Някои аспекти на защитата на електронното управление на документи
Алексей Сабанов,
Търговски директор на ЗАО "Aladdin R.D.", д-р.
Доскоро концепцията за сигурен електронен документоборотът (ZED) беше размитзатрупано и непълно. Той не е разкрит в нормативните документи. На уебсайтовете на разработчиците на системи за електронно управление на документи (EDMS) все още можете да намерите редица определения, от които следва, че е достатъчно да се използваизползване на електронен цифров подпис (EDS). В същото време, как правилно да се използва EDS, какЧесто не се обяснява каква инфраструктура е необходима и какви сигурни услуги трябва да бъдат разположени въз основа на нея. На сайтове за интеграцияtori обикновено предоставят примери за конкретни изпълнения на ESA системи от конкретни доставчици, с коиторите интегратори са разработили определени бизнес отношения и имат специалисти, обучени за изпълнение.
Понятието ZED се дефинира отопределено трудно, особено в контекста на променящата се правна уредбатова поле, липса на стандарти и бързо развиваща се технологиягий. Имайки това предвид, ще се опитаме да засегнем някои от най-противоречивите и актуални въпроси на защитата на EDMS, като по този начин ще разработим и разкрием самата концепция за EDMS и нейните компоненти.
Защо задачата за защита на документооборота става спешна едва сега?
Ако отговорите на този въпроснарасна изключително кратко, тогава току-що дойде времето. Има няколко основни причини, поради които развитието на ZED сега е във фокуса на вниманието:
● с прякото участие на висши държавни служители, интензивноно публичните услуги се развиват, предоставяни в електронна формабез форма, обменът на електронни документи бързо достига критичен обем, при койторомът неизбежно повдига въпроси за защита на поверителната информацияформация, по-специално човеклокални данни;
● услуги, предоставяни по електронен пътредовна форма, трябва да се основаваXia на ZED, от създаванетоелектронен документ в отговор на искане от физическо или юридическо лице, като правилоvilo, предшествано от огромен raбот за обмен на документи междуот много отдели, коитодалеч не винаги е необходимо да се прави публично достояние;
● има реална нуждаспособността да се предоставят и разберат механизмите на даванерони документи на юридическикаква мощност наравно с хартиените документи.
Промяна на парадигмата на отбраната
Ако по-ранните електронни документи или информация са били защитениресурсни ресурси, съдържащи документи, сега основният вектор на атака се променя и съответнопо-специално обектът на защита. Освен траотдалечени атаки върху информациявсе по-често техният обект се превръща във взаимодействието на „човекавек - електронен документ "," thЛовек е информационен ресурс ”. Основната теза: не трябва да се защитават документите, а самите системи за трансфер.отдаване, обработка и съхранение на електрическина престолни документи, когато законните потребители имат достъп до работа с електронни документи.
Ясно е, че взаимодействието е процес и като всеки друг продължава във времето. Задачата за защита на взаимодействието, подобно на самия процес, е разделена на етапи. Един оти по-значима е процедуратадостъп на потребителя до системата, до инструменти за обработка ирядко за документи. Напримермерки, системата за контрол на достъпа трябва да осигури минимизиранеправа за достъп за всеки потребителдоставчик на принципа на достатъчност
за извършване на директни сервизни функции. Много е важно да се осигури сигурен достъп, като се използват като механизмиmov на двупосочно двуфакторно удостоверяване на такива усъвършенствани услуги за сигурност като цифров подпис. За това е необходимо да се изгради инфраструктура с публичен ключ, система за управление на частен ключ, да се използва защитеномедия (ще говорим за тях по-долу), но това ще защити взаимодействието на потребителя сресурси за формиране и сътрудничестводокументите, съдържащи се в тях.
Какво е сигурно управление на електронни документи?
Основната идея е, че закъм защитата на системата за електронно управление на документи трябва да се подходи от гледна точка на класикатащитове на информационната система. А именно, в допълнение към вече известните сред разработчиците на EDMS задачи за защита на електронните документи, като:
● удостоверяване на потребителя и споделяне на достъп;
● електрон за контрол на целосттадокумент за крак;
● поверителност по електронен пътти документ;
● осигуряване на правно значениеелектронни мостове за документи,
за организацията на ZED е необходимо да се използват механизми за осигуряванечетене:
● наблюдение на целостта намоят софтуер;
● регистрация на събития в информациянационални системи;
● виртуални частни мрежи;
● одит на информационната сигурностност,
които са добре познати на специалистителистове за защита на данните.
Помислете за някои аспекти на защитата на EDMS, които причиняват дискусиятези и въпроси на конференции и семинари.
Удостоверяване на потребителя
По този начин уникалната идентификация е възможна само чрез удостоверяване. Autenудостоверяването е потвърждение на идентичността на идентификатора,хакнат, обикновено чрез криптографски трансформацииНий. В резултат на това получаваме логичноверига: няма надеждна лична картатификацията не може да се откаже, най-надеждната идентификация еСледователно удостоверяването не може да се направи без удостоверяване.Освен това силното удостоверяване позволява не само да се отдели, но и да персонализира достъпа, т.е.да накара всички потребители, работещи, например, с лични данни, да отговарят лично за всичките си действия.с тези данни. Както бе споменато по-горе, в този случай е необходимо достъпът да бъде минималенточно да изпълнява работни задължения. Модерен подпреместване за организиране на персонафиксираният достъп е използването на базирани на PKI решения, а механизмът за удостоверяване е процедурата EDS.
Като се има предвид всичко по-горе, може да се твърди, че общатаЗадачите за организацията на ZED са:
● силно удостоверяване на потребителядоставчиците да организират достъпа до защитени и информационно значими ресурси;
● ограничаване на достъпа до поверителнисоциална информация и човеклокални данни;
● блокиране на неоторизираносвободен достъп;
● осигуряване на публичностинформация за Ной.
Инфраструктурни решения
Компоненти на инфраструктурите за осигуряване на ZED са:
● инфраструктура на електронни бази данни на документи (регистри, реhistrs, описи), принадлежащиразлични отдели;
● EDS инфраструктура, включителнос разрешено сертифициранецентрове, които са част от единна система, базирана на развита инфраструктурапублични ключови структури -PKI. Архитектурата на националната PKI система все още не е окончателно одобрена, но всички разбират, че съществуващите ведомствени „острови на доверие“ трябва да бъдат свързани в единна система;
● инфраструктура на надеждни услуги, като доверена трета страна, надеждна времева инфраструктура (базирана на надежден източник на време) за щамповане на времетоток, приложен към електронен документ: udos инфраструктураПотвърждение на мястото на публикуване на документиче (сделка, договор, споразумение, споразумение) две или повече стоДоверен Доверен Роунста страна;
● инфраструктура на електронната реинформация за участницитевзаимодействие за подпотвърждение на техния правен статут, правомощия, правомощия и права на подпис.
Предизвикателството при управлението на частни ключове
Съгласно параграф 1 на чл. 12 от Закон No 1-FZ "За електронните цифрови подписи" задачата за съхранение е затворенатози ключ е на собственика муtse. Може ли необучен потребител самостоятелно да оборудвадръж се близотози ключ?
Трябва да се гарантира сигурността на личния ключ на потребителячена на всеки етап от живота муцикъл: на етапа на генериране на двойка ключове (отворена и затворенадопълнителни ключове), докато съхранявате частния ключ, когато използватечастният ключ (извършване на криптографски операции,бъдеща употреба затворенапотребителски ключ, например, образуването на EDS) и при унищожаванечастен ключ.
Генериране на двойката ключове трябвада работи в околната среда, с изключение накоето както възможността за влияние на нападателя върху самия процес на генериране, така и вероятността заполучаване на всякаква информация за частния ключ, която по-късноtvi може да се използва, когато се опитвате да го възстановите. Когато съхранявате частния ключ, трябватрябва да сме сигурни, че е поверителноСоциалност и почтеност Ключът трябва да бъде надеждно защитен от неоторизиран достъп и модификация. Най-добрите мустацитризнаци за поколение и храмчастните ключове са хардуерни устройства (eToken), които също са предназначени да извършват криптографски операции, които изискват използването начастен ключ.Когато използвате частен ключ, е важно да изключите възможносттаприхващане и неразрешенопредназначена (против волята и желанието на собственика) употреба.
И накрая, на етапа унищожениизисква се частният ключда гарантира гарантирано унищожаване на информация и полвъзможността за многократното му използване (например чрез възстановяване на предисамотно съхранение).
Правно значим електронен документооборот
Ролята на сигурния работен процес днес
Разбира се, конструкцията на „електронно правителство "трябва да даде мощен тласък за развитието на системататеми ZED, Например, развитието на такива масивни системи като държаватаkupok, невъзможно е без ZED, Всъщност самото наддаване трябва да бъде един вид връх на пирамидата, чиято основа трябва да бъдеобмен на документи (събиране на заявления от потребители, бюджетдажба, обосновка на разходите
и т.н.). Ролята на ZED е не по-малко важна при предоставянето на обществени услуги, използващи електронни документи.ченгета. Тук въпросите за междуведомствения обмен също ще възникнат с пълен растеж.върху защитени документикоито ще формират основата за изготвяне по искане на гражданин или организация на електронен документ, който има правни последици.
Бих искал това, както в случая с проекта на Закон „За електророн подпис ", законодателните иновации вървяха в крак с времетоне забавихме, но помогнахме за развитието на обещаващи технологииgii, допринасящи за повишаване на сигурността на взаимодействиетопротивник - информационни ресурси ", и броя на измамите, по-специално с лични данни,пазвата намаля.
Какви закони и наредби трябва да бъдат приети, за да придобият юридическа сила електронните документи (ЕД) и каква е ролята на сигурния работен процес в електронното управление? С този въпрос се обърнахме към експерти от бранша.
Коментари на експерти
Сергей КАЗАКОВ, Ръководител на отдела за иновативни проекти, администрация на Волгоград■ площ
Когато се прилагаnii юридически знамвъзниква най-важният EDFИма много усложнения. На първо място, как неизпрати ЕД до църкватанение? Що за архив ще бъде? Как ще се регулира дейността му? Може би се нуждаем от закон "За електронаархиви ". В противен случай не е ясно кой документ е хартиен или електроненny е основният и който е неговото копие. Не е ясно и как да се разглеждат молбите на гражданите, получени в електронна форма? В крайна сметка Законът „За процедурата за разглежданений на граждани на Руската федерация “недвусмислено казва, че жалбата на гражданин е писмено предложение, изявление или жалба. Съответно този закон също трябва да бъде изменен. Освен това гражданинът ще получи държавауслуга за дарение в електронна форма без EDS е невъзможна. В противен случай държавната агенция няма да може да идентифицира разпискатадоставчик на услуги. Следователно е необходимо законодателно да се определи какви услуги гражданите могат да получат в електронна форма и процедурата за получаването им, както и процедурата гражданите да получават своиEDS.
Ако документите не са секна дребно или ПДЧ, не съдържат личниnal data не е проектmi нормативни правни актове, а след това за такива документи и тяхното преобладаващо мнозинство в документооборота на органапри захранване, защитата се осъществява отбезплатни средства за контрол на достъпа: потребителско влизане в системата с атрибутите на достъп до системата, издадени му (вход, парола).
Андрей МОЛОТКОВ, Съветник на катедра „Информационни и комуникационни технологии и отбрана“вие сте информацията на Службатадържава на Република Башкортостан
Осигурено финансиране, възложено в Република Башкортостандокументооборот на получатели на бюджетни средства. Около 6 милиона документа циркулират годишно между 15 хиляди потребители на организацията.получатели на бюджета. Мисля, че това недвусмислено характеризира нашето отношение към ролята на ZED в електронното управление.
Виктор ГАВРИЛОВ, първи заместник-ръководител на унитарно предприятиеуправление 8-ми център на ФСБ на Русия
Електронното управление на документи (EDM) е системакомпонент, формиращ темарон правителствовие, защото без него не може да бъде решен проблем на електронното право.тела. Изграждането на интегрирана EDM система за защита на информацията изисква точно описание на обектите и целите на защитата. Към днешна дата обаче понятията ED и EDF не са дефинирани по смисъл. Не е определенопроцедурата за признаване на ЕД, процедурата за прехвърляне от електронна на хартиена форма и обратно, процедурата за нотариуспроверка на ED, ED формат, неговите рекипосещения, процедурата за архивиране на ED и др. EDM трябва да обхваща всички етапи от жизнения цикъл на ED, но настоящата регулаторна правна рамка (NPB) практически не може да бъде решенавъпроси на електронни депроизводство и архивно съхранение на ЕД. Горният списък на правните проблеми показва необходимостта от подобряване на НПБ. В същото време на ниво федерално законодателство трябва да бъдат уредени въпросите за признаване на ED, правомощията на федералните изпълнителни органи в областта на EDI и електронното деловодство, включително въпроси за осигуряване на сигурността на информациятация. На ниво подзаконови актове долтрябва да се определи процедурата за създаване и експлоатация на автоматизирани системи, които прилагат EDM. Технологеоложки въпроси, като се вземат предвид темповете на развитие на информационните технологииgii трябва да бъде решен на техническо нивотехнически регламенти и стандарти. В същото време, за да се осигури възможност за автоматичен обмен на електронни документи, нивото на стандартизация по отношение на детайлите и форматите на електронните документи трябва да съответства на нивото на стандартизация в областта на електронните документи.токоли за предаване на данни.
- Някои поведенчески характеристики - Особености на екологията и биологията на дивата свиня в зоната на Долната планина
- Някои често срещани (ненадеждни) хадиси, използвани от християните
- Преобразувайте електронни ASCII ключове в шестнадесетичен
- Някои характеристики на работата на захранващите устройства, ROBITON
- Новото лечение ще осигури защита през целия живот срещу тежки алергии