Эффективный электронный документооборот в офисе и «на удалёнке»

Эффективный электронный документооборот в офисе и «на удалёнке»

В рамках этого направления ведущие ИБ-эксперты обсудили тренды в защите информации и дали рекомендации бизнесу.

image

В Санкт-Петербурге прошла традиционная конференция по информационной безопасности «Global Information Security Days 2020», организатором которой ежегодно выступает компания «Газинформсервис». Ключевой темой этого года стала «Кибербезопасность новой реальности». В рамках этого направления ведущие ИБ-эксперты обсудили тренды в защите информации и дали рекомендации бизнесу.

В связи со вступлением в силу в начале 2021 года очередного пакета поправок в Федеральный закон № 63-ФЗ «Об электронной подписи» (ЭП) одна из секций онлайн-конференции была полностью посвящена ЭП, сервисам на основе инфраструктуры открытых ключей и технологиям сервисов доверия (в частности, доверенной третьей стороны). Её модератором выступил Сергей Кирюшкин, кандидат технических наук, советник генерального директора ООО «Газинформсервис». Он подробно рассказал о новеллах Федерального закона и современных PKI-сервисах.

Поправки, внесенные в Федеральный закон №476-ФЗ в конце 2019 года, существенно изменили ландшафт работы с электронной подписью:

- повышены требования к собственным средствам и финансовой ответственности аккредитованных, удостоверяющих центров (УЦ), а также сокращен срок их аккредитации с 5 до 3 лет;
- изменен порядок обслуживания клиентов УЦ. В частности, уже сейчас невозможно получить сертификат квалифицированной электронной подписи (ЭП) по доверенности;
- однозначно обозначен круг операторов аккредитованных удостоверяющих центров (АУЦ) для юридических лиц, органов государственной власти и кредитно-финансового сектора;
- введен институт доверенной третьей стороны;
- введено понятие метки доверенного времени;
- легализована технология дистанционной (облачной) ЭП;
- изменён процесс регуляции полномочий владельцев сертификатов ключей ЭП (с использованием машинно-читаемых доверенностей).

Важно отметить, что эти поправки вступают в силу не единовременно. Значительная часть дополнений будет актуальна с 1 января 2021 года, а наиболее дискуссионные части, к примеру, о ДТС, для которых требуется введение дополнительных подзаконных актов, будут прорабатываться межведомственной рабочей группой и вступят в силу с 1 января 2022 года.

«В первую очередь должен быть четко определен тезаурус, этому посвящена 2 статья ФЗ № 63-ФЗ. Доверенная третья сторона, ее средства, процедура аккредитации оператора ДТС, метки доверенного времени и т.д. представлены в виде терминов и определений. Судя по формулировкам, законодатели воспринимают ДТС в широком смысле слова, как оператора сервисов доверия вообще, а не только как оператора, который правильно проверяет электронную подпись», - отметил Сергей Кирюшкин.

Нормативных документов, которые направлены на то, чтобы внедрить эти новеллы, в общей сложности около 25. К их разработке привлечено экспертное сообщество и представители бизнеса. Более подробно с докладом о нюансах изменений в законодательстве об электронной подписи можно ознакомиться в записи выступления.

О том, как регулируется работа иностранной электронной подписи, говорил и один из спикеров пленарной сессии конференции - начальник Главного управления информационных технологий Федеральной таможенной службы (ФТС) России Владимир Скиба. Он выступил с докладом «О проблемных вопросах дальнейшего развития технологий автоматического принятия решений в Единой автоматизированной информационной системе таможенных органов», в рамках которого рассказал о развитии PKI-технологий в государственных структурах.

Ежедневно на уровне главного центра обработки данных проходит более 35 миллионов электронных документов с использованием усиленной квалифицированной электронной подписи (УКЭП). В связи с тем, что таможенные органы расположены на всей территории России, обработка документации производится 24Х7 без остановок. В таких условиях вопросы безопасности стоят наиболее остро.

Обслуживанием электронного документооборота службы занимается собственная система ведомственных удостоверяющих центров таможенных органов (СВУЦ ТО). С момента создания в 2008 году она разрослась и помимо центрального штаба насчитывает ещё 8 региональных ведомств и 61 пункт удаленной регистрации.

«Основными пользователями нашей системы ЭДО являются должностные лица таможенных органов. При этом у нас с начала века организованно международное электронное сообщение с более чем 20 иностранными таможенными службами. Мы в постоянном режиме работаем с таможенными органами на пространстве Евразийского экономического союза. И, конечно, все процессы, связанные с перемещением товаров через границу и их декларированием, у нас давно переведены в электронную форму» - рассказывает Владимир Скиба.

Таможенная служба – это единственная сфера на территории РФ, где законодательно предусмотрено принятие юридически значимых решений информационными системами без участия должностных лиц. Это стало возможно благодаря полной нормативной части, содержащейся в «Таможенном кодексе» Евразийского экономического союза и кодексе «О таможенном регулировании в РФ».

ФТС России планирует продолжать внедрение передовых технологий ЭДО, направленных на всестороннюю оптимизацию бюрократических процедур.

Руководитель разработки ООО «Газинформсервис» Денис Сумак в своем докладе «Мультиплатформенное решение по корректной работе с электронной подписью» ещё раз подчеркнул невозможность отделения вопросов криптографии от экономических и политических реалий современного мира, а также рассказал почему для бесперебойной работы Государства необходимо использовать электронную подпись исключительно на закрытых и отечественных операционных системах.

«Отечественные решения, как правило, не только обладают всем спектром технической поддержки, прошли всю необходимую сертификацию, поддерживают национальные криптографические алгоритмы, но и существенно дешевле зарубежных аналогов. При этом, на рынке традиционно доминируют импортные ОС», - говорит Денис Сумак.

Преимущество кроссплатформенных систем работы с ЭП заключается в том, что они будут работать на любых ОС. Разработка таких систем имеет ряд сложностей (одна из первых и основных – это значительное увеличение времени для оптимизации под различные ОС), но это оправдывает затраченные ресурсы в дальнейшей работе.

Еще одна часть работ с ЭП ­- это её проверка. Она позволяет обеспечивать контроль целостности и авторства документа, а также гарантирует юридическую силу вне зависимости от криптографического стандарта. Проверить ЭП можно различными способами:

- ключом ЭП, при помощи которого она создавалась;
- при помощи информационной системы, интегрированной со средствами криптографической защиты информации (СКЗИ);
- с помощью доверенной третьей стороны или удостоверяющего центра.

Подробнее о достоинствах и недостатках этих способов можно узнать в докладе Марии Драло, руководителя группы криптографической защиты ООО «Газинформсервис».

«В связи с тем, что государства зачастую используют разные криптографические стандарты именно сервис доверенной третьей стороны может стать оптимальным решением при проверке электронных подписей», - отмечает Мария Драло.
Подводя итоги статьи, можно сказать, что в 2021 году сферу электронного документооборота ждёт ряд важных изменений. Вектор развития известен и экспертное сообщество принимает активное участие в формировании повестки. Это дает уверенность, что технологии и методы регулирования их применения будут улучшаться грамотно и планомерно.


Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.