Электронный документооборот и документационное обеспечение управления в бизнесе

Проблемы использования средств криптографической защиты информации в современных информационных системах

Попов Владимир Олегович,
руководитель сертифицирующего центра
компании Крипто Про, к.ф.м.н.

1. Использование средств криптографической защиты информации (СКЗИ) в современных информационных системах (ИС) структурно характеризуется тремя уровнями:

защищаемые приложения (банковские системы, е-бизнес, электронный документооборот);
криптографические протоколы (PKI, Kerberos, IPSec, Efs)
криптографические службы и службы безопасности (СКЗИ, системы аутентификации, разграничения доступа, делегирования полномочий, контроля целостности, аудит управления и др.).

2. Реализация СКЗИ в ИС осуществляется системой, включающей:

средства разработки защищенной ИС:
языки высокого уровня;
операционную систему (ОС);
прикладное программное обеспечение (ППО) уровней приложений, криптографических протоколов, криптографических служб и служб безопасности;
аппаратную платформу.

3. Использование СКЗИ в ИС связано со следующими специфическими проблемами:

3.1. Критичность доверия к ОС и ППО. Например, на запрос проверки подписи дается ответ, сводящийся к одному биту, который должен быть представлен пользователю через определенный интерфейс. За правильное представление этого бита отвечают приложение, ОС и СКЗИ.

3.2. Сложность создания системы, требующая привлечения к ее разработке многих разработчиков с необходимостью согласования реализуемых ими программно-технических решений. С этим, в частности, связана необходимость стандартизации криптографических алгоритмов и протоколов. Возникающие в этом направлении проблемы:

параметризация стандартов криптографической защиты данных (алгоритмы шифрования, хэширования, электронной подписи) с учетом возможности вариантности выбора для различных разрабатываемых систем;
стандартизация криптографических протоколов с российскими стандартами криптографической защиты данных на базе стандартов и протоколов RFC сети Internet. Возможности включения российских алгоритмов в трек стандартов и протоколов RFS по статусу обязательный, рекомендуемый или избирательный до настоящего времени не используются

3.3. Развитие архитектуры и технологии программно-аппаратных средств ставит проблему разработки новых подходов к реализации СКЗИ в ИС. Если традиционные ОС изолировали ППО от аппаратных средств, то интенсивно развивающиеся в настоящее время технологии JAVA, XML, .NET практически изолируют прикладные задачи от ОС. Если в традиционных ОС реализацию СКЗИ можно было рассматривать как часть ОС, то, например, в JAVA-машине СКЗИ реализуется кодом внешнего уровня по отношению к ОС, что требует проработки корректности такого принципиально отличного от прежнего встраивания СКЗИ в информационную систему.

4. Пути решения проблем использования СКЗИ в современных информационных системах связаны с обеспечением доверия к BIOS, OC и ППО.

4.1. Верификация BIOS проводится анализом его кодов. Требуется контроль целостности BIOS, что особенно актуально в современных системах с возможностью перезаписи BIOS, в том числе, по внешнему каналу связи. С этой точки зрения перспективным является использование BIOS, поддерживающих спецификацию TCPA 1.0 обеспечения компьютерной безопасности на аппаратном уровне (контроль подлинности BIOS, целостности загрузчика и ядра ОС).

4.2. Анализ ОС связан с проблемой доступа к исходным текстам распространяемых ОС, что не всегда возможно, а при наличии исходных текстов – с трудностями его проведения из-за большого объема кодов. В настоящее время корпорацией Microsoft реализуется программа GSP, по которой государственным организациям предоставляется доступ к исходному коду и технической документации Windows. Соглашение в рамках программы GSP подписано, в частности, между корпорацией Microsoft и ФГУП "НТЦ "Атлас". Корпорацией Microsoft обеспечивается при этом поддержка разработчика ОС, обновление кодов, исправление ошибок, оказание технической консультации при анализе исходных кодов.

Положительной стороной использования продуктов крупных фирм, в частности Microsoft, является сопровождение продуктов, постоянный контроль качества, оперативное исправление ошибок. Например, ОС Microsoft Windows 2000 в настоящее время сертифицирована по стандарту Common Criteria и ей присвоен уровень соответствия EAL4+Flaw Remediation (исправление ошибок).

4.3. Альтернативным направлением является разработка доверенных ОС. Такая разработка может проводиться на основе ОС со свободно распространяемыми кодами (например, ОС Linux). По такому пути идут ряд отечественных разработчиков. Сдерживающей особенностью такого подхода является отсутствие гарантий производителей свободно распространяемых ОС и необходимость разработчику доверенной ОС брать гарантию производителя на себя.

5. Проблема стандартизации связана с необходимостью взаимной совместимости продуктов, комплексных решений в области построения защищенных информационных систем с использованием российских криптографических алгоритмов.

В настоящее время ФГУП "НТЦ "Атлас", ООО "Крипто-Про", ООО "Фактор-ТС", ЗАО "МО ПНИЭИ" и ОАО "Инфотекс" подписали договор об объединении усилий в целях достижения совместимости разрабатываемых ими продуктов и разработке рекомендаций по стандартизации форматов сертификатов открытых ключей, списков отозванных сертификатов и криптографических сообщений с учетом использования стандартов ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ 28147-89.

6. Проблемы нормативной базы. В настоящее время система сертификации средств защиты информационных систем базируется на требованиях ФАПСИ к средствам криптографической защиты конфиденциальной информации и требованиях Гостехкомиссии РФ по защите средств вычислительной техники и автоматизированных информационных систем. При этом требованиями ФАПСИ охватывается только сертификация СКЗИ. Но использование сертифицированных СКЗИ не снимает проблемы обеспечения безопасности информации в использующих их прикладных продуктах. Требуется создание системы сертификации продуктов, использующих СКЗИ, и разработка соответствующих требований.

7. Вопросы обеспечения информационной безопасности инфраструктуры открытых ключей (PKI).

7.1. Основные элементы PKI.

7.1.1. Криптографические алгоритмы.

Стандарты криптографических алгоритмов и их основные элементы:

Открытый и закрытый ключи, способы выработки ЭЦП.

Вопросы безопасности алгоритмов. Метод М. Грунтовича вычисления закрытого ключа, дающего коллизию ЭЦП для сообщения. Построение универсальной подписи. Некорректный открытый ключ. Обсуждение данных подходов на сайте Bugtraq.ru.

7.2. Криптографические протоколы PKI.

Структура сертификата на базе X.509 v.3. Расширения и соответствие положению “Закона РФ об ЭЦП” о приостановлении сертификата.

CRL, критичность времени обновления и доведения CRL до пользователя.

Алгоритм проверки ЭЦП, проверка цепочки сертификатов, проблема доверия к корневому сертификату.

Проблема представления результата проверки ЭЦП и проблема доверия к программно техническому окружению СКЗИ, реализующему ЭЦП.

Регистрация пользователей и уровень доверия к сертификату пользователя.

Подсистема сетевой аутентификации и установления защищённого соединения SSL – TLS на основе сертификатов открытых ключей. Доверие к сертификату, полученному по протоколу TLS.

7.3. Ключевая система PKI.

Закрытый ключ пользователя, противоречивость требований к закрытому ключу пользователя со стороны Закона об ЭЦП и со сторона Стандарта ЭЦП (закрытый ключ - собственность частного лица и ключ должен быть равновероятной независимой величиной). Связь с методом М. Грунтовича. Как следствие, требование об участии доверенной стороны в выработке закрытого ключа пользователя.

Закрытый ключ центра сертификации (CA). Противоречивость требований к закрытому ключу CA со стороны Закона об ЭЦП (закрытый ключ - собственность начальника CA) и требований защиты ключа от компрометации. Механизмы повышения защищённости закрытого ключа CA: иерархические структуры, системы распределения секрета. Моделирование вероятности компрометации ключа Марковским процессом.

Математические модели функционирования CA с точки зрения потери ключевой информации по побочным каналам.

7.4. Безопасность функционирования СКЗИ, реализующего ЭЦП в CA и на клиентском месте.

7.4.1. Дифференцированные требования к безопасности СКЗИ в CA и на клиентском месте.

7.4.2. Реализация СКЗИ в окружении доверенного программного обеспечения, схема HASP.

7.4.3. Обеспечение сетевой и локальной безопасности клиентского места, различные подходы к повышению доверия к закрытым ключам пользователя, в частности использование ЭЦП на пластиковой карте пользователя.

7.4.4. Техническая надёжность CA, восстановление CA.

Члены
Гильдии Управляющих Документацией

СУЭК - Сибирская Угольная Энергетическая Компания

О Гильдии | Новости | Контакты | Гостевая книга | Поиск

Дистанционное обучение по образовательным программам
курсов повышения квалификации

«Современные технологии в работе службы документационного обеспечения управления»
Современные технологии в работе секретариата
(повышение квалификации секретарей-референтов, помощников руководителей)

Современные технологии в работе с электронными документами
(повышение квалификации руководителей и специалистов службы документационного обеспечения управления, имеющих отношение к управлению электронными документами)

Лицензия № 039458

Государственная аккредитация № 0210

Наши слушатели

Товарный знак

ДОУСЕРТИФИКАТ

Информационный саммит «Эффективный документооборот органов государственной власти в эпоху цифровизации и импортозамещения. Современные требования законодательства к управлению документами»
Торгово-промышленная палата Российской Федерации, ул.Ильинка, 6,
23 - 24 июня 2020 года

План-график

Курсы повышения квалификации руководителей, специалистов в сфере ДОУ и электронного документооборота, секретарей-референтов

на 2020год.

Современные технологии в работе службы ДОУ

Современные технологии в работе секретаря-референта, помощника руководителя

Современные технологии в работе с электронными документами

Подробно

Полный перечень законодательных актов на CD

Законодательные, иные нормативные правовые акты, методические документы в сфере информации и документации до 2019 года.
Заказать

Организация делопроизводства

Организация делопроизводства - это отрасль по разработке и оформлению официальных документов, организации их движения, учета и хранения. Делопроизводство непосредственно связанно с созданием документов, рассматривает вопросы движения и учета документов. Ведение и организация делопроизводства осуществляется должностными лицами, которые несут ответственность за его организацию, учет и сохранность документов. Организация делопроизводства состоит из этапов: 1) первичная обработка поступивших документов; 2) предварительное рассмотрение документов; 3) регистрация; 4) рассмотрение документов руководством; 5) направление на исполнение; 6) контроль исполнения; 7) формирование дел; 8) оформление дел; 9) передача дел в архив.

Документационное обеспечение управления

В соответствии с ГОСТом Р 51141-98 "Делопроизводство и архивное дело. Термины и определения" документационное обеспечение управления (ДОУ)– это отрасль деятельности, обеспечивающая документирование и организацию работы с официальными документами. Термины делопроизводство и документационное обеспечение управления в соответствии с ГОСТом Р 51141-98 употребляются как синонимы, однако между ними все-таки существуют некоторые различия. Первый из них, делопроизводство, преимущественно используется при описании организационной стороны и традиционных приемов работы с документами. Второй – документационное обеспечение управления подчеркивает информационно-технологическую составляющую в современной организации делопроизводства и его лучше употреблять, когда речь идет о компьютерных технологиях работы с документами.

Курсы повышения квалификации секретарей-референтов, помощников руководителя (« курсы секретаря », « курсы секретарей и помощников руководителя »)
Цель курсов повышения квалификации секретарей-референтов (« курсы секретаря », « курсы секретарей и помощников руководителя ») - предоставление современной и точной информации по делопроизводству, научной организации труда и коммуникационным навыкам. Полноценные « курсы секретаря », « курсы секретарей и помощников руководителя » (72 учебных часа) – это возможность приобрести новые знания и навыки. Профессия секретаря востребована на каждом предприятии, как правило, секретарь отвечает за оформление деловых бумаг и документооборот в секретариате руководителя. Предлагаемые « курсы секретаря », « курсы секретарей, помощников руководителя » позволят соответствовать абсолютно всем современным требованиям, которые только могут предъявить современные работодатели.

Курсы повышения квалификации специалистов в области ДОУ (« курсы делопроизводства » и « курсы документооборота »)
« Курсы делопроизводства » и « курсы документооборота » включают в себя организацию делопроизводства, с учетом лингвистических особенностей служебного документа, основы кадрового документоведения и архивирования, этикет и психологию делового общения, включая имидж сотрудника службы ДОУ. « Курсы делопроизводства » и « курсы документооборота » позволяют получить необходимые навыки составления и оформления документов предприятий всех видов собственности. Прослушавшие « курсы делопроизводства » и « курсы документооборота » специалисты получают свидетельство государственного образца.

Семинары, круглые столы, мастер-классы по проблемам делопроизводства (« Семинары делопроизводства »)
Предлагаемые программы семинаров, круглых столов, мастер-классов по проблемам делопроизводства (« семинары делопроизводства ») – это интегрированные информационно-консультационные образовательные мероприятия для специалистов в области ДОУ, сочетающие в себе отрасли знаний отдельно по проблемам в сфере делопроизводства, научной организации труда, бизнес-этикета и методики овладения профессиональными навыками. « Семинары делопроизводства » рассчитаны на руководителей и специалистов секретариатов, канцелярий, делопроизводственных и архивных служб коммерческих и государственных структур. « Семинары делопроизводства » носят практический характер, тематика программ подбирается с учетом актуальности и потребности предприятий и учреждений различных форм собственности, численности работающих, сферы деятельности.