Системы защищенного электронного документооборота компании «Ижинформпроект» в интересах органов государственной власти и местного самоуправления Майшев Вадим Владимирович Заместитель генерального директора по безопасности
НПП «Ижинформпроект» автоматизация бизнес-процессов автоматизация бизнес-процессов услуги телематических служб и передачи данных услуги телематических служб и передачи данных услуги по контролю движения транспортных средств с помощью систем глобального позиционирования услуги по контролю движения транспортных средств с помощью систем глобального позиционирования поставка, установка, настройка и сопровождение средств и систем защиты информации поставка, установка, настройка и сопровождение средств и систем защиты информации услуги специализированного оператора связи по обеспечению представления отчетности в контролирующие органы услуги специализированного оператора связи по обеспечению представления отчетности в контролирующие органы услуги по организации защищенного электронного документооборота и защищенного межсетевого взаимодействия услуги по организации защищенного электронного документооборота и защищенного межсетевого взаимодействия услуги Удостоверяющего центра InfoTrust услуги Удостоверяющего центра InfoTrust консультационные услуги в области информационной безопасности консультационные услуги в области информационной безопасности
Лицензии Управление ФСБ России по Удмуртской Республике на право распространения шифровальных (криптографических) средств 01 от на право распространения шифровальных (криптографических) средств 01 от на право технического обслуживания шифровальных (криптографических) средств 02 от на право технического обслуживания шифровальных (криптографических) средств 02 от на право предоставления услуг в области шифрования информации 03 от на право предоставления услуг в области шифрования информации 03 от Россвязьохранкультура на право предоставления услуг связи по передаче данных от на право предоставления услуг связи по передаче данных от на право предоставления телематических услуг связи от на право предоставления телематических услуг связи от
Бумажный/Электронны й Удобство формирования! Как хранить? Как транспортировать? Переходим на электронный!!! А БЕЗОПАСЕН ли он ???
Защищенный электронный документооборот Конфиденциальность Целостность Достоверность Аутентичность Неотказуемость Юридическая значимость
Криптографические методы защиты информации Криптографическое преобразование - это преобразование информации, основанное на некотором алгоритме, зависящем от изменяемого параметра (обычно называемого секретным ключом), и обладающее свойством невозможности восстановления исходной информации по преобразованной, без знания действующего ключа, с трудоемкостью меньше заранее заданной. К основным криптографическим методам защиты относятся: шифрование информации (объединяет в себе два процесса: зашифрование и расшифрование) шифрование информации (объединяет в себе два процесса: зашифрование и расшифрование) формирование и проверка электронной цифровой подписи электронных документов формирование и проверка электронной цифровой подписи электронных документов
Электронная цифровая подпись В соответствии с Федеральным законом от ФЗ «Об электронной цифровой подписи»: ЭЦП - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Лицензии на деятельность в области криптографической защиты информации Лицензии на деятельность в области криптографической защиты информации Партнерские отношения с производителями средств защиты информации Партнерские отношения с производителями средств защиты информации Удостоверяющий центр (персонал, технологические аспекты, организационные документы, технические средства, средства защиты информации) Удостоверяющий центр (персонал, технологические аспекты, организационные документы, технические средства, средства защиты информации) Система защищенного электронного документооборота (организационные документы, технические и технологические аспекты) Система защищенного электронного документооборота (организационные документы, технические и технологические аспекты) Создание системы защищенного электронного документооборота
Начал функционировать в 2005 году Начал функционировать в 2005 году Основание деятельности – лицензии ФСБ России в области криптографической защиты информации Основание деятельности – лицензии ФСБ России в области криптографической защиты информации Цель – управление криптографическими ключами пользователей защищенных сервисов Цель – управление криптографическими ключами пользователей защищенных сервисов Аттестован по требованиям безопасности для обработки конфиденциальной информации Аттестован по требованиям безопасности для обработки конфиденциальной информации Удостоверяющий центр InfoTrust
Единый государственный реестр сертификатов ключей подписей уполномоченных лиц удостоверяющих центров pki.ru Единый государственный реестр сертификатов ключей подписей уполномоченных лиц удостоверяющих центров pki.ru Российские криптографические алгоритмы: ГОСТ Р , ГОСТ Р , ГОСТ Российские криптографические алгоритмы: ГОСТ Р , ГОСТ Р , ГОСТ Сертифицированные средства криптографической защиты информации «КриптоПро CSP» Сертифицированные средства криптографической защиты информации «КриптоПро CSP» Сертифицированный программно- аппаратный комплекс «Удостоверяющий Центр «КриптоПро УЦ» Сертифицированный программно- аппаратный комплекс «Удостоверяющий Центр «КриптоПро УЦ» Соответствие законодательству
Указание в сертификате сведений об отношениях, при осуществлении которых электронный документ с ЭЦП будет иметь юридическую силу Указание в сертификате сведений об отношениях, при осуществлении которых электронный документ с ЭЦП будет иметь юридическую силу Регистрация в мировом «дереве» идентификаторов объектов Регистрация в мировом «дереве» идентификаторов объектов {iso(1) org(3) dod(6) internet(1) private(4) enterprise(1) IzhInformProject(23133)} Регистрация в российском «дереве» идентификаторов объектов Регистрация в российском «дереве» идентификаторов объектов {iso(1) member-body(2) ru(643) REG1(1) IzhInformProject(10)} {iso(1) member-body(2) ru(643) REG3(3) IzhInformProject(34)} Соответствие законодательству
Регламент Удостоверяющего центра InfoTrust (Certification Practice Statement CPS) Регламент Удостоверяющего центра InfoTrust (Certification Practice Statement CPS) Правила применения сертификатов Удостоверяющего центра InfoTrust (Certificates Policy CP) Правила применения сертификатов Удостоверяющего центра InfoTrust (Certificates Policy CP) Справочник по Инфраструктуре открытых ключей Удостоверяющего центра InfoTrust (PKI Disclosure Statement PDS) Справочник по Инфраструктуре открытых ключей Удостоверяющего центра InfoTrust (PKI Disclosure Statement PDS) Перечень объектных идентификаторов ООО НПП «Ижинформпроект» (OID index) Перечень объектных идентификаторов ООО НПП «Ижинформпроект» (OID index) Памятка пользователю Удостоверяющего центра InfoTrust Памятка пользователю Удостоверяющего центра InfoTrust Регламентация деятельности УЦ
Содержит порядок выполнения процедур: Содержит порядок выполнения процедур: регистрации пользователей,регистрации пользователей, генерации ключевых документов,генерации ключевых документов, формирования запросов на сертификат,формирования запросов на сертификат, изготовления сертификата,изготовления сертификата, отзыва сертификата,отзыва сертификата, приостановления/возобновления действия сертификата.приостановления/возобновления действия сертификата. Условие получения услуг Удостоверяющего центра –присоединение к Регламенту УЦ (договор присоединения) в порядке, предусмотренном статьей 428 Гражданского кодекса Российской Федерации Условие получения услуг Удостоверяющего центра –присоединение к Регламенту УЦ (договор присоединения) в порядке, предусмотренном статьей 428 Гражданского кодекса Российской Федерации Регламент Удостоверяющего центра
Содержит шаблоны документов, оформляемых при взаимодействии пользователя и Удостоверяющего центра при выполнении операций по управлению ключами и сертификатами: Содержит шаблоны документов, оформляемых при взаимодействии пользователя и Удостоверяющего центра при выполнении операций по управлению ключами и сертификатами: Подписной лист к Регламенту;Подписной лист к Регламенту; Заявление о регистрации пользователя УЦ;Заявление о регистрации пользователя УЦ; Заявление об изготовлении сертификата;Заявление об изготовлении сертификата; Заявления об аннулировании/ приостановлении/ возобновлении действия сертификата.Заявления об аннулировании/ приостановлении/ возобновлении действия сертификата. Регламент Удостоверяющего центра
Содержит требования к регистрации пользователей; Содержит требования к регистрации пользователей; Содержит требования по информационной безопасности; Содержит требования по информационной безопасности; Регламентирует применение сертификата для разрешенных приложений и систем с установленными требованиями безопасности: Регламентирует применение сертификата для разрешенных приложений и систем с установленными требованиями безопасности: защита соединений в Интернете с использованием протокола TLS/SSL проверка подлинности сервера и клиента;защита соединений в Интернете с использованием протокола TLS/SSL проверка подлинности сервера и клиента; защищенная электронная почта с использованием стандарта S/MIME (электронная цифровая подпись для аутентификации отправителя и гарантии подлинности и целостности сообщения и шифрование данных);защищенная электронная почта с использованием стандарта S/MIME (электронная цифровая подпись для аутентификации отправителя и гарантии подлинности и целостности сообщения и шифрование данных); компоненты с электронной цифровой подписью (электронная цифровая подпись электронных документов и кода программ);компоненты с электронной цифровой подписью (электронная цифровая подпись электронных документов и кода программ); штампы времени и службы актуального статуса сертификатовштампы времени и службы актуального статуса сертификатов Правила применения сертификатов
Обеспечивает конфиденциальность, целостность, достоверность, аутентичность, неотказуемость и юридическую значимость электронных документов Обеспечивает конфиденциальность, целостность, достоверность, аутентичность, неотказуемость и юридическую значимость электронных документов Обработка конфиденциальной информации (персональные данные, служебная, коммерческая, профессиональная, банковская тайна и т.п.) Обработка конфиденциальной информации (персональные данные, служебная, коммерческая, профессиональная, банковская тайна и т.п.) Электронная цифровая подпись (+ шифрование) электронных документов, представленных в виде файлов, электронная цифровая подпись и шифрование сообщений электронной почты по протоколу S/MIME и защита Интернет-соединений по протоколу TLS с применением российских ГОСТов Электронная цифровая подпись (+ шифрование) электронных документов, представленных в виде файлов, электронная цифровая подпись и шифрование сообщений электронной почты по протоколу S/MIME и защита Интернет-соединений по протоколу TLS с применением российских ГОСТов Сертифицированные средства криптографической защиты информации Сертифицированные средства криптографической защиты информации Соответствие закону «Об электронной цифровой подписи» Соответствие закону «Об электронной цифровой подписи» Функционирует с 2006 года Функционирует с 2006 года «КриптоСвязь» { Защищенный Электронный Документооборот}
Регламент защищенного электронного документооборота в системе «КриптоСвязь» Регламент защищенного электронного документооборота в системе «КриптоСвязь» Условия оказания услуг в системе Условия оказания услуг в системе Технические условия подключения автоматизированного рабочего места Технические условия подключения автоматизированного рабочего места Положение о порядке использования средств криптографической защиты информации и ключевой информации к ним Положение о порядке использования средств криптографической защиты информации и ключевой информации к ним Требования по обеспечению безопасности автоматизированного рабочего места Требования по обеспечению безопасности автоматизированного рабочего места Положение по разрешению споров, связанных с подлинностью электронных документов Положение по разрешению споров, связанных с подлинностью электронных документов Памятка пользователю средств криптографической защиты информации Памятка пользователю средств криптографической защиты информации Регламентация системы «КриптоСвязь» {Защищенный Электронный Документооборот}
Устанавливает общий порядок взаимодействия участников защищенного электронного документооборота с использованием средств защиты информации Устанавливает общий порядок взаимодействия участников защищенного электронного документооборота с использованием средств защиты информации НЕ устанавливает требований НЕ устанавливает требований к форматам электронных документов,к форматам электронных документов, к периодичности обмена,к периодичности обмена, по внутреннему учету и обеспечению защиты документовпо внутреннему учету и обеспечению защиты документов Регламент защищенного электронного документооборота
сертифицированное средство криптографической защиты информации «КриптоПро CSP» сертифицированное средство криптографической защиты информации «КриптоПро CSP» Криптографический файловый менеджер «КриптоАРМ» Стандарт/СтандартPRO Криптографический файловый менеджер «КриптоАРМ» Стандарт/СтандартPRO Клиент защищенной электронной почты (Outlook Express, MicroSoft Outlook – с поддержкой S/MIME) и защищенный Интернет-браузер (Internet Explorer – с поддержкой TLS) Клиент защищенной электронной почты (Outlook Express, MicroSoft Outlook – с поддержкой S/MIME) и защищенный Интернет-браузер (Internet Explorer – с поддержкой TLS) устройство защищенного хранения криптографических ключей (eToken PRO (Java) или РУТОКЕН) устройство защищенного хранения криптографических ключей (eToken PRO (Java) или РУТОКЕН) Средство защиты информации от несанкционированного доступа - опционально (Secret Disk, Соболь, Аккорд) Средство защиты информации от несанкционированного доступа - опционально (Secret Disk, Соболь, Аккорд) Сертификат ключа подписи Удостоверяющий центр InfoTrust Сертификат ключа подписи Удостоверяющий центр InfoTrust Состав АРМ-ЗЭД
КриптоПро CSP версия 2.0 ФСБ России СФ/ КриптоПро CSP версия 2.0 ФСБ России СФ/ КриптоПро CSP версия 3.0 ФСБ России СФ/ КриптоПро CSP версия 3.0 ФСБ России СФ/ Заключение о корректности встраивания СКЗИ КриптоПро CSP в ПО «КриптоАРМ» Заключение о корректности встраивания СКЗИ КриптоПро CSP в ПО «КриптоАРМ» eToken ФСТЭК России 925/5 eToken ФСТЭК России 925/5 «eToken «КриптоПро» CSP» сертификат совместимости от «eToken «КриптоПро» CSP» сертификат совместимости от РУТОКЕН ФСБ России СФ/ , ФСТЭК России 1461 РУТОКЕН ФСБ России СФ/ , ФСТЭК России 1461 Secret Disk ФСТЭК России 1742 Secret Disk ФСТЭК России 1742 Соболь ФСТЭК России 907, 1574, ФСБ России СФ/ Соболь ФСТЭК России 907, 1574, ФСБ России СФ/ Аккорд ФСТЭК России 246/7, ФСБ России СФ/ Аккорд ФСТЭК России 246/7, ФСБ России СФ/ Сертификаты соответствия на компоненты
Структура АРМ-ЗЭД
Комплекты для АРМ-ЗЭД комплект Компо- нент СКЗИ КриптоПро CSP КриптоАРМ eToken PRO* РУТОКЕН* Secret Disk* СКП«ИНФРА»СКП«УЛЬТРА»СКП«ТРАСТ»СТАНДАРТ СТАНДАРТ- РУ ПРОФИ ДУЭТ ИНФРА защищенная электронная почта (S/MIME) УЛЬТРА аутентификация клиента и защищенная электронная почта (TLS + S/MIME) ТРАСТ универсальный сертификат (+ Отчетность в контролирующие органы) ДУЭТ «КриптоСвязь»{Защищенный Электронный Документооборот} + «КриптоСвязь»{ОТЧЕТНОСТЬ через ИНТЕРНЕТ} * опционально поставляются компоненты с сертификатами соответствия ФСБ России и ФСТЭК России
Типовая схема движения документов Делопроизводит ель Почтовый сервер Исполните ль Руководит ель Исполните ль Руководит ель
Подключение, поставка и внедрение: Подключение, поставка и внедрение: подключение и поставка средств защиты информацииподключение и поставка средств защиты информации установка и настройка АРМ-ЗЭД, настройка параметров защищенного электронного документооборотаустановка и настройка АРМ-ЗЭД, настройка параметров защищенного электронного документооборота обучение пользователяобучение пользователя Техническая поддержка и сопровождение: Техническая поддержка и сопровождение: сопровождение регламента защищенного электронного документооборотасопровождение регламента защищенного электронного документооборота техническая поддержка пользователятехническая поддержка пользователя работы по техническому сопровождению АРМ-ЗЭДработы по техническому сопровождению АРМ-ЗЭД Консультационные услуги: Консультационные услуги: Разработка организационно-распорядительных документов и специальных регламентовРазработка организационно-распорядительных документов и специальных регламентов Комплекс услуг
Федеральные органы государственной власти Использование ЭЦП в сфере государственного управления Органы государственной власти субъекта РФ Органы местного самоуправления Организации, участвующие в документообороте с органами
Различные средства защиты информации, в первую очередь криптографические Разрозненные системы защищенного электронного документооборота Отсутствие взаимоувязанных регламентов документооборота (внутриведомственный и межведомственный) Использование ЭЦП в сфере государственного управления
КриптоСвязь» {Защищенный Электронный Документооборот}
«Единый российский криптографический стандарт» Общий регламент защищенного электронного документооборота Общий регламент обеспечения информационной безопасности Межведомственный и внутриведомственный защищенный электронный документооборот Выбор оптимального уровня «включения» («вершины» или «каждый с каждым») в зависимости от структуры документопотоков «КриптоСвязь» {Защищенный Электронный Документооборот}
Федеральные органы государственной власти Подразделения Федеральной налоговой службы Подразделения Федеральной службы судебных приставов Органы государственной власти субъекта РФ Министерства и ведомства Удмуртской Республики Комитет по делам ЗАГС УР и органы ЗАГС Органы местного самоуправления Администрации районов Удмуртской Республики Администрация г. Ижевска Муниципальные образования Балезинского района УР Государственные учреждения Удмуртский территориальный фонд ОМС РМИАЦ и лечебно-профилактические учреждения Коммерческие организации Участники системы «КриптоСвязь» {Защищенный Электронный Документооборот}
Правовые основы ЗЭД Гражданский кодекс Российской Федерации Гражданский кодекс Российской Федерации Федеральные законы Российской Федерации Федеральные законы Российской Федерации от ФЗ «Об электронной цифровой подписи»от ФЗ «Об электронной цифровой подписи» от ФЗ «Об информации, информационных технологиях и о защите информации»от ФЗ «Об информации, информационных технологиях и о защите информации» от ФЗ «О персональных данных»от ФЗ «О персональных данных» от ФЗ «О коммерческой тайне»от ФЗ «О коммерческой тайне» Указы Президента Российской Федерации Указы Президента Российской Федерации от «Об утверждении перечня сведений конфиденциального характера»от «Об утверждении перечня сведений конфиденциального характера» от «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»от «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» Постановления Правительства Российской Федерации Постановления Правительства Российской Федерации от «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»от «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Правовые основы ЗЭД Приказ ФСБ России от «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005) Приказ ФСБ России от «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005) Приказ ФАПСИ от «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» Приказ ФАПСИ от «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, от /6/6-622) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, от /6/6-622) Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, от /54-144) Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, от /54-144)
Использование средств ЭЦП Федеральный закон РФ от ФЗ «Об электронной цифровой подписи» При создании ключей электронных цифровых подписей должны применяться только сертифицированные средства электронной цифровой подписи При создании ключей электронных цифровых подписей должны применяться только сертифицированные средства электронной цифровой подписи Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается
В соответствии с Постановлением Правительства РФ от средства электронной цифровой подписи относятся к шифровальным (криптографическим) средствам В соответствии с Федеральным законом от ФЗ «О лицензировании отдельных видов деятельности»: распространение шифровальных (криптографических) средств распространение шифровальных (криптографических) средств техническое обслуживание шифровальных (криптографических) средств техническое обслуживание шифровальных (криптографических) средств предоставление услуг в области шифрования информации предоставление услуг в области шифрования информации подлежат обязательному лицензированию! Государственное регулирование
Гражданский кодекс РФ (ч.2 ст.160) Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно- цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон Факсимиле ЭЦП Факс Аналоги собственноручной подписи
1-ФЗ от «Об электронной цифровой подписи» 1-ФЗ от «Об электронной цифровой подписи» …электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе… + 10 федеральных законов + свыше 11 Постановлений Правительства + свыше 70 нормативных актов федеральных органов власти Электронная цифровая подпись ЭЦП
Юридически значимая ЭЦП и Юридически значимый электронный документ Юридически значимая ЭЦП: ЭЦП признается в качестве реквизита электронного документа и лицо её сформировавшее или проверяющее при исполнении документа, несет правовые последствия за это действие Юридически значимая ЭЦП: ЭЦП признается в качестве реквизита электронного документа и лицо её сформировавшее или проверяющее при исполнении документа, несет правовые последствия за это действие Юридически значимый электронный документ: ЭД может быть использован в качестве письменного доказательства, как содержащий сведения о фактах, на основании которых устанавливается наличие или отсутствие значимых для дела обстоятельств Юридически значимый электронный документ: ЭД может быть использован в качестве письменного доказательства, как содержащий сведения о фактах, на основании которых устанавливается наличие или отсутствие значимых для дела обстоятельств
Юридически значимая ЭЦП и Юридически значимый электронный документ Юридически значимая ЭЦП является необходимым, но недостаточным условием обеспечения юридической значимости электронного документа Юридически значимый электронный документ Юридически значимая ЭЦП
Применение ЭЦП в электронном документообороте Ключевой момент в применении ЭЦП для обеспечения юридической значимости электронных документов - обеспечение условий равнозначности ЭЦП собственноручной подписи Ключевой момент в применении ЭЦП для обеспечения юридической значимости электронных документов - обеспечение условий равнозначности ЭЦП собственноручной подписи
Условия признания равнозначности ЭЦП и собственноручной подписи (ст. 4) сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания подтверждена подлинность электронной цифровой подписи в электронном документе подтверждена подлинность электронной цифровой подписи в электронном документе электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи Формирование ключа владельца сертификата с использованием средств ЭЦП Формирование ключа владельца сертификата с использованием средств ЭЦП Изготовление сертификата ключа подписи с использованием удостоверяющего центра Изготовление сертификата ключа подписи с использованием удостоверяющего центра Регистрация УЦ в Едином государственном реестре СКП УЛ УЦ Регистрация УЦ в Едином государственном реестре СКП УЛ УЦ Указание сведений о применении ЭЦП при изготовлении сертификата Указание сведений о применении ЭЦП при изготовлении сертификата Формирование ЭЦП электронного документа с проверкой срока действия сертификата и цели применения ЭЦП Формирование ЭЦП электронного документа с проверкой срока действия сертификата и цели применения ЭЦП Верификация ЭЦП электронного документа с проверкой срока действия сертификата и цели применения ЭЦП Верификация ЭЦП электронного документа с проверкой срока действия сертификата и цели применения ЭЦП Проверка действительности и принадлежности сертификата владельцу (доверие УЦ, статус сертификата) Проверка действительности и принадлежности сертификата владельцу (доверие УЦ, статус сертификата)
Информационные системы с ЭЦП информационная система общего пользования - ИС, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано информационная система общего пользования - ИС, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано корпоративная информационная система - ИС, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников корпоративная информационная система - ИС, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников должна соответствовать требованиям, установленным для ИС общего пользованиядолжна соответствовать требованиям, установленным для ИС общего пользования порядок использования ЭЦП устанавливается решением владельца или соглашением участниковпорядок использования ЭЦП устанавливается решением владельца или соглашением участников регламентация работы системы – по решению владельца или соглашением участниковрегламентация работы системы – по решению владельца или соглашением участников
Особенности закона об ЭЦП Закон «Об ЭЦП» не является законом прямого действия требуются либо нормативные акты (которые отсутствуют), либо соглашение между участниками документооборота Закон «Об ЭЦП» имеет нечеткие правовые конструкции, определения, условия применения их требуется уточнять на уровне нормативных актов (которые ЧАЩЕ отсутствуют), либо в соглашении между участниками документооборота Отсутствует нормативная база по документам в электронной форме их требуется определять на уровне нормативных актов (которые есть только для отдельных госсистем), либо в соглашении между участниками документооборота
Система гражданско-правовых отношений КИС Соглашение об использовании ЭЦП в ЭД Соглашение об использовании ЭЦП в ЭД Соглашение об услугах УЦ Соглашение об услугах УЦ
Оператор КИС и УЦ КИС Оператор (организатор) КИС - субъект права, являющийся носителем субъективных прав и юридических обязанностей в части исполнения следующих функций: Оператор (организатор) КИС - субъект права, являющийся носителем субъективных прав и юридических обязанностей в части исполнения следующих функций: эксплуатация информационной системыэксплуатация информационной системы ведение информационных ресурсов и обработка информации в нихведение информационных ресурсов и обработка информации в них обеспечение доступа и предоставления информацииобеспечение доступа и предоставления информации установление правил использования КИС и информацииустановление правил использования КИС и информации Удостоверяющий центр КИС - субъект права, являющийся носителем субъективных прав и юридических обязанностей в части: Удостоверяющий центр КИС - субъект права, являющийся носителем субъективных прав и юридических обязанностей в части: Регистрация владельцев сертификатов ключей подписиРегистрация владельцев сертификатов ключей подписи Генерация ключей и изготовление сертификатов ключей подписиГенерация ключей и изготовление сертификатов ключей подписи Предоставление информации о статусе сертификатов, аннулирование, приостановление и возобновление действия сертификатов ключей подписиПредоставление информации о статусе сертификатов, аннулирование, приостановление и возобновление действия сертификатов ключей подписи Подтверждение подлинности ЭЦП в ЭД и сертификатахПодтверждение подлинности ЭЦП в ЭД и сертификатах УЦ может быть структурное подразделение Организатора системы или внешняя организация (аутсорсинг) УЦ может быть структурное подразделение Организатора системы или внешняя организация (аутсорсинг)
Соглашения в КИС Соглашение о применении ЭЦП - документ, который регламентирует все аспекты (организационные и технические) применения ЭЦП для удостоверения документов в конкретных системах электронного документооборота: Соглашение о применении ЭЦП - документ, который регламентирует все аспекты (организационные и технические) применения ЭЦП для удостоверения документов в конкретных системах электронного документооборота: условия равнозначности ЭЦП собственноручной (детализация процедур, определенных ФЗ)условия равнозначности ЭЦП собственноручной (детализация процедур, определенных ФЗ) какие средства ЭЦП используютсякакие средства ЭЦП используются типы и форматы документов, которые исполняются в системе электронного документооборотатипы и форматы документов, которые исполняются в системе электронного документооборота порядок разрешения споров в досудебном порядкепорядок разрешения споров в досудебном порядке Соглашение об услугах удостоверяющего центра - документ, который определяет Соглашение об услугах удостоверяющего центра - документ, который определяет механизмы и условия предоставления и использования услуг УЦмеханизмы и условия предоставления и использования услуг УЦ обязанности сторонобязанности сторон порядок проведения процедурпорядок проведения процедур принятые форматы данныхпринятые форматы данных формы заявительных документовформы заявительных документов Задачи Соглашения с УЦ - обеспечить Задачи Соглашения с УЦ - обеспечить правовой статус ключа и сертификата ключа подписиправовой статус ключа и сертификата ключа подписи неотказуемость от факта обладания ключом и сертификатомнеотказуемость от факта обладания ключом и сертификатом
Типичные ошибки в постановке цели защищенного взаимодействия Расплывчатость цели Расплывчатость цели Нужно защитить информацию с помощью ЭЦПНужно защитить информацию с помощью ЭЦП Нужен защищенный электронный документооборотНужен защищенный электронный документооборот Отсутствие системности Отсутствие системности Необходимо встроить ЭЦП для юридической значимостиНеобходимо встроить ЭЦП для юридической значимости Нужна юридическая значимость ЭЦПНужна юридическая значимость ЭЦП Нужен удостоверяющий центр для юридической значимости ЭЦП/документовНужен удостоверяющий центр для юридической значимости ЭЦП/документов
Типичные ошибки в постановке цели Цель «Защита» «Корпоративная неотказуемость » «Юридическая значимость» Обеспечение целостности электронных сообщений Обеспечение авторства электронных сообщений Обеспечение аутентификации субъектов взаимодействия Обеспечение юридической значимости электронных документов Применение шифрования для защиты информации Модель применения
Ключевые отличия моделей применения «Защита» vs «Корпоративная неотказуемость» «Защита» vs «Корпоративная неотказуемость» «Защита»«Защита» нет документов, есть сообщения нет документов, есть сообщения «Корпоративная неотказуемость»«Корпоративная неотказуемость» наличие организационных регламентов применения цифровой подписи наличие организационных регламентов применения цифровой подписи «Корпоративная неотказуемость» vs «Юридическая значимость» «Корпоративная неотказуемость» vs «Юридическая значимость» «Корпоративная неотказуемость»«Корпоративная неотказуемость» технические и организационные решения определяются владельцем системы технические и организационные решения определяются владельцем системы «Юридическая значимость»«Юридическая значимость» требования к корректности встраивания средств ЭЦП и ее применения требования к корректности встраивания средств ЭЦП и ее применения требуется организация удостоверяющего центра как субъекта правоотношений требуется организация удостоверяющего центра как субъекта правоотношений «внешние» требования к организационным регламентам применения ЭЦП «внешние» требования к организационным регламентам применения ЭЦП
Случаи «неприменимости» ЭЦП Когда есть законные нормы (требования) о том, что оригинал документа может быть только в бумажной форме Когда есть законные нормы (требования) о том, что оригинал документа может быть только в бумажной форме Когда отсутствует целесообразность использования оригинала документа в электронной форме (например, товарно- транспортная накладная при перевозке груза, т.к. ее не предъявить сотруднику контролирующего органа) Когда отсутствует целесообразность использования оригинала документа в электронной форме (например, товарно- транспортная накладная при перевозке груза, т.к. ее не предъявить сотруднику контролирующего органа) Когда срок хранения документа превышает 30 лет (например, личное дело студента), т.к. максимальный срок действия сертификатов ключей подписи на текущий момент составляет 30 лет Когда срок хранения документа превышает 30 лет (например, личное дело студента), т.к. максимальный срок действия сертификатов ключей подписи на текущий момент составляет 30 лет
«Легенды ЭЦП» Закон «Об ЭЦП» не работает, поэтому ЭЦП применять нельзя – наличие уголовной, арбитражной и гражданской практики свидетельствует о том, что ФЗ «Об ЭЦП» работает и ЭЦП применима для обеспечения юридической значимости ЭД Закон «Об ЭЦП» не работает, поэтому ЭЦП применять нельзя – наличие уголовной, арбитражной и гражданской практики свидетельствует о том, что ФЗ «Об ЭЦП» работает и ЭЦП применима для обеспечения юридической значимости ЭД Для юридической значимости ЭЦП необходим Федеральный головной удостоверяющий центр – такой нормы в действующем законодательстве РФ не существует и подобного УЦ не будет ориентировочно до 2010 года Для юридической значимости ЭЦП необходим Федеральный головной удостоверяющий центр – такой нормы в действующем законодательстве РФ не существует и подобного УЦ не будет ориентировочно до 2010 года Достаточно использовать сертифицированные средства ЭЦП и юридическая значимость ЭЦП будет обеспечена – разобрали Достаточно использовать сертифицированные средства ЭЦП и юридическая значимость ЭЦП будет обеспечена – разобрали Для создания удостоверяющего центра достаточно поставить сервер с программным обеспечением, умеющим изготавливать сертификаты – разобрали Для создания удостоверяющего центра достаточно поставить сервер с программным обеспечением, умеющим изготавливать сертификаты – разобрали Если УЦ «кросс-сертифицируются», то будет создано единое пространство легитимности ЭЦП – обязательство не создает обязанностей для лиц, не участвующих в нем в качестве сторон (для третьих лиц): ч. 2 ст. 308 ГК РФ Если УЦ «кросс-сертифицируются», то будет создано единое пространство легитимности ЭЦП – обязательство не создает обязанностей для лиц, не участвующих в нем в качестве сторон (для третьих лиц): ч. 2 ст. 308 ГК РФ
Партнеры НПП «Ижинформпроект»
Консультационные услуги Проведение обследования объекта, применяемых деловых процедур и информационно-телекоммуникационной системы (как объекта защиты), анализ ее структуры, функций и особенностей, используемых технологий автоматизированной обработки и передачи информации, анализ выполняемых бизнес-процессов, анализ нормативной и технической документации Проведение обследования объекта, применяемых деловых процедур и информационно-телекоммуникационной системы (как объекта защиты), анализ ее структуры, функций и особенностей, используемых технологий автоматизированной обработки и передачи информации, анализ выполняемых бизнес-процессов, анализ нормативной и технической документации Выявление значимых угроз, разработка политики безопасности и рекомендаций по защите информации Выявление значимых угроз, разработка политики безопасности и рекомендаций по защите информации Разработка необходимых организационно-распорядительных и нормативных документов Разработка необходимых организационно-распорядительных и нормативных документов Поставка, установка, настройка и техническое сопровождение программно-аппаратных средств защиты информации, в т.ч. криптографических Поставка, установка, настройка и техническое сопровождение программно-аппаратных средств защиты информации, в т.ч. криптографических Комплекс услуг по внедрению, развитию и сопровождению различных видов защищенного (в т.ч. юридически значимого) электронного документооборота и межсетевого взаимодействия (VPN и удаленный доступ) Комплекс услуг по внедрению, развитию и сопровождению различных видов защищенного (в т.ч. юридически значимого) электронного документооборота и межсетевого взаимодействия (VPN и удаленный доступ) Комплекс услуг специализированного оператора связи, удостоверяющего центра, а также внешних служб технической и криптографической защиты информации (АУТСОРСИНГ) Комплекс услуг специализированного оператора связи, удостоверяющего центра, а также внешних служб технической и криптографической защиты информации (АУТСОРСИНГ)
Почему НПП «Ижинформпроект»? НПП «Ижинформпроект» Соответствие законодательству Опыт внедрений Ориентация на коммерческий сектор Сертифицированные средства защиты информации Ориентация на государственный сектор Современные технологии Логичная тарифная политика
Обучение «Защита персональных данных» Авторский курс М.Ю. Емельянникова (Код КП32), 2 дня Авторский курс М.Ю. Емельянникова (Код КП32), 2 дня Аудитория Аудитория руководители организаций и их структурных подразделений, в ведении которых находится обработка персональных данныхруководители организаций и их структурных подразделений, в ведении которых находится обработка персональных данных руководители и специалисты по информационной безопасностируководители и специалисты по информационной безопасности юристы и работники кадровых подразделенийюристы и работники кадровых подразделений По окончании обучения По окончании обучения Вы приобретете знанияВы приобретете знания по проблемам защиты персональных данных в Российской Федерации по проблемам защиты персональных данных в Российской Федерации по вопросам правовой защиты и организации контроля за возможными каналами их утечки по вопросам правовой защиты и организации контроля за возможными каналами их утечки по современным методам и средствам защиты персональных данных по современным методам и средствам защиты персональных данных Вы сможетеВы сможете готовить нормативные документы, обеспечивающие защиту персональных данных готовить нормативные документы, обеспечивающие защиту персональных данных формировать модель угроз персональным данным формировать модель угроз персональным данным строить систему защиты ПД в соответствии с требованиями государственных регуляторов строить систему защиты ПД в соответствии с требованиями государственных регуляторов готовить уведомления в уполномоченный орган по защите прав субъектов ПД готовить уведомления в уполномоченный орган по защите прав субъектов ПД Выездное обучение (в Ижевске, на базе НПП «Ижинформпроект») Выездное обучение (в Ижевске, на базе НПП «Ижинформпроект») Свидетельство об обучении Учебного центра «Информзащита» Свидетельство об обучении Учебного центра «Информзащита» Обучение - по мере формирования групп Обучение - по мере формирования групп
Семинар 21 мая мая 2009 «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: современные технологии» «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: современные технологии» Основные темы: Основные темы: Проблематика обеспечения информационной безопасности. Технологии и средства защиты информацииПроблематика обеспечения информационной безопасности. Технологии и средства защиты информации Средства защиты информации от НСДСредства защиты информации от НСД VPN и защита удаленного доступаVPN и защита удаленного доступа Линейка продуктов Aladdin и ИнформзащитаЛинейка продуктов Aladdin и Информзащита Защита персональных данныхЗащита персональных данных Средства защиты информации и услуги информационной безопасности в Удмуртской РеспубликеСредства защиты информации и услуги информационной безопасности в Удмуртской Республике Аудитория - представители госорганов и коммерческих организаций (руководители и специалисты подразделений информационной безопасности и информационных технологий) Аудитория - представители госорганов и коммерческих организаций (руководители и специалисты подразделений информационной безопасности и информационных технологий) Условия участия - бесплатно, предварительная регистрация, Условия участия - бесплатно, предварительная регистрация,
Спасибо за внимание! Вопросы? Дополнительная информация +7 (3412) г. Ижевск, ул. Бородина, 21, офис 207 Майшев Вадим Владимирович Заместитель генерального директора по безопасности