Современные информационные технологии/4. Информационная безопасность
к.т.н., доцент Шматок А.С. магистр Виноградов В.С.
Национальный авиационный университет, Украина
Практическое применение электронной цифровой подписи в сфере
электронного документооборота Украины.
В статье
рассмотрены проблемы развития электронной цифровой подписи в сфере электронного
документооборота, вопросы практического применения цифровой подписи и
шифрования, а также понятие инфраструктуры открытых ключей и ее структуры,
проведен анализ современного программного комплекса КриптоАРМ и его
возможностей
В последнее время в мире растет количество проектов,
целью которых является организация обмена конфиденциальной информацией между
предпринимателями и государственными органами по телекоммуникационным сетям.
Сегодня целый ряд стран, таких как США, Англия, Швеция, Франция, Канада,
Германия, Австралия, Россия и Украины перешли или переходят на безбумажную
технологию сдачи бухгалтерской и налоговой отчетности через Интернет. Также были
созданы законодательные предпосылки для введения систем электронного
документооборота Закон об электронной цифровой подписи (ЭЦП)[1] и Закон об
электронном документообороте[2]. Электронный оборот более эффективен за счет
того, что он легче поддается оптимизации. Затраты на внедрение систем
электронного документооборота окупаются не только за счет повышения скорости
обмена информацией и сокращения расходов на хранение документов, но и
отсутствием серьезных затрат на перестройку документооборота при возникшей необходимости.
По данным исследования IDC, Siemens Business Services
проведенного еще в 2000 г., в развивающихся компаниях бумажный документооборот
с каждым годом возрастает примерно на 15-25%, порядка 30% времени рабочих групп
тратится на поиски и согласование документов, 6% документов безвозвратно
теряются, каждый внутренний документ копируется до 20 раз, в среднем каждый
сотрудник тратит 150 часов в год на поиск утерянной информации, что в
результате приводит к значительному снижению производительности труда персонала
компаний. Такого рода проблемы можно решить с помощью внедрения систем с электронной
цифровой подписью. [3]
Первая отрасль, подвергшаяся электронному эксперименту
- банковский сектор. Но именно благодаря положительным результатам работы организаций
в этой отрасли, к ЭЦП начали приобщаться и компании других сфер деятельности.
На сегодняшний день действующие системы с ЭЦП можно разделить на два условных
подвида: доверительные, в которых ЭЦП не имеет юридической силы и документы
обращаются преимущественно внутри одной организации, и аккредитованные. В
последнем случае цифровая подпись имеет юридическую силу и с любым электронным
документом, подписанным такой ЭЦП, можно обратиться в суд.
На сегодняшний день можно выделить несколько категорий
клиентов, которые все чаще переходят к внедрению систем ЭЦП. В первую очередь
это субъекты первичного мониторинга, то есть страховые компании, фондовые
биржи, торговцы ценными бумагами, ломбарды и т. д., для которых важна скорость
заключения контрактов и неискаженная отчетность. Вторая категория - мелкие,
средние и крупные компании, а также некоторые госорганы, экономящие на работе с
ЭЦП и для которых гораздо выгоднее хранить большие объемы информации не в
бумажном, а в электронном виде.
Отдельная категория потребителей - это банки.
Регулирование вопросов с ЭЦП в этих организациях, согласно Законам Украины «Об
электронной цифровой подписи» и «Об электронных документах и электронном
документообороте» возложено на Национальный банк Украины.
Несколько лет Государственная налоговая администрация
Украины периодически проводила эксперименты, связанные с организацией
электронного документооборота между плательщиками и своими региональными
отделениями — налоговыми инспекциями. Такие эксперименты проводились сначала в
некоторых отдельных областях, а затем и по всей Украине. В настоящее время ГНАУ
осуществляет пилотный проект, в котором помимо обычных отчетов в электронном
документообороте участвуют и неотчетные формы — налоговые накладные и реестр
налоговых накладных.[5]
Начиная с мая 2006 года Пенсионный фонд Украины
принимает ежемесячный отчет «Додаток 23» по электронной почте с наложением
электронно-цифровой подписи и печати. В данном случае выполнение основной
функции в процессе организации и технической поддержки проекта берет на себя
Государственное предприятие «Информационный центр персонифицированного учета
Пенсионного фонда Украины».[6]
Достаточно интенсивное развитие электронного
документооборота обеспечивается также за счет относительно стабильных цен,
которые практически не изменились с прошлого года.
Так, минимальные затраты физического лица на получение
услуг, связанных с ЭЦП, составляют 550 грн. В эту сумму входят услуги по
генерации ключей, сохранению их на носителе информации, формированию
сертификата, удостоверяющего личность владельца, доступ к библиотекам открытого
ключа, предоставление консультаций, возможность получения легитимной метки
создания электронного документа со спутника и другие услуги.
Также не изменилась и цена так называемых усиленных
сертификатов, которые приравниваются к собственноручной подписи, и составляет
2100 грн. Для юридических лиц, например, сдающих отчетность в налоговую
администрацию, необходима еще и электронная печать, что то же самое, что и ЭЦП.
В этом случае с учетом техобслуживания на год цена составляет 3689 грн.
Стоимость сертификатов простых классов защиты, статус которых определяется
договором между сторонами, в десятки раз ниже. Стоимость массового ПО для
работы в системах электронного документооборота (например, системы электронной
отчетности) для физических лиц и небольших организаций может колебаться от $50
до $400 в зависимости от предназначения той или иной системы. В крупных
организациях, таких как банки, корпоративные объединения и центральные
государственные органы власти, формируются свои корпоративные системы
электронного документооборота. По словам операторов рынка, если компания
захочет построить собственный аккредитованный центр по всем стандартам
контролирующего органа, то это ей обойдется в сумму около 2 млн. грн.
Неаккредитованный центр - для ведомственного использования электронных
документов, обойдется в 345-350 тыс. грн.[7]
В то же время, невзирая на уже достигнутые успехи во
внедрении ЭЦП, многие вопросы полномасштабного использования цифровой подписи в
государстве требуют дальнейшей кропотливой работы. Прежде всего, речь идет о
массовом использовании ЭЦП за счет активизации создания систем обмена
электронными данными государственных органов с субъектами хозяйствования и
физическими лицами. Эта задача, является приоритетной для государственных
органов, деятельность которых связана с большими объемами документооборота в
рамках предоставления государственных услуг.
На сегодняшний день также наблюдается недостаточный
уровень активности госорганов по внедрению электронного документооборота с
использованием механизмов ЭЦП. Практически отсутствует межведомственная
координация усилий по внедрению систем юридически значимого электронного
документооборота государственных органов при предоставлении государственных
услуг. Отмечается низкий уровень взаимодействия государственного сектора с
заинтересованными частными организациями, например, с аккредитованными центрами
сертификации ключей для эффективного использования имеющихся ресурсов в этой
области.
Что такое PKI?
Инфраструктура управления открытыми ключами (PKI -
public key infrustructure) - это современная система управления
криптографической защитой, в том числе и в агрессивной среде, например
Интернет. Задачей PKI является определение политики выпуска цифровых
сертификатов, выдача их и аннулирование, хранение информации, необходимой для
последующей проверки правильности сертификатов. В число приложений,
поддерживающих PKI, входят: защищенная электронная почта, протоколы платежей,
электронные чеки, электронный обмен информацией, защита данных в сетях с
протоколом IP, электронные формы и документы с электронной цифровой подписью
(ЭЦП).
Используя криптопровайдер КриптоПро CSP пользователи
ОС MS Windows могут воспользоваться стандартными программными средствами фирмы
Microsoft для реализации и использования решений, основанных на Инфраструктуре
Открытых Ключей. К этим средствам относятся:
Инструментарий разработчика CryptoAPI
Инструментарий разработчика CAPICOM 1.0
Центр Сертификации (MS Certification Authority)
Certificate Enrollment Control (xenroll)
Microsoft Outlook
Microsoft Outlook Express
Microsoft Authenticode®
Программный
комплекс «КриптоАРМ»
Программа «КриптоАРМ» предназначена для защиты
информации, как корпоративной, так и личной, передаваемой по незащищенным
каналам связи (Интернету, электронной почте) и на съемных носителях (дискете,
диске, флэш-карте).
·
Программа для шифрования
и электронной цифровой подписи
·
Защита конфиденциальных
данных и обеспечение юридической значимости электронного документооборота
·
Рабочее место в
Инфраструктуре открытых ключей (PKI)
·
Поддержка работы с
Удостоверяющими центрами Microsoft CA, «КриптоПро УЦ»
·
Поддержка протоколов TSP
и OCSP
·
Централизованное
управление рабочими местами в PKI (Инфраструктуры открытых ключей)
·
Основа для встраивания
криптографии в бизнес-приложения
«КриптоАРМ» может использоваться как встраиваемое
решение по реализации криптографических функций в клиентских и серверных
приложениях системы электронного документооборота, ПО для бухгалтерского и
финансового учета (ERP и CAD/CAM/CAE-приложения, веб-системы и др.).
Программа решает задачи защиты информации в
государственных структурах и бизнесе, а также защиты личных документов и
файлов.
Программа предназначена для работы в операционной
системе Windows и обеспечивает работу как со стандартными криптопровайдерами,
входящими в ее состав (Microsoft Base Cryptographic Provider, Microsoft
Enhanced Cryptographic Provider и др.), так и внешними криптопровайдерами,
такими как «КриптоПро CSP», «Сигнал-КОМ CSP».
Основные функциональные возможности программы:
·
Шифрование данных
·
шифрование данных
·
расшифрование данных
·
Электронная цифровая
подпись (ЭЦП)
·
подпись данных
·
проверка корректности
электронной цифровой подписи
·
добавление нескольких
подписей к одному документу
·
заверение подписи
подписью другого человека
·
два варианта ЭЦП (ЭЦП,
отделенная от исходных данных и совмещенная с данными)
·
расширенные свойства ЭЦП
(время создания подписи, комментарий пользователя и др.);
* Также можно одновременно зашифровать и подписать
документ, а также расшифровать и проверить корректность ЭЦП
** Вы можете использовать пакетный режим обработки
документов (подписывать и шифровать сразу несколько файлов)
Централизованное управление сертификатами и
криптопровайдерами
·
криптопровайдеры
·
ключевые контейнеры
·
цифровые сертификаты
·
PKI-запросы
·
списки отзыва
сертификатов
Операции «одним кликом», индивидуальные настройки
работы программы.
Для каждой ситуации вы можете настроить профиль работы
программы: выбрать криптопровайдер, сертификаты, тип криптографических
алгоритмов, установить конкретных получателей данных и др.
Для обмена документами с бухгалтером вы можете
установить одни настройки (профиль), с партнерами - вторые, с клиентами -
третьи и использовать каждые из них при взаимодействии с этими группами людей.
Автоматизация операций: вы можете максимально
упростить выполнение операций. Для того чтобы зашифровать или подписать файл,
вам потребуется всего «одним кликом» нажать на кнопку «Зашифровать» или
«Подписать», и программа сама выполнит операцию точно по заданным вами ранее
настройкам.
Список литературы:
1. Закон Украины от 22.05.2003 № 851-IV «Об электронных
документах и электронном документообороте».
2. Закон Украины от 22.05. 2003 № 852-IV «Об электронной
цифровой подписи».
3. IDC, Europe
Document Management market review and Forecast, 1998-2003, (2000, февраль).
4. IDC, Collaborative
ApplicationsMarket Forecast and Analysis, 2000-2004 (2000, June)
5. По материалам УНИАН от 26.09.2006г. -
http://www.unian.net/
6. www.sta.gov.ua
7. www.pfu.gov.ua
8. По информации компании «УНИС», «Інфраструктура
відкритих ключів» (ІВК).
9. http://digt.ru/ Официальный сайт разработчика
программы