Современные информационные технологии/4. Информационная безопасность
к.т.н., доцент Шматок А.С. магистр Виноградов В.С.
Национальный авиационный университет, Украина
Практическое применение электронной цифровой подписи в сфере
электронного документооборота Украины.
В
статье рассмотрены проблемы развития электронной цифровой подписи в сфере
электронного документооборота, вопросы практического применения цифровой
подписи и шифрования, а также понятие инфраструктуры открытых ключей и ее
структуры, проведен анализ современного программного комплекса КриптоАРМ и его
возможностей
В последнее время в мире растет количество
проектов, целью которых является организация обмена конфиденциальной
информацией между предпринимателями и государственными органами по телекоммуникационным
сетям. Сегодня целый ряд стран, таких как США, Англия, Швеция, Франция, Канада,
Германия, Австралия, Россия и Украины перешли или переходят на безбумажную
технологию сдачи бухгалтерской и налоговой отчетности через Интернет. Также были
созданы законодательные предпосылки для введения систем электронного
документооборота Закон об электронной цифровой подписи (ЭЦП)[1] и Закон об
электронном документообороте[2]. Электронный оборот более эффективен за счет
того, что он легче поддается оптимизации. Затраты на внедрение систем
электронного документооборота окупаются не только за счет повышения скорости
обмена информацией и сокращения расходов на хранение документов, но и
отсутствием серьезных затрат на перестройку документооборота при возникшей необходимости.
По данным исследования IDC, Siemens
Business Services проведенного еще в 2000 г., в развивающихся компаниях
бумажный документооборот с каждым годом возрастает примерно на 15-25%, порядка
30% времени рабочих групп тратится на поиски и согласование документов, 6%
документов безвозвратно теряются, каждый внутренний документ копируется до 20
раз, в среднем каждый сотрудник тратит 150 часов в год на поиск утерянной
информации, что в результате приводит к значительному снижению
производительности труда персонала компаний. Такого рода проблемы можно решить
с помощью внедрения систем с электронной цифровой подписью. [3]
Первая отрасль, подвергшаяся электронному
эксперименту - банковский сектор. Но именно благодаря положительным результатам
работы организаций в этой отрасли, к ЭЦП начали приобщаться и компании других
сфер деятельности. На сегодняшний день действующие системы с ЭЦП можно
разделить на два условных подвида: доверительные, в которых ЭЦП не имеет
юридической силы и документы обращаются преимущественно внутри одной
организации, и аккредитованные. В последнем случае цифровая подпись имеет
юридическую силу и с любым электронным документом, подписанным такой ЭЦП, можно
обратиться в суд.
На сегодняшний день можно выделить
несколько категорий клиентов, которые все чаще переходят к внедрению систем
ЭЦП. В первую очередь это субъекты первичного мониторинга, то есть страховые
компании, фондовые биржи, торговцы ценными бумагами, ломбарды и т. д., для
которых важна скорость заключения контрактов и неискаженная отчетность. Вторая
категория - мелкие, средние и крупные компании, а также некоторые госорганы,
экономящие на работе с ЭЦП и для которых гораздо выгоднее хранить большие
объемы информации не в бумажном, а в электронном виде.
Отдельная категория потребителей - это
банки. Регулирование вопросов с ЭЦП в этих организациях, согласно Законам
Украины «Об электронной цифровой подписи» и «Об электронных документах и
электронном документообороте» возложено на Национальный банк Украины.
Несколько лет Государственная налоговая
администрация Украины периодически проводила эксперименты, связанные с
организацией электронного документооборота между плательщиками и своими
региональными отделениями — налоговыми инспекциями. Такие эксперименты
проводились сначала в некоторых отдельных областях, а затем и по всей Украине.
В настоящее время ГНАУ осуществляет пилотный проект, в котором помимо обычных
отчетов в электронном документообороте участвуют и неотчетные формы — налоговые
накладные и реестр налоговых накладных.[5]
Начиная с мая 2006 года Пенсионный фонд
Украины принимает ежемесячный отчет «Додаток 23» по электронной почте с
наложением электронно-цифровой подписи и печати. В данном случае выполнение
основной функции в процессе организации и технической поддержки проекта берет
на себя Государственное предприятие «Информационный центр персонифицированного
учета Пенсионного фонда Украины».[6]
Достаточно интенсивное развитие
электронного документооборота обеспечивается также за счет относительно
стабильных цен, которые практически не изменились с прошлого года.
Так, минимальные затраты физического лица
на получение услуг, связанных с ЭЦП, составляют 550 грн. В эту сумму входят
услуги по генерации ключей, сохранению их на носителе информации, формированию
сертификата, удостоверяющего личность владельца, доступ к библиотекам открытого
ключа, предоставление консультаций, возможность получения легитимной метки
создания электронного документа со спутника и другие услуги.
Также не изменилась и цена так называемых
усиленных сертификатов, которые приравниваются к собственноручной подписи, и
составляет 2100 грн. Для юридических лиц, например, сдающих отчетность в
налоговую администрацию, необходима еще и электронная печать, что то же самое,
что и ЭЦП. В этом случае с учетом техобслуживания на год цена составляет 3689
грн. Стоимость сертификатов простых классов защиты, статус которых определяется
договором между сторонами, в десятки раз ниже. Стоимость массового ПО для
работы в системах электронного документооборота (например, системы электронной
отчетности) для физических лиц и небольших организаций может колебаться от $50
до $400 в зависимости от предназначения той или иной системы. В крупных
организациях, таких как банки, корпоративные объединения и центральные
государственные органы власти, формируются свои корпоративные системы
электронного документооборота. По словам операторов рынка, если компания
захочет построить собственный аккредитованный центр по всем стандартам
контролирующего органа, то это ей обойдется в сумму около 2 млн. грн.
Неаккредитованный центр - для ведомственного использования электронных
документов, обойдется в 345-350 тыс. грн.[7]
В то же время, невзирая на уже достигнутые
успехи во внедрении ЭЦП, многие вопросы полномасштабного использования цифровой
подписи в государстве требуют дальнейшей кропотливой работы. Прежде всего, речь
идет о массовом использовании ЭЦП за счет активизации создания систем обмена
электронными данными государственных органов с субъектами хозяйствования и
физическими лицами. Эта задача, является приоритетной для государственных
органов, деятельность которых связана с большими объемами документооборота в
рамках предоставления государственных услуг.
На сегодняшний день также наблюдается
недостаточный уровень активности госорганов по внедрению электронного
документооборота с использованием механизмов ЭЦП. Практически отсутствует
межведомственная координация усилий по внедрению систем юридически значимого
электронного документооборота государственных органов при предоставлении
государственных услуг. Отмечается низкий уровень взаимодействия
государственного сектора с заинтересованными частными организациями, например,
с аккредитованными центрами сертификации ключей для эффективного использования
имеющихся ресурсов в этой области.
Что
такое PKI?
Инфраструктура управления открытыми
ключами (PKI - public key infrustructure) - это современная система управления
криптографической защитой, в том числе и в агрессивной среде, например
Интернет. Задачей PKI является определение политики выпуска цифровых
сертификатов, выдача их и аннулирование, хранение информации, необходимой для
последующей проверки правильности сертификатов. В число приложений,
поддерживающих PKI, входят: защищенная электронная почта, протоколы платежей,
электронные чеки, электронный обмен информацией, защита данных в сетях с
протоколом IP, электронные формы и документы с электронной цифровой подписью
(ЭЦП).
Используя криптопровайдер КриптоПро CSP
пользователи ОС MS Windows могут воспользоваться стандартными программными
средствами фирмы Microsoft для реализации и использования решений, основанных
на Инфраструктуре Открытых Ключей. К этим средствам относятся:
Инструментарий разработчика CryptoAPI
Инструментарий разработчика CAPICOM 1.0
Центр Сертификации (MS Certification
Authority)
Certificate Enrollment Control (xenroll)
Microsoft Outlook
Microsoft Outlook Express
Microsoft Authenticode®
Программный
комплекс «КриптоАРМ»
Программа «КриптоАРМ» предназначена для
защиты информации, как корпоративной, так и личной, передаваемой по
незащищенным каналам связи (Интернету, электронной почте) и на съемных
носителях (дискете, диске, флэш-карте).
·
Программа для шифрования
и электронной цифровой подписи
·
Защита конфиденциальных
данных и обеспечение юридической значимости электронного документооборота
·
Рабочее место в
Инфраструктуре открытых ключей (PKI)
·
Поддержка работы с
Удостоверяющими центрами Microsoft CA, «КриптоПро УЦ»
·
Поддержка протоколов TSP
и OCSP
·
Централизованное
управление рабочими местами в PKI (Инфраструктуры открытых ключей)
·
Основа для встраивания
криптографии в бизнес-приложения
«КриптоАРМ» может использоваться как
встраиваемое решение по реализации криптографических функций в клиентских и
серверных приложениях системы электронного документооборота, ПО для
бухгалтерского и финансового учета (ERP и CAD/CAM/CAE-приложения, веб-системы и
др.).
Программа решает задачи защиты информации
в государственных структурах и бизнесе, а также защиты личных документов и
файлов.
Программа предназначена для работы в
операционной системе Windows и обеспечивает работу как со стандартными
криптопровайдерами, входящими в ее состав (Microsoft Base Cryptographic
Provider, Microsoft Enhanced Cryptographic Provider и др.), так и внешними
криптопровайдерами, такими как «КриптоПро CSP», «Сигнал-КОМ CSP».
Основные функциональные возможности
программы:
·
Шифрование данных
·
шифрование данных
·
расшифрование данных
·
Электронная цифровая
подпись (ЭЦП)
·
подпись данных
·
проверка корректности
электронной цифровой подписи
·
добавление нескольких
подписей к одному документу
·
заверение подписи
подписью другого человека
·
два варианта ЭЦП (ЭЦП,
отделенная от исходных данных и совмещенная с данными)
·
расширенные свойства ЭЦП
(время создания подписи, комментарий пользователя и др.);
* Также можно одновременно зашифровать и
подписать документ, а также расшифровать и проверить корректность ЭЦП
** Вы можете использовать пакетный режим
обработки документов (подписывать и шифровать сразу несколько файлов)
Централизованное управление сертификатами
и криптопровайдерами
·
криптопровайдеры
·
ключевые контейнеры
·
цифровые сертификаты
·
PKI-запросы
·
списки отзыва
сертификатов
Операции «одним кликом», индивидуальные
настройки работы программы.
Для каждой ситуации вы можете настроить
профиль работы программы: выбрать криптопровайдер, сертификаты, тип
криптографических алгоритмов, установить конкретных получателей данных и др.
Для обмена документами с бухгалтером вы
можете установить одни настройки (профиль), с партнерами - вторые, с клиентами
- третьи и использовать каждые из них при взаимодействии с этими группами
людей.
Автоматизация операций: вы можете
максимально упростить выполнение операций. Для того чтобы зашифровать или подписать
файл, вам потребуется всего «одним кликом» нажать на кнопку «Зашифровать» или
«Подписать», и программа сама выполнит операцию точно по заданным вами ранее
настройкам.
Список литературы:
1. Закон Украины от 22.05.2003 № 851-IV «Об электронных
документах и электронном документообороте».
2. Закон Украины от 22.05. 2003 № 852-IV «Об электронной
цифровой подписи».
3. IDC, Europe
Document Management market review and Forecast, 1998-2003, (2000, февраль).
4. IDC, Collaborative
ApplicationsMarket Forecast and Analysis, 2000-2004 (2000, June)
5. По материалам УНИАН от 26.09.2006г. -
http://www.unian.net/
6. www.sta.gov.ua
7. www.pfu.gov.ua
8. По информации компании «УНИС», «Інфраструктура
відкритих ключів» (ІВК).
9. http://digt.ru/ Официальный сайт разработчика
программы