"Инфраструктура открытых ключей как основа комплексной безопасности электронного документооборота"
"Инфраструктура открытых ключей как основа комплексной безопасности электронного документооборота"
Попов Владимир Олегович - руководитель сертифицирующего центра компании Крипто Про, к.ф.м.н.
1. Электронный документооборот (ЭДО) обеспечивает взаимодействие субъектов - авторов электронных документов (ЭД) и пользователей посредством ЭД. С точки зрения безопасности базисными свойствами ЭДО являются аутентификация субъектов в системе ЭДО, авторизация и контроль целостности ЭД, конфиденциальность (опционально) ЭД.
2. В качестве механизма, обеспечивающего защитные функции ЭДО, используется криптография, базирующаяся на Инфраструктуре открытых ключей (PKI). В состав криптографической подсистемы ЭДО входят базовые криптографические алгоритмы, ключевая система, криптографические протоколы аутентификации, авторизации и контроля целостности, строящиеся на базе сертификатов открытых ключей.
Элементы ключевой системы PKI: закрытый ключ пользователя, открытый ключ пользователя, сертификат открытого ключа пользователя, закрытый ключ УЦ, открытый ключ УЦ, сертификат открытого ключа УЦ.
Основные требования к ключам: конфиденциальность закрытых ключей и защищенность секретных ключей от подмены, авторизация открытого ключа и аутентификация пользователя и открытого ключа, защита ключей от компрометации, ограничение на сроки действия закрытых и открытых ключей.
Криптографические протоколы УЦ должны обеспечивать регистрацию пользователей PKI, генерацию сертификатов открытых ключей пользователей, ведение базы сертификатов открытых ключей пользователей, ведение базы данных отозванных сертификатов открытых ключей, аутентификацию и установление защищенного канала между пользователем и УЦ.
3. Комплексная безопасность ЭДО обусловлена защитой от негативного воздействия (компрометация, подмена, изменение атрибутов и др.) на элементы PKI, перечисленные в п. 2. Специфика решения вопросов безопасности информации в ЭДО обусловлена необходимостью реализации средств защиты в универсальной аппаратно-программной среде функционирования информационной системы, вследствие чего средства защиты становятся элементами системы, обеспечивающей собственно информационные услуги.
4. Широко используемой в настоящее время для реализации PKI является аппаратно-программная платформа Intel - Microsoft. Технология, поддерживаемая фирмой Microsoft, позволяет, с одной стороны, универсализировать процедуру обращения из прикладной среды к криптографическим преобразованиям, с другой - защитить криптографические алгоритмы и криптографические ключи средствами операционной среды.
В этом направлении разработан криптопровайдер КриптоПро CSP, реализованный в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP) - и использующий российские криптографические алгоритмы.
Криптопровайдер КриптоПро CSP сертифицирован ФАПСИ, обеспечивает защитные функции:
авторизация и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94;
конфиденциальность и контроль целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
контроль целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования;
управление ключевыми элементами системы в соответствии с регламентом средств защиты;
сетевая аутентификация по стандарту RFC 2246 (протокол TLS), позволяющая обеспечить совместно с криптопровайдером КриптоПРО CSP взаимную аутентификацию клиента с сервером при создании сессии в общедоступной сети, контроль целостности и конфиденциальность передаваемой в созданной сессии информации.
Криптопровайдер КриптоПроCSP позволяет использовать стандартные криптогра-фические средства для реализации и использования решений, основанных на PKI, в част-ности:
- Центр Сертификации (MS Certification Authority)
- Инструментарий разработчика CryptoAPI 2.0
- Инструментарий разработчика CAPICOM 1.0
- Certificate Enrollment Control (xenroll)
- Microsoft Outlook
- Microsoft Outlook Express
- Microsoft Authenticode®
Использование криптопровайдера КриптоПро CSP позволяет решать вопросы обеспечения безопасности функционирования PKI как на уровне УЦ, так и на пользовательском уровне.
Важным элементом PKI является стандартизация криптографических параметров и форматов их представления в сертификате открытого ключа.
5. Существенным моментом в обеспечении безопасности в ЭДО является базирование PKI на протоколах обмена и защиты информации (TLS, HTTP, XML).
Протокол TLS позволяет обеспечить криптографическими средствами аутентификацию отправителя (клиента) - адресата (сервера), контроль целостности и шифрование данных информационного обмена.
Все компоненты системы PKI(интерактивные пользователи, программы без внешнего интерфейса), должны общаться между собой через глобальную сеть. Протоколы HTTP/HTTPS позволяют обеспечивать защиту передаваемого трафика межсетевыми экранами. При передаче запросов на сертификат и возвращении подписанных сертификатов и списков отзыва по протоколам HTTP/HTTPS должно использоваться расширяемое представление передаваемых через http-запросы GET или POST документов. Для этого могут быть использованы запросы и ответы в формате XML.
6. Наибольшая нагрузка по обеспечению безопасности в системе сертификации открытых ключей ложится на:
Удостоверяющий Центр (УЦ) как программный комплекс по обеспечению PKI. УЦ имеет вполне сложившуюся архитектуру с основными функциональными компонентами - Служба сертификации (Certification Services, CS), Центр регистрации (ЦР), АРМ администратора УЦ.
CS обеспечивает выпуск сертификатов и списков отозванных сертификатов, владеет закрытым ключом УЦ, работает, как правило, в автономном режиме.
ЦР (веб приложение) обеспечивает формирование ключей ЦР и пользователей, доставку сертификатов ЦР и УЦ пользователям, централизованную регистрацию пользователей в ЦР и по сети, централизованное формирование ключей и запросов на сертификаты пользователей с учетом данных регистрации, сетевой доступ пользователей к базам сертификатов и спискам отозванных сертификатов, подпись и передачу запросов на сертификаты пользователей в УЦ и другие функции по функционированию PKI.
Для выполнения требований по п.2 в УЦ должен быть реализован комплекс программных, программно-технических и организационных мер обеспечения безопасности.
ООО "КриптоПро" разработал и эксплуатирует удостоверяющий центр "КриптоПро УЦ" на договорной основе с организациями-пользователями (сайт http://ca.cryptopro.ru).
В удостоверяющем центре используется криптопровайдер "КриптоПро CSP", сертифицированный по классу защиты КС2 классификации ФАПСИ. Функционирование центра базируется на ОС MS Windows и стандартных средствах фирмы Microsoft MS CertificationAuthority, CryptoAPI 2.0, CAPICOM 1.0, Certificate Enrollment Control (xenroll), Microsoft Outlock, Microsoft Outlock Express, Microsoft Autenticode®.
7. Обеспечение безопасности УЦ связано с решением следующих проблем:
защита закрытых ключей УЦ и пользователей от НСД;
доверие к системному и прикладному программному обеспечению;
защита функционирования УЦ от негативных воздействий по каналу связи;
защита функционирования УЦ от негативных воздействий внутренних нарушителей с тем или иным уровням доступа к его программно-аппаратным компонентам и ключам.
В каждом конкретном случае необходимы выбор и реализация достаточного профиля защиты. Критической является проблема хранения закрытых ключей в условиях работы в не доверенной системной среде. Пути ее решения - локализация криптографических преобразований в обособленном доверенном модуле с контролируемым взаимодействием его с CS, ролевое администрирование УЦ с разделением информации о ключах по нескольким его субъектам, разграничение доступа к компонентам системы обслуживающего персонала, исключение алгоритмическими и техническими мерами информативности о ключах по сигналам линейной передачи и ПЭМИН, организационно-технические и режимные меры по защите программно-аппаратных средств и помещений размещения УЦ.
8. Вопросы обеспечения безопасности системы PKIрешаются на основе законодательной и нормативной базы в области защиты информации.
К законодательной базе в первую очередь относятся:
закон РФ "Об информации, информатизации и защите информации",
закон РФ "Об электронной цифровой подписи".
государственная система сертификации продуктов защиты данных и лицензирования деятельности по представлению услуг в области защиты информации.
К нормативной базе относятся:
стандарты криптографической защиты данных
требования ФАПСИ по защите информации.
требования и положения Гостехкомиссии РФ к средствам защиты информации от НСД.
Организация делопроизводства - это отрасль по разработке и оформлению официальных документов, организации их движения, учета и хранения. Делопроизводство непосредственно связанно с созданием документов, рассматривает вопросы движения и учета документов. Ведение и организация делопроизводства осуществляется должностными лицами, которые несут ответственность за его организацию, учет и сохранность документов. Организация делопроизводства состоит из этапов: 1) первичная обработка поступивших документов; 2) предварительное рассмотрение документов; 3) регистрация; 4) рассмотрение документов руководством; 5) направление на исполнение; 6) контроль исполнения; 7) формирование дел; 8) оформление дел; 9) передача дел в архив.
Документационное обеспечение управления
В соответствии с ГОСТом Р 51141-98 "Делопроизводство и архивное дело. Термины и определения" документационное обеспечение управления (ДОУ)– это отрасль деятельности, обеспечивающая документирование и организацию работы с официальными документами. Термины делопроизводство и документационное обеспечение управления в соответствии с ГОСТом Р 51141-98 употребляются как синонимы, однако между ними все-таки существуют некоторые различия. Первый из них, делопроизводство, преимущественно используется при описании организационной стороны и традиционных приемов работы с документами. Второй – документационное обеспечение управления подчеркивает информационно-технологическую составляющую в современной организации делопроизводства и его лучше употреблять, когда речь идет о компьютерных технологиях работы с документами.
Курсы повышения квалификации секретарей-референтов, помощников руководителя (« курсы секретаря », « курсы секретарей и помощников руководителя »)
Цель курсов повышения квалификации секретарей-референтов (« курсы секретаря », « курсы секретарей и помощников руководителя ») - предоставление современной и точной информации по делопроизводству, научной организации труда и коммуникационным навыкам. Полноценные « курсы секретаря », « курсы секретарей и помощников руководителя » (72 учебных часа) – это возможность приобрести новые знания и навыки. Профессия секретаря востребована на каждом предприятии, как правило, секретарь отвечает за оформление деловых бумаг и документооборот в секретариате руководителя. Предлагаемые « курсы секретаря », « курсы секретарей, помощников руководителя » позволят соответствовать абсолютно всем современным требованиям, которые только могут предъявить современные работодатели.
Курсы повышения квалификации специалистов в области ДОУ (« курсы делопроизводства » и « курсы документооборота »)
« Курсы делопроизводства » и « курсы документооборота » включают в себя организацию делопроизводства, с учетом лингвистических особенностей служебного документа, основы кадрового документоведения и архивирования, этикет и психологию делового общения, включая имидж сотрудника службы ДОУ. « Курсы делопроизводства » и « курсы документооборота » позволяют получить необходимые навыки составления и оформления документов предприятий всех видов собственности. Прослушавшие « курсы делопроизводства » и « курсы документооборота » специалисты получают свидетельство государственного образца.
Семинары, круглые столы, мастер-классы по проблемам делопроизводства (« Семинары делопроизводства »)
Предлагаемые программы семинаров, круглых столов, мастер-классов по проблемам делопроизводства (« семинары делопроизводства ») – это интегрированные информационно-консультационные образовательные мероприятия для специалистов в области ДОУ, сочетающие в себе отрасли знаний отдельно по проблемам в сфере делопроизводства, научной организации труда, бизнес-этикета и методики овладения профессиональными навыками. « Семинары делопроизводства » рассчитаны на руководителей и специалистов секретариатов, канцелярий, делопроизводственных и архивных служб коммерческих и государственных структур. « Семинары делопроизводства » носят практический характер, тематика программ подбирается с учетом актуальности и потребности предприятий и учреждений различных форм собственности, численности работающих, сферы деятельности.