Презентация

Download Report

Transcript Презентация 

Электронно-цифровая подпись,
Технические, правовые аспекты
применения ЭЦП
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Особенности
применения ЭЦП
в отличии от
собственноручной
подписи
Определение и закрепление правовых, организационных
и технических условий применения
ЭЦП
Применение ЭЦП
Обеспечение технических условий
применения ЭЦП в процессе деятельности
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Правовые аспекты
Основные утверждения, на которых базируются правовые аспекты:
•
ЭЦП несет в себе не только информацию о лице, подписавшем
документ, но и вместе с сертификатом ключа подписи информацию об
отношениях, в которых участвует подписанный документ.
•
удостоверяющий центр – это носитель субъективных прав и
обязанностей, т.е. организация;
•
владелец ключей подписи и сертификатов ключей подписи
становится
оным
в
соответствии
с
правоустанавливающими
документами в процессе взаимодействия с удостоверяющим центром;
•
применение электронных документов, заверенных ЭЦП, в
информационной системе должно регулироваться соглашением
участников системы или решением владельца системы.
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Регламент
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Технические
аспекты
Основные утверждения, на которых базируются технические аспекты:
•
Предотвращение принятия документа, в котором
содержится хотя бы одна ЭЦП, статус сертификата
которой не может быть определен с установленной
степенью надежности;
•
Визуализация сертификата ключа подписи ЭЦП при
проверке подписи на клиентских рабочих станциях для
определения лица, подписавшего документ;
•
Использование внутренних форматов электронного
документа ЭЦП, обеспечивающую наибольшую простоту
визуализации содержательной части документа.
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Удостоверяющий центр
Центр
сертификации
Обслуживание юридических и
физических лиц
Центр
регистрации
Корпоративный подчиненный УЦ
корпоративный
Центр регистрации
Центр
регистрации
АРМ администратора
корпоративного
Центра регистрации
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
«И опыт - сын
ошибок трудных»
Практика:
А.С. Пушкин
1. Стадия внедрения системы
электронного документооборота
2. Стадия эксплуатации системы
3. Инциденты
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Типообразующим
признаком является
наличие
соглашения между
участниками ИС,
содержащего
условие отказа в
заключении
соглашения, или
решения владельца
ИС
Внедрение: тип информационной системы
Тип ИС
Корпоративная ИС
• Система внутрикорпоративного
документооборота предприятия
• Система документооборота
между хозяйствующими субъектами
• Система типа «Банк-Клиент»
• Система документооборота
органа власти
• Система типа «Налоговая
отчетность по телекоммуникационным
каналам связи»
ИС общего пользования
«Электронное
правительство»
УЦ корпоративных ИС
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Неясность
«И
опыт - сын
целей
ошибок трудных»
порождает
неразборчивость
А.С. Пушкин
средств
Евгений
Смотрицкий
«Глобализация и
люмпенизация:
социальные корни
преступности»
Внедрение: контур документооборота
соглашение о порядке использования ЭЦП (п.2 ст.17
ФЗ «Об ЭЦП») в форме локального нормативного акта
и/или договора
Соглашение должно определять типы и виды
документов, принимаемые к исполнению, а также их
форматы
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Регламент
создания ЭЦП
Внедрение: Регламент управления ЭЦП
Электронный документ
h()
Служба актуальных состояний
«КриптоПро OCSP»
Цифровая подпись
Сертификат
Доп. информация
h()
OCSP-ответ
Штамп времени
(TSP-ответ)
Служба штампов времени
«КриптоПро TSP»
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Удостоверение
времени создания
документа для
последующего
разрешения
конфликтов,
связанных с
использованием
электронного
документа
Служба меток времени КриптоПро TSP
Продление срока
действия ЭЦП в
электронном
документе. Цепочка
штампов времени
позволяет создавать
системы архивного
хранения
электронных
документов,
обеспечивая
актуальность ЭЦП в
электронном
документе.
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Позволяет по
запросу
предоставлять
пользователям
Удостоверяющего
Центра
информацию об
аннулировании и
приостановлении
действия
сертификатов
Служба актуальных статусов
сертификатов КриптоПро OCSP
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Регламент
проверки ЭЦП
Проверка ЭЦП
Внедрение: Регламент управления ЭЦП
Служба актуальных состояний
«КриптоПро OCSP»
Список отозванных
сертификатов
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Преимущества
данного регламента
управления ЭЦП
Внедрение: Регламент управления ЭЦП
•
Наличие доказательной базы момента
подписи и статуса сертификата на момент подписи;
•
Уменьшение трафика в сети за счет того,
что ЭЦП создается один раз, а проверяется
неограниченно много раз и, следовательно, на
неограниченно много раз снижается
транспортировка CRL по сети;
•
Повышается производительность и
надежность серверных компонент ИС за счет
отсутствия сетевых обращений к CDP или серверу
«КриптоПро OCSP»;
•
При архивном хранении документов не
требуется переподписывание электронных
документов.
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
«О соль земли, не
становись
испорченной, ибо
если соль
испортится, то не
будет исцеления от
этого»
Иса (а.с) (Ибн альМубарак, Китаб азЗухд (283) и Абу
Нуайм в аль-Хилья
(5/7).)
Эксплуатация: контролирующие органы
•
У каждого участника ИС должны быть
подготовлены для предъявления: копия соглашения
между участниками ИС, копия ФЗ «Об ЭЦП», копия
средств ЭЦП (СКЗИ), копия инструкции по проверке
ЭЦП.
•
У каждого участника ИС должна быть
инструкция по предъявлению сотруднику
контролирующего органа документов в электронной
форме, содержащая указания о порядке предъявления,
ответы на часто задаваемые вопросы, телефоны
экспертов, которые готовы ответить на вопросы,
возникающие у сотрудника контролирующего органа
•
В случае, если документы представлены в
сложном (отличном от простого текстового) формате
(например, XML), сотруднику контролирующего органа
должно передавать программное средство для
визуализации содержательной части документа в
привычной форме на рабочем месте сотрудника
контролирующего органа. Об этом нужно позаботиться
КОМПАНИЯ КРИПТО-ПРО
на стадии внедрения.
ключевое слово в защите информации
www.cryptopro.ru
ООО «КРИПТОПРО» и ее
сотрудники
принимали участие
в более чем 10
инцидентах,
которые
разрешались в
судебном и/или в
досудебном порядке
или находились в
производстве у
дознавателя
(следователя).
Инциденты
Вопросы перед экспертами:
•Какие электронные документы содержатся на
предоставленном на экспертизу оптическом (или магнитном)
носителе?
•Имеет ли место подлинность электронной цифровой
подписи такого-то лица в электронных документах,
содержащихся на представленном на экспертизу оптическом
(или магнитном) носителе в некотором временном периоде
(дата, время)?
•В каком временном периоде (дата, время) были подписаны
электронные документы содержатся на предоставленном на
экспертизу оптическом (или магнитном) носителе?
Вопросы перед УЦ:
•Какое лицо является собственником и/или владельцем
сертификата ключа подписи, идентифицирующегося по
следующим данным?
•Какой статус сертификата ключа подписи,
идентифицирующегося по следующим данным, был в
некотором временном периоде (дата, время)?
КОМПАНИЯ КРИПТО-ПРО
ключевое слово в защите информации
www.cryptopro.ru
Выводы по инцидентам
1. Нужно забыть такие понятия как «Центр ключей», «Центр сертификатов» и
т.д. и нужно перестать относится к удостоверяющему центру как к
некоторому комплексу программных и технических средств, а организовать
его работу так, что бы была полная доказательная база факта обладания
ключами и сертификатами ключей подписи конкретными лицами, а также
статуса их сертификатов.
2. Для автоматизации деятельности удостоверяющего центра нужно
использовать не средства, предоставляющие возможность изготовить
сертификат ключа подписи, а средства позволяющие управлять
сертификатами ключей подписи на всем протяжении их жизненного цикла,
позволяющие поддерживать необходимую бизнес-логику деятельности и
имеющие необходимую методологию, организационно-распорядительный
набор документации.
3. Нужно регламентировать применение ЭЦП так, что бы обеспечивалось
наличие доказательной базы момента создания подписи.
4. Нужно начать проводить аудит действующих и перспективных ИС на
предмет корректности использования ЭЦП как с точки зрения технических
КОМПАНИЯ КРИПТО-ПРО
решений, так и сточки зрения правовых требований. ключевое слово в защите информации
www.cryptopro.ru
ВОПРОСЫ?
Подготовил студент I-го курса ЭФ БГУ
КОМПАНИЯ КРИПТО-ПРО
Будник Александр ключевое
слово в защите информации
www.cryptopro.ru