27 февраля 2012
О защите электронного документооборота
Алексей Сабанов
к.т.н., ЗАО «Аладдин Р.Д.»
В последние 2–3 года существенно возрос практический интерес к электронному документообороту в целом, и к его защищённому варианту – в частности. До недавнего времени понятие защищенного электронного документооборота (ЗЭД) было расплывчато и неполно. В нормативных документах это понятие не раскрывается. На сайтах разработчиков систем электронного документооборота (СЭД) до сих пор можно найти ряд определений, из которых следует, что для того чтобы защитить СЭД достаточно использование электронно-цифровой подписи (ЭЦП). Как правильно использовать ЭЦП, какая инфраструктура при этом нужна и какие защищённые сервисы необходимо развернуть на её основе, зачастую также не раскрывается. На сайтах интеграторов, как правило, приводятся конкретные реализации систем ЗЭД определённых поставщиков – тех, с которыми у интеграторов уже сложились определенные бизнес-отношения и есть обученные для внедрения специалисты.
Понятие ЗЭД определить достаточно трудно, особенно в условиях динамично меняющегося на наших глазах правового поля, недостатка стандартов и бурно развивающихся технологий. В этих условиях постараемся затронуть некоторые наиболее спорные и актуальные вопросы защиты СЭД, тем самым развивая и раскрывая само понятие ЗЭД и его компонентов.
Почему задача защиты документооборота становится особенно актуальной?
Если формулировать предельно коротко, то просто пришло время. Можно выделить несколько основных причин, по которым именно сейчас вопросы развития ЗЭД становятся объектом внимания:
- при непосредственном участии первых лиц государства интенсивно развиваются государственные услуги, оказываемые в электронном виде, обмен электронными документами быстро набирает критическую массу, при которой неизбежно встают вопросы защиты конфиденциальной информации, в частности персональных данных;
- услуги, предоставляемые в электронном виде, должны базироваться на ЗЭД, поскольку формированию электронного документа в ответ на запрос от физического или юридического лица, как правило, предшествует огромная работа по обмену документами многих ведомств, которые далеко не всегда надо делать общедоступными;
- наконец, приходит массовое понимание необходимости: а) внедрения СЭД в государственных организациях, работающих с гражданами и юридическими лицами, б) применения средств защиты для обеспечения целостности и конфиденциальности информации, содержащейся в электронных документах, в) подтверждения авторства электронных документов;
- появился проект закона «Об электронной подписи», который даёт возможность более широко подойти к защите электронных документов, в частности, использовать различные технологии для защиты СЭД в зависимости от их принадлежности и других условий;
- появляется реальная необходимость обеспечения и понимания механизмов придания электронным документам юридической силы наравне с бумажными документами.
Изменение парадигмы защиты
Если раньше защищались сами электронные документы или информационные ресурсы, содержащие документы, то теперь изменяется основной вектор атак и соответственно изменяется объект защиты. Кроме традиционных атак на информационные ресурсы всё чаще и чаще объектом защиты становится взаимодействие «человек – электронный документ», «человек – информационный ресурс». Главный тезис: защищать надо не документы, а сами системы передачи, обработки и хранения электронных документов при доступе легальных пользователей систем к работе с электронными документами.
Понятно, что взаимодействие – это процесс, и, как любой процесс, он тянется во времени. Задача по защите взаимодействия так же, как и сам процесс, распределяется на этапы. Одним из важнейших этапов является процедура разделения доступа между различными группами пользователей (например, группы администраторов, привилегированных пользователей, пользователей) и между пользователями внутри группы. Также важна и непосредственно организация самого доступа пользователя к системе, к инструментам обработки и непосредственно к документам. Например, система управления доступом при обработке конфиденциальной информации (например, персональных данных) должна предусматривать минимизацию прав доступа каждого пользователя из соображений достаточности для выполнения непосредственных служебных функций.
При этом очень важным фактором является обеспечение защищенного доступа с применением в качестве механизмов двухсторонней двухфакторной аутентификации таких развитых сервисов безопасности, как ЭЦП. Для этого необходимо построить инфраструктуру открытых ключей, систему управления закрытыми ключами, использовать защищённые носители (об этих составляющих поговорим ниже), но это позволит применять технологии, обеспечивающие, во-первых, взаимную аутентификацию на участке «сервер – пользователь», а во-вторых, защиту взаимодействия пользователя с информационными ресурсами и содержащимися в них документами.
Что такое защищенный электронный документооборот?
Основной идеей построения ЗЭД является то, что к задаче защиты системы электронного документооборота надо подходить классически с точки зрения защиты информационной системы. А именно, кроме известных уже среди разработчиков СЭД задач по защите электронных документов, таких как:
- аутентификация пользователей и разделение доступа,
- подтверждение авторства электронного документа,
- контроль целостности электронного документа,
- конфиденциальность электронного документа,
- обеспечение юридической значимости электронного документа, –
для организации ЗЭД необходимо использовать механизмы, обеспечивающие:
- контроль целостности используемого программного обеспечения,
- регистрацию событий в информационных системах,
- криптографическую защиту,
- межсетевое экранирование,
- построение виртуальных частных сетей,
- антивирусную защиту,
- аудит информационной безопасности, –
которые хорошо известны специалистам по защите информации.
Коротко рассмотрим те самые некоторые аспекты защиты СЭД, вызывающие дискуссии и вопросы на конференциях и семинарах.
Аутентификация пользователей
Несмотря на то, что про аутентификацию пишут и говорят много в течение последних 5–8 лет, к вопросам практического применения тех или иных технологий аутентификации приходится обращаться всё чаще и чаще. Например, в целях достижения наиболее быстрого результата многие участники организации ЗЭД пытаются применять вместо аутентификационных идентификационные технологии. Типичным случаем является использование биометрических способов идентификации личности. При внешней привлекательности решения (не надо носить с собой смарт-карту и помнить ПИН-код) эта технология на практике слишком дорога и не предоставляет необходимого уровня надежности (ошибки первого и второго рода). Вопросы применения тех или иных технологий идентификации и аутентификации необходимо рассматривать с учетом классификации, проведённой автором ещё в 2006 г. (см. рис.1).
Рис. 1 Классификация технологий идентификации и аутентификации
В принципе, процесс идентификации в ряде случаев не позволяет достичь тождественной однозначности. Простой и понятный всем пример: Вы предъявили паспорт. Это – идентификация личности по документу. Однако фотография может быть подменена (таких случаев множество) или кого-то удачно загримировали под Вас. А вот если бы во время проверки паспорта Вам задали вопросы, на которые можете ответить только Вы, и Вы ответили правильно на все вопросы – это уже полноценная аутентификация, т.е. подтверждение подлинности проведенной идентификации.
Таким образом, однозначная идентификация возможна только с помощью аутентификации. Аутентификация – это подтверждение подлинности идентификатора, производимое, как правило, с помощью криптографических преобразований. В итоге мы получаем логическую цепочку: без надёжной идентификации нельзя, самой надежной (подтвержденной) идентификацией является аутентификация, следовательно, без аутентификации не обойтись. Мало того, строгая аутентификация позволяет не только разделить, но и персонифицировать доступ, т.е. сделать пользователей, работающих, например, с персональными данными, персонально ответственными за все их действия с этими данными. Как уже упоминалось выше, при этом надо сделать доступ минимально-достаточным для выполнения своих рабочих обязанностей. Современным подходом для организации персонифицированного доступа является применение решений на базе PKI, при этом механизмом аутентификации фактически является процедура ЭЦП.
Учитывая всё вышесказанное, можно сказать, что для организации ЗЭД в дополнение к вышеперечисленным задачам являются:
- Строгая аутентификация пользователей для организации доступа к защищаемым и информационно-значимым ресурсам
- Ограничение доступа к конфиденциальной информации и персональным данным
- Блокирование несанкционированного доступа
- Обеспечение доступности публичной (открытой) информации
Применение электронной подписи
Одними из ключевых вопросов организации ЗЭД являются вопросы: где и с какой целью необходимо применять электронную подпись (ЭП)? Если вспомнить классические учебники по криптографии, то ЭП – это, в первую очередь, один из сервисов безопасности. Сама по себе ЭП не представляет практической ценности (если рассматривать аналогию с бумажным документом, то в электронном мире не имеет смысла подпись чистого листа), она имеет смысл и важное значение только в связке, например, с документом или электронным сообщением. Соответственно, получаем ответ на первый вопрос: ЭП нужна в качестве сервиса безопасности для подтверждения авторства, целостности, а также безотказной работы при электронном обмене сообщениями или документами. Без ЭП трудно представить себе организацию юридически значимого взаимодействия. При этом она является одним из главных реквизитов электронного документа. Как ЭП, так и остальные реквизиты невозможны без развитых инфраструктур.
Инфраструктурные решения
Только в последние годы к тем, кто хочет внедрять ЗЭД, пришло понимание того, что для полноценного функционирования сервисов безопасности электронных документов и придания последним юридической силы должны развиваться следующие инфраструктурные решения:
- инфраструктура электронных баз данных документов (реестры, регистры, кадастры), принадлежащих разным ведомствам;
- инфраструктура ЭП, включающая уполномоченные удостоверяющие центры, входящие в единую систему на базе развитой инфраструктуры открытых ключей – PKI (архитектура национальной системы PKI пока окончательно не утверждена, но все понимают, что существующие ведомственные «островки доверия» необходимо связать в единую систему);
- инфраструктура доверенных сервисов – таких, как доверенная третья сторона, инфраструктура доверенного времени для проставления меток времени, прилагаемых к электронному документу, на основе доверенного источника времени; инфраструктура удостоверения места издания документа (сделки, контракта, договора, соглашения) двумя или более сторонами на основе доверенной третьей стороны;
- инфраструктура электронных реестров участников информационного взаимодействия – для подтверждения их правового статуса, правомочий, полномочий, и права подписи.
Задача управления закрытыми ключами
Согласно ст.10 №63-ФЗ «Об электронной подписи» задача хранения закрытого ключа лежит на участниках электронного взаимодействия. Они обязаны обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия. Так ли это просто? Может ли неподготовленный пользователь самостоятельно обеспечить безопасность своего закрытого ключа?
Безопасность закрытого ключа пользователя должна быть обеспечена на каждом из этапов его жизненного цикла: на этапе генерации ключевой пары (открытый и закрытый ключи), во время хранения закрытого ключа, при использовании закрытого ключа (выполнение криптографических операций, требующих использования закрытого ключа пользователя, например – формирование ЭЦП) и при уничтожении закрытого ключа. Генерация ключевой пары должна выполняться в среде, исключающей возможность влияния злоумышленника на сам процесс генерации, так и возможность получения какой-либо информации о закрытом ключе, которая может впоследствии быть использована при попытке его восстановления.
При хранении закрытого ключа должны быть обеспечены его конфиденциальность и целостность – ключ должен быть также надёжно защищён от несанкционированного доступа, как и его модификации. Лучшими устройствами для генерации и хранения закрытых ключей являются аппаратные устройства (eToken), которые также предназначены для выполнения криптографических операций, требующих использования закрытого ключа.
При использовании закрытого ключа важно исключить возможности его перехвата, а также несанкционированного использования (помимо воли и желания владельца ключа).
И, наконец, на этапе уничтожения закрытого ключа необходимо обеспечить гарантированное уничтожение информации и полностью исключить возможность его повторного использования (например, путём восстановления ранее удаленного хранилища).
Юридически-значимый электронный документооборот
Придание юридической силы электронному документу – вопрос достаточно тонкий. Пока он не имеет однозначного решения. До недавнего времени для придания юридической значимости электронному документу имелся непростой, но уже хорошо известный алгоритм, включающий в себя ряд технологических, правовых и организационных мер. Так, при создании и использовании ключей ЭЦП необходимо было использовать только сертифицированные средства ЭЦП и средства криптографической защиты информации (ст.5 №1-ФЗ). Для признания равнозначности документов с ЭЦП и привычных бумажных документов необходимо было также введение понятия аналога собственноручной подписи и создание регламента использования ЭЦП в каждой СЭД или заключение соглашения сторон об использовании ЭЦП в СЭД (согласно ст.1 №1-ФЗ, также ст.160 ГК и ст.11 №149-ФЗ).
В ст.5 нового закона «Об электронной подписи» говорится об условиях, при соблюдении которых электронные документы с электронной подписью признаются равнозначными документам на бумажном носителе, подписанным собственноручно. Однако условия придания юридической силы электронному документу пока законодательно не определены.
Заключение
Роль защищенного документооборота сегодня
Безусловно, строительство электронного правительства должно дать мощный толчок развитию систем ЗЭД. Например, развитие таких массовых систем, как система госзакупок, невозможно без ЗЭД. По сути, сами торги должны являться своего рода вершиной айсберга, основу которого должен составлять защищённый обмен документами (сбор заявок от потребителей, бюджетирование, обоснование стоимости и т.д.). Не менее важна роль ЗЭД и при оказании государственных услуг с применением электронных документов. Здесь в полный рост встают вопросы межведомственного обмена защищёнными документами, который должен быть основой подготовки электронного документа, выданного по заявке гражданина или организации, подписанного уполномоченными лицами и имеющего правовые последствия.
Хотелось бы, чтобы законодательные нововведения почаще шли в ногу со временем, как в рассмотренном случае закона «Об электронной подписи». И не тормозили, а помогали развитию перспективных технологий, служащих повышению защищённости взаимодействия «человек – информационные ресурсы», а число мошенничеств, в частности с персональными данными, неуклонно снижалось.
