Проблемы безопасного применения ЭЦП в системах электронного документооборота

Проблемы безопасного применения ЭЦП в системах электронного документооборота

В соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" электронное сообщение, подписанное электронной цифровой подписью (ЭЦП) или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью. В случае использования ЭЦП одним из условий организации юридически значимого обмена электронными документами (ЭД) является применение средств ЭЦП в соответствии с требованиями Федерального закона от 10.01.2002 №1-ФЗ "Об электронной цифровой подписи". При этом основополагающим фактором является обеспечение доверия к технологии, реализующей инфраструктуру удостоверяющих центров (УЦ).

Средства ЭЦП функционируют в некотором программно-аппаратном окружении, влияющем на процесс функционирования криптографических средств и представление результатов их работы. Следовательно, выполнение требований Федерального закона влечет за собой необходимость реализации комплекса организационно-технических мер, обеспечивающих корректность работы средств ЭЦП и информационную безопасность комплексов, реализующих функциональное назначение УЦ. Необходимый уровень безопасности зависит от категории обрабатываемой информации и от степени угрозы осуществления неправомерных действий в отношении конкретной системы электронного документооборота.

В экспертной статье представителей ФСБ России И.В. Аристархова и С.Н. Камышева рассматриваются требования законодательства РФ в области организации электронного документооборота с использованием ЭЦП, вопросы доверия средствам отображения ЭД и программно-аппаратной среде, в окружении которой функционируют средства ЭЦП, а также вопросы безопасного взаимодействия пользователя системы ЭДО с УЦ. Доказывается необходимость использования сертифицированных средств ЭЦП.

Выбор сертифицированных средств ЭЦП базируется на дифференцированном подходе в зависимости от конкретных условий эксплуатации системы ЭДО и возможностей противостоящего злоумышленника. Как пример, приводится краткая характеристика злоумышленника, присутствующего в сетях общего пользования. Рассматриваются вопросы обеспечения безопасности функционирования средств ЭЦП в данных условиях.

Кроме того в статье затрагивается проблема согласованности политик безопасности при межкорпоративном электронном документообороте, организации единого пространства доверия и проблема совместимости и признания ЭЦП в электронных документах при межкорпоративном ЭДО.

Источник: статья о проблемах безопасного применения ЭЦП в системах электронного документооборота, которая будет опубликована в №3 журнала "Информационная безопасность". Выход данного номера ожидается 7 мая.
 
По вопросам редакционного сотрудничества обращайтесь к Марии Калугиной (kalugina@groteck.ru) по тел. (495) 609 3231
По вопросам размещения материалов в журнале "Информационная безопасность" обращайтесь к Оксане ренко (marunina@groteck.ru) по тел. (495) 609 3231