Вопросы безопасности при электронном взаимодействии юридических и физических лиц в рамках действующего законодательства юридических и физических лиц в. - презентация

1 Вопросы безопасности при электронном взаимодействии юридических и физических лиц в рамках действующего законодательства юридических и физических лиц в рамках действующего законодательства Александр Сикорский Нач. отдела ОКЗИ ДИБ ОАО МТС

2 2 Требования по защите информации при электронном взаимодействии При пересылке и хранении документов в электронном виде, должны быть обеспечены: Целостность, что подразумевает отсутствие искажений, случайного или умышленного характера. Однозначная аутентификация отправителя. Неотказуемость. Конфиденциальность. Все указанные требования достигаются использованием электронной цифровой подписи (ЭЦП)

3 3 Преимущества при использовании ЭЦП Использование ЭЦП при переходе с бумажного на электронный документооборот позволяет : Обеспечить юридическую законность подписанных ЭЦП документов и сделок между организациями, юридическими и частными лицами Упростить разрешение споров и конфликтов, в т.ч., при проведении следственных действий и судебных процессов Обеспечить необходимый уровень доверия между взаимодействующими субъектами электронного взаимодействия Существенно сэкономить в организации временные, финансовые и человеческие ресурсы Соответствовать требованиям законодательства Использование ЭЦП регламентируется: Законом Об информации, информатизации и защите информации Законом Об электронной цифровой подписи (1 ФЗ от ), действует до Законом Об электронной подписи (63 ФЗ от ). Законом О национальной платежной системе Гражданским кодексом Российской Федерации и др. НПА

4 4 Юридическая значимость ЭЦП Под юридической значимостью ЭЦП понимается такое состояние подписи электронного документа, при котором данный электронный документ может быть принят в качестве письменного доказательства при судебных разбирательствах В соответствии с 1 ФЗ, ЭЦП признается равнозначной собственноручной подписи при наличии следующих условий: подтверждена подлинность ЭЦП в электронном документе; сертификат ключа подписи не просрочен; электронная подпись (ЭП) используется в соответствии с тем назначением, которое указано в сертификате. Средства ЭЦП должны иметь возможность проведения указанных проверок

5 5 Требования к средствам ЭП В соответствии с 63ФЗ, в процессе подписания электронного документа должны быть обеспечены следующие требования к средствам электронной подписи: 1)показывать подписанту документа содержание информации, которую он подписывает; 2)создавать электронную подпись только после подтверждения ее создания подписантом; 3)однозначно показывать, что ЭП создана. При проверке ЭП средствами ЭП, эти средства должны: 1)показывать содержание документа, подписанного ЭП; 2)указывать на лицо, с использованием ключа ЭП которого подписан документ; 3)показывать информацию о внесении изменений в подписанный ЭП электронный документ.

6 6 Виды электронных подписей В настоящее время до одновременно действуют 2 ФЗ, затем будет действовать только 63ФЗ. 63ФЗ определяет следующие виды электронных подписей: простая ЭП; усиленная, которая разделяется на неквалифицированную и квалифицированную. В настоящее время активно используется простая подпись и усиленная квалифицированная подпись. Электронные документы, подписанные ЭЦП (в соответствии с 1ФЗ) до , после этой даты будут считаться пописанными усиленной квалифицированной ЭП. Усиленная неквалифицированная ЭП используется главным образом при документообороте, существующем внутри организации. Ее использование ограничено.

7 7 Отличия неквалифицированной и квалифицированной ЭП В соответствии с 63ФЗ, неквалифицированная ЭП : Получена в результате криптопреобразования информации с использованием ключа ЭП; Позволяет определить подписанта; Позволяет обнаружить факт внесения изменений в электронный документ после его подписания; Создается с использованием средств электронной подписи. Квалифицированная ЭП соответствует всем перечисленным признакам, плюс дополнительно: Ключ проверки ЭП указан в квалифицированном сертификате; Для создания и проверки используются средства ЭП, получившие подтверждение соответствия требованиям 63ФЗ; Кроме указанного, УЦ, выдавший сертификат, на основе которого создана ЭП, должен быть аккредитованным на момент его выдачи в уполномоченном федеральном органе. ЭП, созданные в соответствии с международными или иностранными стандартами признаются того вида, признакам которого они соответствуют на основании ФЗ.

8 8 Меры по защите информации Защита информации при использовании усиленной квалифицированной ЭП обеспечивается за счет использования комплекса организационных и технических мер, включающих: Соблюдение требований аккредитованным УЦ, в соответствии с которыми он аккредитован, в течение всего срока действия этой аккредитации; Требованиями ФЗ к владельцу квалифицированного сертификата, определяющими его действия в случае компрометации ключа ЭП, по использованию ЭП в строгом соответствии с введенными ограничениями; Выполнение требований ФСБ России к квалифицированным сертификатам, средствам ЭП и средствам УЦ; Соответствие квалификации штатных сотрудников УЦ требованиям ФЗ и строгим соблюдением ими регламента УЦ и РД и законодательства РФ в области защиты информации.

9 Выдача сертификатов электронной подписи для электронного документооборота Выдача сертификатов ЭП для участия в электронных торгах Выдача сертификатов ЭП для отправки отчетности в контролирующие органы Российской Федерации: ПФР, ФНС, РОССТАТ, ФСС Генерация сертификатов для аутентификации при доступе к сайту Госуслуг Другие виды деятельности, потребность в которых возникнет в процессе работы УЦ Основные направления деятельности УЦ 9

10 10 Зарегистрироваться в Едином Государственном реестре уполномоченных лиц удостоверяющих центров (ЕГР) и получить паспорт аккредитации в Общероссийском государственном информационном центре (ОГИЦ). Пройти аккредитацию на федеральных электронных торговых площадках (РТС-Тендер, Сбербанк-АСТ, ЕЭТП РосЭлТорг, ЗаказРФ, ММВБ) и аккредитацию в Ассоциации электронных торговых площадок*. Аккредитацию в качестве доверенного УЦ в ФНС (Федеральная Налоговая Служба), ПФР (Пенсионный Фонд России), ФСС (Фонд Социального Страхования), Росстат (Федеральная Служба Государственной Статистики)*. _____________________________________________________ * в ряде случаев потребуется закупить дополнительное ПО Что требуется для легализации и оказания услуг УЦ

11 Головной УЦ Отчетность в КО ЭП для внутреннего документооборота ЭП для электронных торгов Обмен ЭСФ Блок по закупкам Блок финансов и инвестиций Финансовый департамент Бухгалтерия Сторонние организации (юридические лица) Сторонние организации (юридические лица) Ассоциация электронных торговых площадок Федеральные торговые площадки ФНС,ПФР,РОССТАТ Отчетность в КО, электронные торги Отчетность в КО ЭП для документооборота ЭП для электронных торгов Обмен ЭСФ ЭП для внутреннего документооборота Сертификаты электронной подписи Головного УЦ. Электронный документооборот Обмен ЭСФ Внутренний документооборот Электронные торги, отчетность в контролирующие органы Группа привлечения клиентов Персональные менеджеры Вариант технической реализации УЦ Вариант технической реализации УЦ Подчиненные УЦ

12 Спасибо за внимание ! 12