Безопасность межведомственного взаимодействия
27 мая 2013г.

Как известно, безопасность информации складывается из трех характеристик: конфиденциальности, целостности и доступности. В нашей стране вопрос защиты информации рассматривается преимущественно с точки зрения необходимости обеспечения ее конфиденциальности. Обеспечение доступности, как правило, рассматривается в контексте обеспечения надежности информационных систем, а вопросам обеспечения целостности информации обычно уделяется мало внимания.

Целостность обеспечивается средствами защиты от несанкционированного доступа (НСД), реализующими разграничение доступа, и/или средствами криптографической защиты информации. Обеспечение целостности тесно связано с вопросами обеспечения юридической значимости информации, которые имеют крайне важное значение при взаимодействии информационных систем, принадлежащих разным организациям. В отличие от созданной ранее Системы межведомственного электронного документооборота (МЭДО), обеспечивающей автоматизированную обработку неструктурированных запросов между ведомствами, СМЭВ предполагает преимущественно автоматическое взаимодействие на основе исключительно структурированных запросов. Для того чтобы формирование ответов на запросы могло осуществляться автоматически (полностью без участия персонала), необходимо чтобы в ведомстве, формирующем ответ, имелся соответствующий информационный ресурс — база данных, содержащая все необходимые сведения. При этом подготовка ответа состоит в автоматическом формировании на основании параметров, содержащихся в запросе, некоторой выборки данных.

Очевидно, что для использования полученных ответов они должны иметь юридическую силу. Принятым Правительством РФ 6 апреля 2011 г.Федеральным законом ФЗ-63 "Об электронной подписи" предусмотрена возможность выдачи сертификата ключа проверки электронной подписи юридическому лицу (без указания физического лица). При этом данный сертификат может использоваться только для автоматического создания электронных подписей в информационной системе при оказании государственных и муниципальных услуг (исполнении государственных и муниципальных функций). В случае если сертификат электронной подписи выдан физическому лицу (пусть даже уполномоченному представителю юридического лица), на него возлагается вся полнота ответственности за содержание документов, подписанных с использованием соответствующего ключа электронной подписи. В случае автоматического формирования электронной подписи от имени юридического лица на него может быть возложена административная или гражданская ответственность. Но уголовную ответственность юридическое лицо нести не может.

Автоматически сформированная электронная подпись подтверждает факт содержания в базе данных соответствующей информации, и основной проблемой в данном случае является распределение ответственности за достоверность информации, содержащейся в базах данных. Однако большинство современных информационных систем служат средством структурированного хранения и обработки информации, первоисточником которой являются различные бумажные документы, и, по сути, информационная система выполняет вспомогательную роль: облегчает расчеты, упрощает подготовку новых документов и т. п., но содержащаяся в ней информация не имеет необходимого юридического статуса. Его, как правило, приобретают только бумажные документы, после того как они подписываются традиционным способом.

Данная проблема актуальна не только при автоматическом взаимодействии, но и для систем с множеством пользователей: одни вносят информацию в базу данных, другие формируют на ее основе новые документы. Причем последняя процедура зачастую максимально автоматизирована — документ формируется системой, распечатывается и подписывается (визируется). В результате пользователь несет ответственность за достоверность этих данных, проверить же истинность сведений во всех подписываемых документах (по первичным бумажным документам) он, как правило, физически не в состоянии.

Для решения данной проблемы необходимо придание информационным ресурсам соответствующего юридического статуса, а также обеспечение разделения ответственности пользователей за содержание информации. Обеспечить юридическую значимость электронных документов возможно лишь посредством электронной подписи, но подписывать каждое изменение в базе данных — весьма хлопотно. Законом ФЗ-63 введено понятие простой электронной подписи, которая "посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом". По сути, таким образом, узаконен статус информации практически во всех базах данных. Причем в данном случае не требуется осуществления криптографических преобразований, но необходимо отслеживать авторство всех изменений с сохранением доказательств.

Чтобы гарантировать корректность работы ПО, необходима сертификация, позволяющая перенести ответственность с пользователя (или разработчика) программного обеспечения на орган по сертификации. До выхода в свет закона об электронной подписи юридическая значимость документов обеспечивалась средствами криптографической защиты информации, которые проходили в ФСБ достаточно сложную сертификацию. Простая электронная подпись предполагает, что обеспечение целостности информации достигается за счет применения механизмов защиты от НСД. Кроме того, программные сркдства, используемые для автоматического формирования ответов на запросы, должны обеспечивать правильность извлечения информации. В отличие от средств криптографической защиты информации, функционал которых достаточно локален, полноценная сертификация всего прикладного программного обеспечения — достаточно трудоемкая задача, сопоставимая с трудозатратами на его создание.

Кроме того, отслеживание авторства — достаточно сложный процесс, заключающийся не только в сохранении информации о лице, последним изменившем отдельный информационный элемент, но и в отслеживании вмешательства всех лиц, принимающих участие в подготовке как конечного документа, так и данных, послуживших основанием для него. В результате требуется возможность отслеживать значение данных по состоянию на произвольно выбранный момент времени, а средства защиты от НСД эффективны лишь при условии, что все данные носят транзакционный характер. Для решения данной проблемы могут быть использованы технологии темпоральных баз данных. 



Сергей Лизин
+2

Курсы операторов МФЦ ← Назад