20.11.2008

СЕКРЕТНЫЕ МАТЕРИАЛЫ: принципы построения защиты электронного документооборота

Евгений Модин, Финансовая газета

В настоящее время практически все организации в той или иной степени используют возможности электронного документооборота, начиная от элементарных систем электронной почты и заканчивая специализированными страховыми, банковскими, логистическими и другими системами, (ЭДО), Однако, существует область ЭДО, в которой критически важным является обеспечение целостности (достоверности) и конфиденциальности передаваемой и обрабатываемой информации. Системы, способные обеспечивать указанные свойства передаваемой информации, будем называть системами защищенного ЭДО. К категории конфиденциальной информации прежде всего, относятся финансовая информация (системы Интернет - банкинга, оплаты различных услуг, электронной торговли, заказы сырья и комплектующих и т.д), но это далеко не единственная область применения систем ЗЭДО.

Передачу «технологической» информации – оперативно-диспетчерской, телеметрической, команд телеуправления и телемеханики, а также статистической, аналитической и иной оперативной информации, на основе которой принимаются управленческие решения, также целесообразно осуществлять в защищенном режиме.

Иногда можно услышать мнение, что часть из вышеперечисленных систем не относятся к системам ЭДО. Однако если документ — материальный объект, содержащий информацию в зафиксированном виде и специально предназначенный для её передачи во времени и пространстве, а электронный документ — документ, в котором информация представлена в электронно-цифровой форме, то эти системы в полной мере являются системами ЭДО.

Итак, что общего и в чем состоит различие, между ЭДО и ЗЭДО? Основные принципы построения для этих систем одинаковы это:

  • однократная регистрация документа;
  • возможность параллельного выполнения различных операций с целью сокращения времени движения документов и повышения оперативности их исполнения;
  • непрерывность движения документа;
  • эффективно организованная система поиска документа;
  • развитая система отчётности по различным статусам и атрибутам документов, позволяющая контролировать движение документов по процессам документооборота

Отличие систем ЗЭДО определяется важностью (критичностью) информации, циркулирующей в этих системах. Для того чтобы обеспечить доверие пользователей к полученной по электронным каналам связи информации, работа системы должна быть строго регламентирована. Следовательно, для построения такой системы, необходима разработка базы нормативно-распорядительных документов, учитывающая все основные процессы, связанные с функционированием системы. Не менее важным условием является обязательное наличие подсистемы защиты информации, которая должна соответствовать производственным процессам, обслуживаемым системой ЭДО. В целях предотвращения конфликтных ситуаций в таких системах должно быть организовано архивное хранение электронных документов, причем на срок не менее срока хранения бумажных аналогов. Для примера срок хранения бухгалтерских и финансовых документов должен составлять не менее 5 лет. И, наконец, должны быть проработаны вопросы, связанные с обеспечением непрерывности функционирования системы, поскольку сбои и остановки системы могут повлечь очень серьёзные последствия. Так, например ущерб из-за остановки торговой сессии ММВБ, которая произошла 20 апреля 2007г. в результате сбоя в электроснабжении, был оценен в 1,5 миллиарда рублей.

Нормативно распорядительные документы

Если система создается не только для внутрикорпоративного использования, но и для передачи информации в сторонние организации, то создание базы нормативно-распорядительных документов начинается с получения соответствующих лицензий. Это связано с тем, что без использования криптографических средств создать систему ЗЭДО невозможно, а деятельность по распространению, техническому обслуживанию шифровальных средств и по предоставлению услуг в области шифрования информации подлежит лицензированию в соответствии с требованиями Федерального закона N 128-ФЗ от 8 августа 2001 г. "О лицензировании отдельных видов деятельности". Процесс лицензирования требует проведения ряда организационных мероприятий и выполнения требований нормативно правовых документов, включая законы, подзаконные акты и даже некоторые ведомственные документы. По сути, должна быть создана нормативно-правовая основа для функционирования подсистемы защиты информации. Хорошей практикой в этом случае является определение в рамках данной работы, порядка взаимодействия подразделений организации между собой, а также с клиентами (участниками) системы по вопросам функционирования различных её компонентов. Учитывая недостаточную проработанность вопросов связанных с ЭДО в Российском законодательстве, эта работа представляет собой нетривиальную задачу, требующую наличия компетентных сотрудников как технического, так и юридического плана или же привлечения специалистов сторонних организаций оказывающих подобные услуги.

Не менее важной задачей является выбор юридического механизма функционирования системы. На сегодняшний день наиболее распространенным является механизм присоединения. Это связано с тем, что большинство систем функционируют по схеме «звезда», архитектура которой базируется на едином центре, через который или с которым участники системы реализуют обмен электронными документами. Конечно, возможно использование данного механизма и при работе по схеме «каждый с каждым», но, опять же, только при наличии единого центра управления системой.

Учитывая тот факт, что юридическая значимость документов обеспечивается применением технологии электронной цифровой подписи, а функционирование данной технологии тесно связано с работой удостоверяющих центров в общем случае разрабатываются следующие документы:

  • Правила системы ЭДО, в которых должен быть определен порядок обмена электронными документами, формат передаваемых данных и другие моменты, необходимые для функционирования системы;
  • Договор (соглашение) о присоединении к правилам системы ЭДО;
  • Приказ о назначении уполномоченного лица удостоверяющего центра, который возлагает на уполномоченного сотрудника функции, права, обязанности и ответственность уполномоченного лица удостоверяющего центра и закрепляет обязанности владельца соответствующего ключа подписи и сертификата ключа подписи;
  • Положение об удостоверяющем центре системы, в котором должны быть освещены:
    • организационно-штатная структура обслуживающего персонала,
    • функциональные обязанности сотрудников из состава обслуживающего персонала, взаимодействие со смежными подразделениями,
    • меры обеспечения информационной безопасности ресурсов удостоверяющего центра.
  • Регламент удостоверяющего центра, который определяет условия предоставления и правила пользования услугами удостоверяющего центра, включая права, обязанности, ответственность сторон, основные организационно-технические мероприятия, направленные на обеспечение работы удостоверяющего центра;
  • Должностные инструкции персонала обслуживающего систему, функции, права, обязанности и ответственность.

Конечно, перечень документов необходимых для функционирования системы ЗЭДО и их содержание во многом зависит от её специфики и условий функционирования, но в любом случае разработка базы нормативно-распорядительной документации обязательно и требует привлечения разноплановых специалистов и значительных временных затрат. Без решения всех организационных моментов невозможно полноценное функционирование любой системы ЭДО, а если система передаёт критически важную информацию, недоработки в области организации взаимодействия могут привести к весьма нежелательным последствиям, например финансовым потерями или ошибкам в управлении.

Подсистема защиты информации

Как видно из перечня документов, значительное внимание должно быть уделено функционированию подсистемы защиты информации. Это и понятно, поскольку без правильного построения данной подсистемы невозможно обеспечение целостности и конфиденциальности передаваемой информации. Если подсистема строится с учётом требований, действующего законодательства, то в качестве её основы должен использоваться криптопровайдер который способен реализовывать процедуры формирования и проверки электронной цифровой подписи в соответствии с отечественными стандартами ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, а в соответствии с ГОСТ 28147-89 – реализовывать шифрование информации в целях обеспечения её конфиденциальности. Криптопровайдер должен также иметь сертификат соответствия Федеральной Службы Безопасности. На сегодняшний день наиболее распространенными криптопровайдерами, удовлетворяющими этим условиям, являются продукты CSP "Крипто-ПРО" и Signal-COM CSP.

Немаловажное значение имеет и возможность использования различных технологических наработок позволяющих до возможных пределов автоматизировать процесс управления подсистемой защиты информации, что является достаточно сложной задачей. При этом её сложность возрастает пропорционально увеличению числа пользователей системы, поскольку требует поддержки в актуальном состоянии большого количества информации, связанной с легитимностью доступа пользователей к системе и с управлением их ключевой информацией.

Очевидно, что для присоединения к системе потенциальным пользователем должен быть выполнен ряд необходимых мероприятий, среди которых, как минимум, ознакомление с правилами работы системы, заключение договора, получение необходимых данных для подключения к системе и т.д. Федеральный закон N 1-ФЗ от 10 января 2002 г. "Об электронной цифровой подписи" определяет, что владельцем сертификата ключа подписи является физическое лицо. Следовательно для того, чтобы данное физическое лицо могло совершать определённые действия в системе, оно должно иметь доверенность от своей компании на право совершения этих действий. Как доверенность, так и ряд других документов имеют конечные сроки действия. Актуальность таких документов должна отслеживаться организатором системы.

Достаточно сложен и процесс управления ключевыми данными пользователя. Ключевые данные является коммерческой тайной и в их отношении должен быть установлен режим коммерческой тайны, что вновь потребует от организации проведения определенных организационных и технических мероприятий. Поскольку ключевые данные позволяют получить доступ к финансовым средствам или к конфиденциальной информации легальных пользователей системы, актуальность их защиты сложно переоценить. Особенно в свете того, что их целенаправленное хищение в последнее время приобретает всё больший размах.

Организатор системы должен обеспечить выполнение полного «жизненного цикла» ключевой информации. А именно генерацию пользователем криптографических ключей и запроса на цифровой сертификат, плановую смену ключевой информации в соответствии с требованиями производителей средств криптографической защиты информации, определить порядок действий пользователей в случае компрометации (утраты, хищения) ключевых данных, определить порядок разбора конфликтных ситуаций. Все эти процедуры имеют очень важное значение, поскольку оказывают непосредственное влияние на достоверность циркулирующей в системе информации. Риск ошибок при их выполнении должен быть минимальным.

Формализация и автоматизация процессов и процедур помогает повысить производительность подсистемы и избежать большого числа некорректных действий при их проведении. Так опыт работы крупных удостоверяющих центров показывает, что от 10 до 15% пользовательских запросов составляется с ошибками. Без надлежащей организации системы контроля выявить их подчас весьма затруднительно. А ведь любая ошибка в выпущенном удостоверяющим центром сертификате может быть использована против организатора системы.

Типовые ошибки построения системы защиты информации

Не останавливаясь, на технологических аспектах построения подсистемы защиты информации, уделим внимание типовым ошибкам, допускаемым организациями в ходе этого процесса. Чаще всего некорректные действия объясняются либо непониманием процесса функционирования подсистемы защиты информации, либо желанием сэкономить на построении системы. Результат, как правило, одинаков - это поверхностное проектирование процессов и процедур, отсутствие автоматизации процессов. использование встроенного в ОС криптопровайдера и хранение ключевой информации в обычном хранилище Windows или на дискетах.

Строя подсистему таким образом организация должна быть готова к возникновению как очевидных, так и непредвиденных проблем при её эксплуатации. Так, недостаточная проработанность процессов, связанных с функционированием системы, рано или поздно приведёт к нарушениям или сбоям в её работе. Недостаток внимания к процессам автоматизации приводит к невозможности нормального развития системы и к ошибочным действиям при её эксплуатации со стороны, как обслуживающего персонала, так и клиентов системы. Использование не сертифицированных средств криптографической защиты информации приводит к тому, что любой участник информационного обмена сможет заявить о своих сомнениях в подлинности, полученной/переданной информации. На практике это означает, что использование такой системы для коммуникации с клиентами или сторонними организациями будет связано со значительными рисками. Недопустимость хранения ключевой информации в хранилище компьютера объясняется тем, что эта среда далеко небезопасна: как только получен физический доступ, или в компьютер проник злонамеренный код (вирус, троянская программа), закрытый ключ пользователя может быть скомпрометирован. Понятно что факт атаки, не афишируется и, как правило, остаётся незамеченным для пользователя. В результате злоумышленник в течение долгого времени сможет расшифровывать корреспонденцию легального пользователя, вносить необходимые изменения и отправлять от его имени и за его подписью фальсифицированную информацию. К каким результатам может привести такая ситуация в системах передающих финансовую информацию объяснять нет нужды.

Не менее опасно и хранение ключевой информации на дискетах или «флэшках», поскольку с любого такого носителя информация может быть легко похищена. Причем в последнее время широкое распространение получили методы социальной инженерии, так называемого «фишинга». Когда пользователь обманным путём направляется на сайт-подделку, очень похожий на сайт системы, в которой он работает и где производится кража криптографических ключей. На данный момент, единственной надёжной альтернативой указанным способам хранения является использование аппаратных электронных ключей или токенов.

Предотвращение конфликтных ситуаций

Немаловажную роль в процессе функционирования системы играет возможность проведения организатором системы разбора конфликтных ситуаций, которые могут возникнуть в процессе её эксплуатации. Для вэтой цели система должна предусматривать архивное хранение входящих/исходящих электронных документов вместе с их ЭЦП, всех выданных удостоверяющим центром сертификатов ключа подписи, а также специальное автоматизированное рабочее место разбора конфликтных ситуаций.

Работа архива электронных документов должна быть строго регламентирована, начиная с операций резервного копирования информации и заканчивая операциями по извлечению документов из архива. Сама система архивирования должна обеспечивать как минимум, следующий функционал:

  • Попадание всех входящие, исходящие, электронных документов (сообщений) вместе с их ЭЦП в базу данных архивной системы.
  • Невозможность единоличного удаления электронных документов из архивной системы, как простым пользователем системы, так и администраторами.
  • Обеспечение требуемого объёма памяти для хранения документов.
  • Доступность и сохранность поступивших в архив документов (сообщений) в течение нескольких лет (не менее 5 лет).
  • Наличие системы резервного копирования хранящихся в архиве электронных документов.

Необходимость обеспечения сохранности всех выпущенных удостоверяющим центром сертификатов обычно определяется в регламенте удостоверяющего центра, там же может быть описана и процедура разбора конфликтных ситуаций.

Краткие итоги

Как уже отмечалось, сбои в работе системы ЗЭДО зачастую приводят к весьма негативным последствиям. Поэтому в процессе проектирования и в процессе эксплуатации системы вопросам, связанным с её непрерывным функционированием необходимо уделять должное внимание. К таким вопросам, прежде всего, следует отнести сохранность программных средств и циркулирующей в системе информации (данных). Процедуры резервного копирования должны находиться под постоянным контролем, оптимальным вариантом можно считать наличие резервного центра системы, с которым происходит постоянный или периодический обмен информацией. Не должны ускользать от проверок и контроля и технические системы, обеспечивающие функционирование системы. Это, прежде всего системы кондиционирования и системы электроснабжения. Их закрепление за ответственными сотрудниками, своевременное обслуживание способствуют бесперебойному функционированию системы.

В целом процесс функционирования системы ЗЭДО подразумевает активное взаимодействие различных подразделений организатора системы и её участников и представляет собой комплекс организационно технических мероприятий направленных на управление процессом бесперебойного обмена достоверной информацией между всеми участниками системы.

Полноценное функционирование системы ЗЭДО в максимальной степени зависит от того насколько правильно и детально проработаны все организационные моменты, связанные с её эксплуатацией. Это объясняется тем, что проектирование и эксплуатация большого количества внутренних и внешних процессов, а также составляющих их процедур, является сложной задачей. Важно понимать, что сбой даже в одной процедуре может привести к негативным последствиям для всей системы.

Особое внимание должно уделяться подсистеме защиты информации, поскольку сбои в её работе могут привести к несанкционированному доступу к конфиденциальной информации, что в свою очередь, может повлечь за собой значительный ущерб. Наиболее простым способом нарушения правильного функционирования системы остается получение доступа к ключевым данным, в связи, с чем последнее время наблюдается рост интереса со стороны хакерского сообщества к краже ключевой информации. Для сохранения ключевой информации должны приниматься все доступные на сегодняшний день меры как организационного, так и технического характера.

Технологии, программные и аппаратные средства, используемые в системе должны позволять максимально автоматизировать все рутинные процессы, с целью снижения вероятности ошибок со стороны обслуживающего персонала или клиентов системы.

Евгений Модин, руководитель отдела консалтингаAladdin