05.08.2014

Актуальные проблемы обеспечения защиты информации в СЭД

"Национальный банковский журнал", № 8 (123), август, 2014<br>
Статья Алексея Сабанова, заместителя генерального директора компании "Аладдин Р.Д."

Для организации защищённой СЭД необходимо использовать механизмы, обеспечивающие контроль целостности используемого программного обеспечения, регистрацию событий в информационной системе, криптографическую защиту, межсетевое экранирование, защиту каналов с помощью виртуальных частных сетей, антивирусную защиту, аудит ИБ. Дополнительно нужно создать сервисы безопасности, поддерживающие аутентификацию пользователей и разделение доступа, подтверждение авторства электронного документа (ЭД), контроль целостности ЭД, конфиденциальность ЭД, обеспечение юридической силы (ЮС) ЭД.

Рассмотрим некоторые актуальные проблемы, характерные именно для СЭД сегодняшнего дня. Ярко выраженной тенденцией является начало массового применения электронной подписи (ЭП) в СЭД, чему способствует ряд факторов.

С одной стороны, появилась развитая инфраструктура системы – 337 удостоверяющих центров (УЦ), аккредитованных Минкомсвязи России. О количестве неаккредитованных УЦ нет официальных данных, но априори их не меньше. УЦ предоставляют услуги выдачи и обслуживания сертификатов ключа проверки подписи. Конечно, не всё хорошо "в Датском королевстве" – система аккредитации нуждается в реформировании, это понимают все, в том числе Минкомсвязи России. Система будет модернизирована в ближайшее время, причём модернизация вряд ли сможет пройти в один этап – слишком много вопросов надо решать. Тем не менее фактом является то, что инфраструктура интенсивно строится и модернизируется. Заметим, что число УЦ, аккредитованных в Минкомсвязи и принадлежащих организациям кредитно-финансовой сферы, не так велико – всего 2%. В то же время ряд крупных банков поддерживает работу двух видов УЦ: российского производства (УЦ "КриптоПро", гораздо реже – "Сигнал-Ком" и др.) и "импортных" (Microsoft, RSA Keon и др.)

С другой стороны, к необходимости обладать инструментом придания юридической силы электронным документам приходят разные подразделения предприятий кредитно-финансовой сферы, и их число множится. Причины разные. Степень понимания необходимости, трудностей и опасностей тоже разная. Цель у всех одна: удешевить оборот значимой информации с помощью перехода на безбумажную технологию.  Усиленная квалифицированная подпись – сдача официальной отчётности – развёрнут УЦ "КриптоПро". Для внутренних нужд, в первую очередь для выпуска и поддержки цифровых сертификатов доступа, – "импортный" УЦ, чаще всего входящий в состав любого современного сервера Microsoft. Для клиентов ДБО, как правило, выпускаются усиленные неквалифицированные сертификаты с помощью УЦ "КриптоПро". Почему – рассмотрим ниже.

Вроде бы Банк России и так сделал много: есть стандарт ИББС, письма, рекомендации АРБ и т.д., однако проблемы всё же существуют. Например:

  • отсутствие доверия к сторонним аккредитованным УЦ – каждый крупный банк создаёт за свои деньги корпоративный банковский УЦ, хотя этот вид деятельности не имеет с банковской ничего общего;
  • немаловажным фактором при этом является стоимость услуг УЦ – банк не специализируется на перепродажах, ему интересно продавать только свои услуги, связанные непосредственно с обслуживанием клиентов;
  • навязывание разработчиками своих (или по непонятным критериям выбранных) средств защиты ДБО – в условиях отсутствия методики имплантации ЭП и внятных рекомендаций по применению средств защиты информации для КФС от регуляторов (ЦБ, ФСБ, ФСТЭК, Минкомсвязи).

Казалось бы, открываются радужные перспективы: переход на безбумажный документооборот, экономия бумаги, времени на поиск, обработку, согласование, подписание и пр. Однако процесс идёт не так быстро.

Что сдерживает развитие безбумажной СЭД?

Согласно закону № 63-ФЗ процедуры формирования ключа подписи и ключа проверки подписи, самой подписи, проверки подписи, шифрования трактуются однозначно как СКЗИ – требуется лицензирование деятельности по распространению шифросредств. Для банка, имеющего разветвлённую филиальную сеть, аттестовать компьютеры во всех точках выдачи ключей проверки подписи и обучить несколько десятков (а то и более ста) сотрудников по 500-часовой программе весьма накладно.

Вторым моментом является пока не утвержденный законодательно термин ЭД, а также условия признания его юридической силы. Для придания ЭД ЮС требуется нормативно-правовая, организационная и техническая составляющая.

Надежда на скорое решение этих сдерживающих моментов существует – в скором времени безбумажное светлое будущее откроет перед нами новые горизонты.