Одним из важнейших вопросов в области развития любого рода информационных систем (ИС) является вопрос обеспечения аутентификации участников и безопасности информации, передаваемой в процессе осуществления обмена данными.
Указания действующего законодательства прямо указывают на возможность применения электронных форм документов, требующих обеспечения юридической значимости электронного документооборота, что достигается средствами криптографической защиты информации и электронной цифровой подписи.
Взаимодействие информационной системы с удостоверяющими центрами предоставляет не только возможность защиты сведений, но и средство контроля за пользователями.
При необходимости выполнения предписаний законодательства оператор ИС сталкивается с рядом проблем, вытекающих не только из правовой стороны взаимоотношений с удостоверяющим центром, но и самой процедуре выдачи электронной цифровой подписи.
Логично, что любой ИС не имеет смысла препятствовать участию организации в документобороте территориально удалённой от региона, в котором находится Оператор ИС. Проблема обеспечения удалённо расположенных участников документоборота ЭЦП не может быть решена только путём договорных отношений оператора и удостоверяющего центра, так как основным критерием в этом случае становится максимально возможное покрытие территории России – от Калининграда до Сахалина – представительствами УЦ.
Вторая проблема, с которой может столкнуться ИС, - использование сертификата одного и единственного удостоверяющего центра (либо крайне ограниченного количества, иначе в противном случае резко снижается уровень контроля). В случае приостановления деятельности УЦ, отзыва лицензий, технических и организационных трудностей сертификаты ЭЦП теряют свою юридическую значимость и не могут использоваться в документообороте.
Помимо этого, из-за экстенсивного развития информационных технологий в России не накоплено необходимого юридического опыта и не создан базис для регламентации взаимодействия участников документоборота, в том числе в вопросах защиты информации. Несколько сторон обмена информацией зачастую предъявляют различные требования как к УЦ, так и процедурам и процессам использования ЭЦП. (Росреестр, ФНС, ПФР, Росстат, ФСТ, электронные торги, коммерческие закупки, системы внешнего и внутреннего документоборота, госуслуги и т.д.) Отсутствие единых требований в той или иной степени является фактором ограничения развития любой информационной системы, делает её жестко локализованной и закрытой, что нередко вызвано корыстными целями самого Оператора ИС.
В процессе разработки и поиска путей решения, обозначенных проблем, можно предположить наличие некого единого (негосударственного - только потому, что государство уже показало в этом свою несостоятельность) Оператора системы взаимосвязанных по обязательному исполнению единых требований и стандартов УЦ (можно провести аналогию с СРО). Согласно данной системе уполномоченной организацией производится проверка и мониторинг деятельности УЦ, имеющих намерение распространять ЭЦП в различного рода ИС.
Суть проверки состоит в сборе и анализе документации, фактической проверки технического и технологического соответствия процедуры выдачи ЭЦП требованиям законодательства и регуляторов.
Стоимость пользовательского ключа будет напрямую зависеть от включаемых в структуру политик применения в зависимости от потребностей пользователя - чем универсальнее ключ, тем дороже он стоит, т.е. отталкиваться от универсальности единого ключа. Это будет явно дешевле. Как результат пользователь может иметь 1 ключ, а не 10. Между тем наличие в структуре OID'а общего для любой информационной системы индентификатора позволит проводить автоматическую индетификацию пользователя через единый реестр ключей и снять зависимость от единственного УЦ, не говоря уже о возможности ввода фин. ответственности.
В процессе разработки и поиска путей решения, обозначенных проблем, можно предположить наличие некого единого (негосударственного - только потому, что государство уже показало в этом свою несостоятельность) Оператора системы взаимосвязанных по обязательному исполнению единых требований и стандартов УЦ (можно провести аналогию с СРО). Согласно данной системе уполномоченной организацией производится проверка и мониторинг деятельности УЦ, имеющих намерение распространять ЭЦП в различного рода ИС.
Суть проверки состоит в сборе и анализе документации, фактической проверки технического и технологического соответствия процедуры выдачи ЭЦП требованиям законодательства и регуляторов.
Стоимость пользовательского ключа будет напрямую зависеть от включаемых в структуру политик применения в зависимости от потребностей пользователя - чем универсальнее ключ, тем дороже он стоит, т.е. отталкиваться от универсальности единого ключа. Это будет явно дешевле. Как результат пользователь может иметь 1 ключ, а не 10. Между тем наличие в структуре OID'а общего для любой информационной системы индентификатора позволит проводить автоматическую индетификацию пользователя через единый реестр ключей и снять зависимость от единственного УЦ, не говоря уже о возможности ввода фин. ответственности.
Таким образом, сеть аккредитованных удостоверяющих центров, позволяет не только выдать ЭЦП любой организации в любой точке страны с сохранением легитимности, но и снять с ИС риск компрометации ключей.
Несомненным преимуществом использования описанной системы является наличие единого для всей страны реестра сертификатов открытых ключей ЭЦП, что снимает с ИС необходимость ведение собственного списка пользователей. При необходимости ИС достаточно сделать автоматический запрос, согласно которому организация, ответственная за ведение и обновление реестра выдаёт все необходимые параметры открытого ключа для сличения с оригиналом подписи непосредственно в документе и/или подтверждения правомочности её использования.
При необходимости Оператор сети УЦ предоставляет ИС всю необходимую юридическую документацию для работы через сеть УЦ.
Использование сети аккредитованных удостоверяющих центров делает возможным развитие и использование службы «третьей доверенной стороны» для выхода в трансграничное пространство, доступ на ИС всего мира.
При рассмотрении перспектив развития становится понятно, что система электронной подписи в России должна стремиться к объединению сфер применения ЭЦП, что достигается путём объединения УЦ в некую саморегулируемую сеть
.
.
Подводя итог вышесказанному, разработанная система аккредитации позволяет:
- Обеспечить ЭЦП удалённо расположенных поставщиков;
- Снять зависимость ИС от удостоверяющего центра;
- Контролировать процесс и фиксировать факт компрометации ключа через обращение в единый реестр сертификатов;
- Обеспечить технологию электронного документооборота с применением единой ЭЦП;
Актуально, как оказалось: http://allmedia.ru/headlineitem.asp?ID=761020
ОтветитьУдалить