Аналитика и комментарии

13 августа 2013

Как защитить электронную подпись

Подлинность электронного документа (ЭД) при обмене информацией может быть обеспечена различными способами. Один из них - электронная подпись (ЭП), зависящая как от идентификатора отправителя, так и от содержания ЭД. Получатель при этом может проверить подлинность ЭП отправителя конкретного ЭД.

К сожалению, сегодня в специальной литературе существуют различные толкования понятий «идентификация», «аутентификация» и «авторизация», поэтому мы еще раз подчеркнем следующее. Идентификатор - набор символов, служащий для виртуального подтверждения личности. Для проверки подлинности личности используется аутентификация. На основе идентификации/ аутентификации при обмене информацией устанавливается авторизация субъекта, в результате чего ему даются определенные права. В банковской сфере «авторизация - это разрешение, предоставленное эмитентом для проведения операций с использованием банковской карты и порождающее его обязательство по исполнению представленных документов, составленных с использованием банковской карты» (1).

Методы авторизации могут быть разными, например менее или более строгими, что наглядно проявляется при оказании государственных и муниципальных услуг в электронном виде. Многие услуги предоставляются при использовании, условно говоря, известных нестрогих методов авторизации. Для волеизъявления и изменения своих прав и персональных данных необходимы более строгие методы авторизации, поскольку эти процессы могут оказать влияние не только на гражданина, выступающего субъектом отношений, но и на других членов общества.

В системах электронного взаимодействия роль ЭП выполняет криптографическое преобразование. При этом достоверность ЭП обеспечивается доверенной средой выполнения процедуры подписи, поэтому доверенной электронной подписью является ЭП, установленная на доверенном компьютере.

С одной стороны, пользователь вправе сам выбрать, какой метод авторизации достаточен для того, чтобы просто, недорого и с достаточной надежностью получить данные из системы. С другой стороны, если речь идет об информации, содержащей юридические факты, то в ней источник требуемых данных должен быть зафиксирован, то есть подписан ЭП. Из этого вытекает, что такие данные должны поступать из доверенной системы или возникнуть в результате доверенных сеансов.

Можно констатировать: если обеспечивается доверенное взаимодействие, то могут предоставляться практически любые услуги в электронном виде; если доверенное взаимодействие отсутствует, то могут предоставляться услуги, риски по которым допустимы для системы электронного взаимодействия и приемлемы для пользователя.

Необходимо отметить, что сфера ЭП регулируется большим количеством нормативных правовых актов различного уровня, важнейшим из которых является Федеральный закон № 63-ФЗ «Об электронной подписи» от 06.04.2011. Но специалисты сталкиваются с тем, что в правовом обеспечении ЭП имеются заметные недостатки. Экспертами выделяется следующая проблемная правовая область, требующая совершенствования, - доверенная интерактивная среда оборота ЭД, включающая механизмы идентификации и проверки прав уполномоченных лиц, а также механизмы оборота юридически значимых ЭД на всех уровнях и между субъектами отношений на основе  единых стандартов и регламентов (2) .

Известно, что ЭП использует ключ подписи (КП), который никому не известен, поскольку именно он обеспечивает свойства ЭД, связанные с тем, что снабдить документ ЭП может только его автор или владелец. Отсюда вытекает необходимость сохранности КП и его минимального присутствия в системе в буквальном смысле на протяжении всего жизненного цикла ключа подписи. Минимальное присутствие КП в системе может быть обеспечено, если ЭП реализуется в отдельном устройстве, не имеющем общей памяти с другими элементами системы взаимодействия (3).

Таким недорогим, удобным для использования и эффективным USB-устройством на рынке информационной безопасности является средство электронной подписи (СЭП) «МАРШ!», которое одновременно представляет собой и средство обеспечения доверенного сеанса (СОДС) «МАРШ!»(4).

Литература:
1. Положение № 23-П ЦБ РФ «О порядке эмиссии кредитными организациями банковских карт и осуществления расчетов по операциям, совершаемым с их использованием» от 09.04.1998 (в ред. Указаний ЦБ РФ от 28.04.2004 № 1.426-У).
2. Законодательная база электронного документооборота в Российской Федерации. - 31.05.2011 (iecp.ru/articles/ item/167646).
3. Конявский В. А. Идентификация в области электронного правительства. - 2010.
4. Акаткин Ю. М. Информационная безопасность финансового института. Что предлагает рынок для защиты информации. // Национальный Банковский Журнал. - 2013. - № 4 (апрель).

Поделиться:
 

Возврат к списку