Введение
Данный регламент обязателен для изучения сотрудником, назначенным ответственным за информационную безопасность. Он регулирует порядок использования средств криптографической защиты информации (СКЗИ) и работы в защищенной телекоммуникационной системе.
Термины и определения
Защищенная система - Автоматизированная система для обмена юридически значимыми электронными документами через телекоммуникационные каналы с применением электронной подписи.
Автоматизированное рабочее место (АРМ) - Персональный компьютер, используемый для подключения и работы в Защищенной системе.
СКЗИ - Техническое средство, обеспечивающее безопасность данных путем их криптографического преобразования.
Электронная подпись (ЭП) - Цифровой реквизит, используемый для идентификации лица, подписавшего электронный документ. В Системе применяется технология ЭЦП на базе инфраструктуры открытых ключей (PKI).
Ключ ЭП (Закрытый ключ) - Конфиденциальная последовательность символов для создания ЭП. Хранится пользователем в секрете.
Ключ проверки ЭП (Открытый ключ) - Уникальная последовательность, связанная с закрытым ключом, предназначенная для подтверждения подлинности ЭП и документа. Не позволяет раскрыть закрытый ключ.
Сертификат ключа проверки ЭП - Электронный или бумажный документ, удостоверяющий принадлежность открытого ключа конкретному лицу. Выдается удостоверяющим центром (УЦ).
Удостоверяющий центр (УЦ) - Организация, уполномоченная создавать и выдавать сертификаты ключей ЭП.
Владелец сертификата - Лицо, на которое оформлен сертификат ключа проверки ЭП.
Средства ЭП - Криптографические инструменты для создания и проверки ЭП, а также генерации ключевых пар.
Сертификат соответствия - Документ, удостоверяющий, что продукция отвечает установленным стандартам и требованиям.
Подтверждение подлинности ЭП - Успешная проверка, которая устанавливает авторство подписи и отсутствие изменений в подписанном документе.
Компрометация ключа - Ситуация, при которой возникает обоснованное сомнение в сохранности ключа и безопасности информации. Признаками компрометации являются:
Утрата или временная пропажа носителей ключей.
Увольнение сотрудников, имевших доступ к ключевой информации.
Нарушение регламентов хранения или уничтожения ключей.
Подозрения на утечку или несанкционированное изменение данных.
Нарушение целостности пломб на хранилищах с ключевыми носителями.
Любые нештатные ситуации с носителями, в которых невозможно однозначно исключить вмешательство злоумышленника (включая технические сбои).
Риски применения электронной подписи
Использование ЭП сопряжено с рядом рисков, ключевые из которых:
Оспаривание авторства:Участник электронного взаимодействия может отрицать факт подписания документа, заявляя о подделке ЭП.
Отказ от содержания:Подписавшее лицо может утверждать, что документ был изменен после заверения ЭП и не соответствует исходному.
Под сомнением юридической силы: В суде одна из сторон может оспорить юридическую значимость электронного документа как доказательства.
Нарушение регламента: Если ЭП используется с отклонениями от законодательства или внутренних соглашений, правомочность документа может быть аннулирована.
Несанкционированный доступ: Компрометация ключа ЭП позволяет злоумышленнику создавать документы от имени владельца, влекущие юридические последствия.
Основы построения системы информационной безопасности
Криптографическая подсистема функционирует в соответствии с российским законодательством в сфере ЭП, защиты информации (включая стандарты ГОСТ, указания ФСБ и ФСТЭК) и международным стандартом X.509 для инфраструктуры открытых ключей (PKI).
Принципы инфраструктуры открытых ключей:
Каждый пользователь обладает парой криптографических ключей: закрытым (секретным) и открытым (публичным). Преобразование из закрытого ключа в открытый возможно, а обратная операция - практически невыполнима. Пользователь хранит свой закрытый ключ в тайне, а открытый - делает доступным всем.
Шифрование: Отправитель кодирует сообщение открытым ключом получателя. Расшифровать его может только владелец соответствующего закрытого ключа.
Электронная подпись: Отправитель создает ЭП с помощью своего закрытого ключа. Любой участник может проверить ее подлинность с помощью открытого ключа отправителя, но подделать подпись без знания закрытого ключа невозможно.
Роль Удостоверяющего центра (УЦ):
УЦ выступает доверенным ядром системы, выполняя critical функции:
Выпуск и выдача сертификатов ключей проверки ЭП.
Создание ключевых пар по запросам пользователей.
Управление жизненным циклом сертификатов: обработка уведомлений о компрометации ключей и аннулирование сертификатов.
Ведение реестра выданных и аннулированных сертификатов.
Проверка уникальности ключей и подлинности ЭП.
Разрешение спорных ситуаций и подтверждение авторства документов.
Сертификат ключа проверки ЭП, подписанный УЦ, удостоверяет принадлежность ключа конкретному лицу. Это позволяет пользователям идентифицировать друг друга, проверять авторство ЭП и целостность документов, устраняя риски оспаривания подлинности и содержания.
Техническая реализация (СКЗИ)
Для криптографических операций применяется сертифицированное СКЗИ, которое обеспечивает:
Конфиденциальность: Шифрование всех передаваемых в Системе документов.
Аутентификацию и авторство: Использование ЭП для идентификации участников и подтверждения подлинности документов.
Неотрекаемость: Юридическая сила документа с момента подписания; факт его существования и содержание не могут быть оспорены.
Целостность: ЭП фиксирует «хэш» документа; любое последующее изменение нарушает подпись и легко обнаруживается.
Взаимную аутентификацию: Проверка сертификатов при начале сеанса работы для исключения взаимодействия с анонимными лицами.
В следующем разделе приведены ключевые требования и рекомендации по обеспечению безопасности на АРМ пользователя.
Компания БидЭксперт поможет сэкономить ваше время и силы. Услуга "Помощь с выпуском ЭЦП" в разделе услуги доступна на на нашем сайте!
