Особенности защиты информации в условиях трансграничного информационного взаимодействия. Решения, опыт, трудности. Среди прочего, можно выделить две ключевые технические задачи: 1.Обеспечить требования к качеству самого ОБЪЕКТА, т.е. информации: 1.1. целостность и авторство 1.2. актуальность - пригодность для последующего использования 1.3… и т.п. в соответствии с ГОСТ Р ИСО Обеспечить условия ДОСТУПА к ОБЪЕКТУ в соответствии с конкретикой бизнес-процесса и политикой безопасности. Инфофорум.док
1.1 Целостность и авторство информации Обычно техническая задача решается с использованием ЭЦП. Однако при трансграничном обмене требуется обеспечение правовых последствий ЭЦП для разных правовых систем участников обмена с учётом: технических требований локального законодательства в части легитимных криптоалгоритмов, локальных требований к лицензированию видов деятельности, сертификации техсредств, экспортных ограничений на техсредства и т.п. Опасное заблуждение: требуются решать НЕ задачу признания зарубежных сертификатов в правовом поле РФ, а обеспечить доступность услуги по проверке действительности и сертификата и ЭЦП зарубежного автора, причём в его правовом поле, чтобы быть уверенным в правовых последствиях такой ЭЦП (все ли условия были соблюдены..) Решение: иметь возможность получить из Доверенной Третьей Стороны (доверенного источника), документ о статусе проведения проверки ЭЦП зарубежного автора. Инфофорум.док
Ещё в 2006 году было выполнено трансграничное взаимодействие ИС РФ и ЕС через взаимодействие ДТС Инфофорум.док
Похожая схема учета особенностей трансграничного обмена легла и в основу проекта концепции создания Интегрированной информационной системы внешней и взаимной торговли таможенного союза. Обращаю внимание на следующие моменты Концепции: Система должна обеспечивать требования к документам, такие как аутентичность, достоверность, целостность, пригодность для использования в соответствии с международным стандартом ISO :2001; Система должна предоставлять возможность обмена данными и электронными документами, имеющими юридическую силу (или взаимно признаваемыми как таковыми); Система должна обеспечивать юридическую силу электронных документов на основе доверенных сервисов в соответствии с международными рекомендациями ITU T серия X.842. Концепция: УЖЕ подписана экспертным советом таможенного союза. УЖЕ принята за основу решением 89 Комиссией Таможенного Союза 25 сентября 2009 г. в Казахстане (г. Алматы). По материалам Таможенного Союза ЕврАзЭС Инфофорум.док
Из материалов Совместного коммюнике по итогам заседания Совета Шанхайской организации сотрудничества (14 октября 2009 г. Пекин) " 6.Главы правительств высказались за скорейший запуск пилотных проектов … "Организация электронного трансграничного взаимодействия с использованием электронной цифровой подписи". Следствие: эти работы на государственном уровне и в рамках ЕврАзЭС и в рамках ШОС скорее всего будут выполняться в самое ближайшее время, если РФ наконец-то определится с оператором этих работ со своей стороны. Инфофорум.док
Практические реализации трансграничной проверки ЭЦП для задач корпоративного уровня: Компания «Русское Техническое Общество»: в системе предварительного информирования (ПИ) для задач брокера РЖД. Компания «Центр трансграничного обмена»: в ИС под задачи госкорпорации Роснано. C мая 2010 компанией «Русское Техническое Общество» будет предоставляться коммерческая услуга по трансграничной проверке ЭЦП для Информационных Систем резидентов ЕС и РФ. Инфофорум.док
1.2 Обеспечение актуальности информации Очевидно, что возложить решение этой задачи на СЭД не удастся, поскольку практически не реально объединить всех участников (причем находящихся в различных правовых полях) единой СЭД. С момента когда документ покинул среду СЭД автора, а именно это и происходит при трансграничном обмене, требуется использовать иные механизмы (сущности) обеспечения актуальности документа. Техническая реализация ЭЦП (привычный всем формат ЭЦП в виде CMS (PKCS#7), или «подпись с расширенными данными для проверки» по ETSI TS ) не предоставляет механизмов обеспечить актуальность документа. Актуальность - это совсем иное свойство нежели целостность или авторство. Инфофорум.док
Технология: По RFC 3281 использовать атрибутный сертификат (АС) в связке с документом обмена. Т.с. Создается новая сущность – метка целостности и актуальности данных, которая должна подлежать проверке на определенных (чувствительных) этапах жизненного цикла документа. Результат проверки метки – признание или нет документа актуальным, т.е. пригодного к последующей обработке. Практическая реализация: Инструмент, предоставляемый компанией «Русское Техническое Общество» как Оператора Системы, обеспечения отзывности (в случае отказа импортёра от перемещения груза через пункт пропуска по любым причинам) информации предварительного информирования (ПИ) о таможенных грузах в интересах ТБЦ - брокера РЖД. Инфофорум.док
Очевидные области использования метки целостности и актуальности данных: 1.Бизнес-процессы, в которых исходящие документы имеют функции разрешения, доверенности или лицензии на что либо, выдаваемые на определенный срок и с возможностью преждевременного отзыва. 2.Различного рода выписки из Реестров, Кадастров и т.п. Наиболее наглядный пример, если с использованием метки актуальности оформить электронную выписку из Единого Реестра Юридических Лиц, то в десятки бы раз уменьшилась число обращений за выписками, поскольку не потребовалось бы запрашивать в ФНС выписки, если содержание Реестра не менялось, а также создается возможность локального (со стороны юрлица) контроля факта изменения Реестра – один из элементов противодействия рейдерским захватам. 3.Электронная лицензия на программное обеспечение (ПО) или иную информацию, которая может быть отменена, дополнительно решается задача контроля целостности ПО или иной информации. Инфофорум.док
2. Обеспечение условий ДОСТУПА к ОБЪЕКТУ в соответствии с конкретикой бизнес-процесса и политикой безопасности. Начальные условия: Требуется, разграничить доступ или определить условия обработки информации согласно собственных правил, где идентификационным элементом выступает сертификат открытого ключа из другого домена. НЕТ способов внести в состав сертификата открытого ключа, при его создании, ту информацию, которая будет требоваться на обрабатываемой стороне. Инфофорум.док
Технология: выпуск атрибутного сертификата, связанного с сертификатом открытого ключа (сертификат ключа подписи) автора документа или запроса с информацией необходимой обрабатывающей стороне по разграничению доступа или способа обработки ОБЪЕКТУ. Сама процедура совершенна стандартна и определена RFC Практическая реализация: компания «Русское Техническое Общество»: разграничение доступа в системе предварительного информирования (ПИ) для задач брокера РЖД. компания «Центр трансграничного обмена» при проектировании информационной системы под задачи госкорпорации Роснано. Инфофорум.док
Следует ли нагружать сертификат открытого ключа персональной информацией? ??? Персональная информация чаще меняется чем Ф.И.О. ??? Организационная граница «Отдел кадров» - «Отдел режима». ??? Явный конфликт с 152-ФЗ «О персональных данных». Основное логическое отличие: Сертификат открытого ключа – это аналог «электронного паспорта» - идентификационный элемент. Размещение - публичное. Атрибутный Сертификат - "электронный пропуск" с указанием достоверной ролевой информации ранее идентифицированного субъекта. Размещение - не публичное. Инфофорум.док
Заключение Существует понимание на очень высоком уровне важности задачи обеспечения юридической силы ЭД при трансграничном взаимодействии. Уже сейчас существуют и используются решения, позволяющие в реальных бизнес-процессах решать задачи информационного взаимодействия ИС различных правовых полей с учетом особенностей трансграничной природы такого взаимодействия. Однако востребованность таких решений крайне низкая, возможно в виду полных непонятностей вокруг нового законопроекта о подписи, а также из-за отсутствия внятного государственного оператора хотя бы для трансграничных задач в рамках ЕврАзЭС (Таможенный Союз) и ШОС. Инфофорум.док
ООО «Топ Кросс», г. Москва. Технические решения Служб «Доверенной Третьей Стороны» Компоненты Удостоверяющего Центра сертификатов ключей подписи, Компоненты Службы «Электронного нотариата», Службы атрибутирования, Службы доверенного времени, Службы документирования, Службы регистрации и ведения идентификаторов объектов, Клиентское ПО… Вопросы ?... © 2010 ООО «Топ Кросс» Муругов Сергей Михайлович ООО «Русское Техническое Общество», г. Москва. Лицензиат ФСБ, услуги доверенных сервисов Х.842 – «Доверенной Третьей Стороны» (ДТС). В презентации использованы решения и материалы: