В соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" электронное сообщение, подписанное электронной цифровой подписью (ЭЦП) или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью. В случае использования ЭЦП одним из условий организации юридически значимого обмена электронными документами (ЭД) является применение средств ЭЦП в соответствии с требованиями Федерального закона от 10.01.2002 №1-ФЗ "Об электронной цифровой подписи". При этом основополагающим фактором является обеспечение доверия к технологии, реализующей инфраструктуру удостоверяющих центров (УЦ).
Средства ЭЦП функционируют в некотором программно-аппаратном окружении, влияющем на процесс функционирования криптографических средств и представление результатов их работы. Следовательно, выполнение требований Федерального закона влечет за собой необходимость реализации комплекса организационно-технических мер, обеспечивающих корректность работы средств ЭЦП и информационную безопасность комплексов, реализующих функциональное назначение УЦ. Необходимый уровень безопасности зависит от категории обрабатываемой информации и от степени угрозы осуществления неправомерных действий в отношении конкретной системы электронного документооборота.
В экспертной статье представителей ФСБ России И.В. Аристархова и С.Н. Камышева рассматриваются требования законодательства РФ в области организации электронного документооборота с использованием ЭЦП, вопросы доверия средствам отображения ЭД и программно-аппаратной среде, в окружении которой функционируют средства ЭЦП, а также вопросы безопасного взаимодействия пользователя системы ЭДО с УЦ. Доказывается необходимость использования сертифицированных средств ЭЦП.
Выбор сертифицированных средств ЭЦП базируется на дифференцированном подходе в зависимости от конкретных условий эксплуатации системы ЭДО и возможностей противостоящего злоумышленника. Как пример, приводится краткая характеристика злоумышленника, присутствующего в сетях общего пользования. Рассматриваются вопросы обеспечения безопасности функционирования средств ЭЦП в данных условиях.
Кроме того в статье затрагивается проблема согласованности политик безопасности при межкорпоративном электронном документообороте, организации единого пространства доверия и проблема совместимости и признания ЭЦП в электронных документах при межкорпоративном ЭДО.
По вопросам редакционного сотрудничества обращайтесь к Марии Калугиной (kalugina@groteck.ru) по тел. (495) 609 3231
По вопросам размещения материалов в журнале "Информационная безопасность" обращайтесь к Оксане ренко (marunina@groteck.ru) по тел. (495) 609 3231