Проблемы безопасного применения ЭЦП в системах электронного документооборота

В соответствии с Федеральным законом от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» электронное сообщение, подписанное электронной цифровой подписью (ЭЦП) или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью. В случае использования ЭЦП одним из условий организации юридически значимого обмена электронными документами (ЭД) является применение средств ЭЦП в соответствии с требованиями Федерального закона от 10.01.2002 N1-ФЗ «Об электронной цифровой подписи». При этом основополагающим фактором является обеспечение доверия к технологии, реализующей инфраструктуру удостоверяющих центров (УЦ).

Средства ЭЦП функционируют в некотором программно-аппаратном окружении, влияющем на процесс функционирования криптографических средств и представление результатов их работы. Следовательно, выполнение требований Федерального закона влечет за собой необходимость реализации комплекса организационно-технических мер, обеспечивающих корректность работы средств ЭЦП и информационную безопасность комплексов, реализующих функциональное назначение УЦ. Необходимый уровень безопасности зависит от категории обрабатываемой информации и от степени угрозы осуществления неправомерных действий в отношении конкретной системы электронного документооборота.

В экспертной статье представителей ФСБ России И.В. Аристархова и С.Н. Камышева рассматриваются требования законодательства РФ в области организации электронного документооборота с использованием ЭЦП, вопросы доверия средствам отображения ЭД и программно-аппаратной среде, в окружении которой функционируют средства ЭЦП, а также вопросы безопасного взаимодействия пользователя системы ЭДО с УЦ. Доказывается необходимость использования сертифицированных средств ЭЦП.

Выбор сертифицированных средств ЭЦП базируется на дифференцированном подходе в зависимости от конкретных условий эксплуатации системы ЭДО и возможностей противостоящего злоумышленника. Как пример, приводится краткая характеристика злоумышленника, присутствующего в сетях общего пользования. Рассматриваются вопросы обеспечения безопасности функционирования средств ЭЦП в данных условиях.

Кроме того в статье затрагивается проблема согласованности политик безопасности при межкорпоративном электронном документообороте, организации единого пространства доверия и проблема совместимости и признания ЭЦП в электронных документах при межкорпоративном ЭДО.

Источник: статья о проблемах безопасного применения ЭЦП в системах электронного документооборота, которая будет опубликована в N3 журнала «Информационная безопасность». Выход данного номера ожидается 7 мая.