правни актове, а след това за такива документи и тяхното преобладаващо мнозинство в документооборота на органа­при захранване, защитата се осъществява от­безплатни средства за контрол на достъпа: потребителско влизане в системата с атрибутите на достъп до системата, издадени му (вход, парола).

Андрей МОЛОТКОВ, Съветник на катедра „Информационни и комуникационни технологии и отбрана“­вие сте информацията на Службата­държава на Република Башкортостан

Осигурено финансиране, възложено в Република Башкортостан­документооборот на получатели на бюджетни средства. Около 6 милиона документа циркулират годишно между 15 хиляди потребители на организацията.­получатели на бюджета. Мисля, че това недвусмислено характеризира нашето отношение към ролята на ZED в електронното управление.

Виктор ГАВРИЛОВ, първи заместник-ръководител на унитарно предприятие­управление 8-ми център на ФСБ на Русия

Електронното управление на документи (EDM) е система­компонент, формиращ тема­рон правителство­вие, защото без него не може да бъде решен проблем на електронното право.­тела. Изграждането на интегрирана EDM система за защита на информацията изисква точно описание на обектите и целите на защитата. Към днешна дата обаче понятията ED и EDF не са дефинирани по смисъл. Не е определено­процедурата за признаване на ЕД, процедурата за прехвърляне от електронна на хартиена форма и обратно, процедурата за нотариус­проверка на ED, ED формат, неговите реки­посещения, процедурата за архивиране на ED и др. EDM трябва да обхваща всички етапи от жизнения цикъл на ED, но настоящата регулаторна правна рамка (NPB) практически не може да бъде решена­въпроси на електронни де­производство и архивно съхранение на ЕД. Горният списък на правните проблеми показва необходимостта от подобряване на НПБ. В същото време на ниво федерално законодателство трябва да бъдат уредени въпросите за признаване на ED, правомощията на федералните изпълнителни органи в областта на EDI и електронното деловодство, включително въпроси за осигуряване на сигурността на информацията­ция. На ниво подзаконови актове дол­трябва да се определи процедурата за създаване и експлоатация на автоматизирани системи, които прилагат EDM. Техноло­геоложки въпроси, като се вземат предвид темповете на развитие на информационните технологии­gii трябва да бъде решен на техническо ниво­технически регламенти и стандарти. В същото време, за да се осигури възможност за автоматичен обмен на електронни документи, нивото на стандартизация по отношение на детайлите и форматите на електронните документи трябва да съответства на нивото на стандартизация в областта на електронните документи.­токоли за предаване на данни.