поиск по сайту
Как защитить электронную подпись

Акаткин Ю. М., ФГУП КБПМ

Как защитить электронную подпись

Подлинность электронного документа (ЭД) при обмене информацией может быть обеспечена различными способами. Один из способов — электронная подпись (ЭП), зависящая как от идентификатора отправителя, так и от содержания ЭД. Получатель при этом может проверить подлинность ЭП отправителя конкретного ЭД.

К сожалению, сегодня в специальной литературе имеют место различные толкования соотношения понятий «идентификация», «аутентификация» и «авторизация». Поэтому мы еще раз подчеркнем следующее. Идентификатор — набор символов, служащий для виртуального подтверждения личности. Для проверки подлинности личности используется аутентификация. На основе идентификации/аутентификации при обмене информацией устанавливается авторизация субъекта, в результате чего ему предоставляются определенные права. В банковской сфере: «Авторизация — разрешение, предоставленное эмитентом для проведения операций с использованием банковской карты и порождающее его обязательство по исполнению представленных документов, составленных с использованием банковской карты». [1]

Методы авторизации могут быть разными, например, менее или более «строгими», что наглядно проявляется при предоставлении государственных и муниципальных услуг в электронном виде. Многие услуги предоставляются при использовании, условно говоря, известных не строгих методов авторизации. Для волеизъявления и изменения своих прав необходимы более строгие методы авторизации, поскольку волеизъявления, изменение прав и персональных данных могут оказать влияние не только на гражданина, выступающего субъектом отношений, но и на других членов общества.

В системах электронного взаимодействия роль ЭП выполняет криптографическое преобразование. При этом, достоверность ЭП обеспечивается доверенной средой выполнения процедуры подписи, и поэтому доверенной ЭП является ЭП, установленная на доверенном компьютере.

С одной стороны, пользователь вправе сам выбрать, какой метод авторизации достаточен для того, чтобы просто, недорого и с достаточной надежностью получить данные из системы. С другой стороны, если речь идет об информации, содержащей юридические факты (о чем говорилось выше), то в них источник требуемых данных должен быть зафиксирован, т.е. подписан ЭП. Из этого вытекает, что такие данные должны были поступать из доверенной системы или в результате доверенных сеансов.

Можно констатировать: если обеспечивается доверенное взаимодействие, то могут предоставляться практически любые услуги в электронном виде, если доверенное взаимодействие отсутствует, то могут предоставляться услуги, риски по которым допустимы для системы электронного взаимодействия и приемлемы для пользователя.

Необходимо отметить, что сфера ЭП регулируется большим количеством нормативных правовых актов различного уровня, важнейшим из которых является Федеральный закон «Об электронной подписи» — № 63-ФЗ от 06.04.2011г. Но, специалисты сталкиваются с тем, что в правовом обеспечении ЭП имеются заметные недостатки. Экспертами соответственно выделяется следующая проблемная правовая область, требующая совершенствования: доверенная интерактивная среда оборота ЭД, включающая механизмы идентификации и проверки полномочий уполномоченных лиц, а также механизмы оборота юридически значимых ЭД на всех уровнях и между субъектами отношений на основе единых стандартов и регламентов. [2]

Известно, что ЭП использует ключ подписи (КП), который не должен быть никому известен, поскольку именно он обеспечивает свойства ЭД, связанные с тем, что снабдить документ ЭП может только его автор или владелец. Отсюда необходимость сохранности КП и его минимального присутствия в системе (в буквальном смысле!) на протяжении всего жизненного цикла КП. Минимальное присутствие КП в системе может быть обеспечено, если ЭП реализуется в отдельном устройстве, не имеющим общей памяти с другими элементами системы взаимодействия. [3]

Таким недорогим, удобным для использования и эффективным USB-устройством на рынке информационной безопасности является средство электронной подписи (СЭП) «МАРШ!», который одновременно представляет собой и средство обеспечения доверенного сеанса — (СОДС) «МАРШ!». [4]

Литература

1. Положение № 23-П ЦБ РФ «О порядке эмиссии кредитными организациями банковских карт и осуществление расчетов по операциям, совершаемых с их использованием» от 09.04.1998г. (В ред. Указание ЦБ РФ от 28.04.2004г. № 1426-У).

2. Законодательная база электронного документооборота в Российской Федерации. // 31.05.2011.

3. В.А. Конявский. Идентификация в области электронного правительства. // 2010. www.okbsapr.ru

4. Ю. Акаткин. Информационная безопасность финансового института. Что предлагает рынок для защиты информации. // Национальный банковский журнал. Апрель (№ 4) 2013 г.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них