Особенности защиты информации в условиях трансграничного информационного взаимодействия. Среди прочего, можно выделить следующие технические аспекты: 1.Обеспечение требований к качеству самого ПРЕДМЕТА, т.е. информации (обеспечение: целостности и авторства, актуальности (пригодности для последующего использования) и т.п.). 2.Обеспечение требований ДОСТУПА к ПРЕДМЕТУ в соответствии с конкретикой бизнес-процесса и политикой безопасности. Банк ИТ09

Целостность и авторство информации Обычно техническая задача решается с использованием ЭЦП. Однако условия трансграничного обмена вносят ряд особенностей в привычную технологию, среди которых: –Обеспечение юридической силы в условиях разных правовых полей участников. Из чего следует соответствие технических требований локальным нормативным актам, локальные требования к лицензированию, сертификации техсредств, экспортные ограничения на техсредства и т.п. –Обеспечение возможности технически выполнить проверку ЭЦП для различных криптографических алгоритмов. Решение: иметь возможность получить из доверенного источника (ДТС) документ о статусе проведения такой проверки. Например, протокол DVCS на основе международных рекомендациях RFC Банк ИТ09

В 2006 году была проведена первая интеграция ИС РФ и Unizeto (ЕС) через взаимодействие ДТС двух стран Банк ИТ09

Похожая схема учета особенностей трансграничного обмена легла и в основу проекта концепции создания Интегрированной информационной системы внешней и взаимной торговли таможенного союза. Обращаю внимание на следующие моменты Концепции: Система должна обеспечивать требования к документам, такие как аутентичность, достоверность, целостность, пригодность для использования в соответствии с международным стандартом ISO :2001; Система должна предоставлять возможность обмена данными и электронными документами, имеющими юридическую силу (или взаимно признаваемыми как таковыми); Система должна обеспечивать юридическую силу электронных документов на основе доверенных сервисов в соответствии с международными рекомендациями ITU T серия X.842. Концепция: УЖЕ подписана экспертным советом таможенного союза. УЖЕ принята за основу решением 89 Комиссией Таможенного Союза 25 сентября в Казахстане (г. Алматы). Банк ИТ09 По материалам Таможенного Союза ЕврАзЭС

Из материалов Совместного коммюнике по итогам заседания Совета Шанхайской организации сотрудничества (14 октября 2009 г. Пекин) " 6.Главы правительств высказались за скорейший запуск пилотных проектов … "Организация электронного трансграничного взаимодействия с использованием электронной цифровой подписи". Следствие: эти работы на государственном уровне и в рамках ЕврАзЭС и в рамках ШОС будут выполняться в самое ближайшее время. Практические реализации проверки ЭЦП: компания «Русское Техническое Общество»: в системе предварительного информирования (ПИ) для задач брокера РЖД. компания «Центр трансграничного обмена»: в информационной системы под задачи госкорпорации Роснано. Банк ИТ09

Обеспечение актуальности информации Очевидно, что возложить решение этой задачи на СЭД не удастся, поскольку практически не реально объединить всех участников (причем находящихся в различных правовых полях) единой СЭД. Техническая реализация ЭЦП (привычный всем формат ЭЦП в виде CMS (PKCS#7), или «подпись с расширенными данными для проверки» по ETSI TS ) не предоставляет механизмов обеспечить актуальность документа. С момента когда документ покинул среду СЭД автора, а именно это и происходит при трансграничном обмене, требуется использовать иные механизмы обеспечения актуальности. Банк ИТ09

Технология: Использовать атрибутный сертификат (АС) по RFC 3281 в связке с неким информационным объектом (данными) – это документ обмена. Практическая реализация: Инструмент, предоставляемый компанией «Русское Техническое Общество» как Оператора Системы, обеспечения отзывности информации предварительного информирования (ПИ) о таможенных грузах в интересах ТБЦ - брокера РЖД. Банк ИТ09

Обобщенная схема взаимодействия

Очевидные дополнительные области использования: 1.Бизнес-процессы, в которых исходящие документы имеют функции разрешения или лицензии на что либо, выдаваемые на определенный срок и с возможностью преждевременного отзыва. 2.Различного рода выписки из Реестров, Кадастров и т.п., наиболее яркий например, выписка из Единого Реестра Юридических Лиц. 3.Электронная лицензия на программное обеспечение или иную информацию, дополнительно автоматически решается задача контроля целостности и неизменности программного обеспечения или иной информации. 4.Контейнеры (метки целостности и актуальности) защищенных электронных документов содержащие метаданные и имеющие технологию управления актуальностью контента самого ЭД, без отзыва СКП авторов ЭЦП. Банк ИТ09

Указание дополнительной информации об участниках обмена Начальные условия: Требуется, разграничить доступ или определить условия обработки информации согласно собственных правил, где идентификационным элементом выступает сертификат открытого ключа из другого домена. НЕТ способов внести в состав сертификата, при его создании, ту информацию, которая будет требоваться на обрабатываемой стороне. Банк ИТ09

Технология: выпуск атрибутного сертификата с необходимой ресурсу информацией, связанный с сертификатом автора запроса. Сама процедура совершенна стандартна и определена RFC Практическая реализация: компания «Русское Техническое Общество»: разграничение доступа в системе предварительного информирования (ПИ) для задач брокера РЖД. компания «Центр трансграничного обмена» при проектировании информационной системы под задачи госкорпорации Роснано. Банк ИТ09

Следует ли нагружать сертификат открытого ключа персональной информацией? ??? Персональная информация чаще меняется чем Ф.И.О. При изменении запускается механизм отзыва с последующим выпуском нового. ??? Организационная граница «Отдел кадров» - «Отдел режима». ??? Конфликт с ФЗ «О персональных данных». Основное логическое отличие: Сертификат открытого ключа – это аналог «электронного паспорта» - идентификационный элемент. Атрибутный Сертификат - "электронный пропуск" с указанием достоверной ролевой информации ранее идентифицированного субъекта. Размещение - не публичное. Банк ИТ09

Заключение Существует понимание и принимаются практические решения на очень высоком уровне по обеспечению юридической силы электронных документов при трансграничном взаимодействии. Уже сейчас существуют и используются технические решения, позволяющие в реальных бизнес-процессах решать задачи информационного взаимодействия ИС различных правовых полей с учетом особенностей трансграничной природы такого взаимодействия. Банк ИТ09

ООО «Топ Кросс», г. Москва. Технические решения Служб «Доверенной Третьей Стороны» Компоненты Удостоверяющего Центра сертификатов ключей подписи, Компоненты Службы «Электронного нотариата», Службы атрибутирования, Службы доверенного времени, Службы документирования, Службы регистрации и ведения идентификаторов объектов, Клиентское ПО… Вопросы ?... © 2009 ООО «Топ Кросс» Муругов Сергей Михайлович ООО «Русское Техническое Общество», г. Москва. Лицензиат ФСБ, услуги доверенных сервисов Х.842 – «Доверенной Третьей Стороны» (ДТС). В презентации использованы решения и материалы: