Casual
РЦБ.RU

Выбор средства криптографической защиты информации для использования в системах электронного документооборота депозитария

Апрель 2007

    Одним из важнейших требований к любой системе ЭДО является обеспечение безопасности электронного обмена документами, а именно обеспечение конфиденциальности передаваемой информации, которое достигается путем использования участниками ЭДО средств криптографической защиты информации.

    17 февраля 2006 г. вступил в силу Приказ Федеральной службы по финансовым рынкам от 8 декабря 2005 г. № 05-77/пз-н "Об утверждении Положения о требованиях к осуществлению деятельности участников финансовых рынков при использовании электронных документов" (далее - Приказ), который определил условия применения документов, информация в которых представлена в электронно-цифровой форме с электронной цифровой подписью (далее - ЭЦП). Данный Приказ позволил участникам рынка ценных бумаг начать активное внедрение систем электронного документооборота (далее - ЭДО) для обмена электронными документами друг с другом. Одним из важнейших требований к любой системе ЭДО является обеспечение безопасности электронного обмена документами, а именно обеспечение конфиденциальности передаваемой информации, которое достигается путем использования участниками ЭДО средств криптографической защиты информации (далее - СКЗИ).
    В соответствии с Постановлением Правительства РФ от 23 сентября 2002 г. № 691 "Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами" (далее - Постановление № 691) к СКЗИ относятся:

  • средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
  • средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
  • средства ЭЦП - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание ЭЦП с использованием закрытого ключа ЭЦП, подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП, создание закрытых и открытых ключей ЭЦП;
  • средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
  • средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
  • ключевые документы (независимо от вида носителя ключевой информации).
        Основной задачей СКЗИ является обеспечение конфиденциальностb передаваемых документов и требуемого уровня доверия к ним за счет шифрования данных и использования ЭЦП. В частности, использование СКЗИ обеспечивает:
  • недоступность информации в электронном документе для сторонних лиц;
  • авторство электронного документа (поступление информации из достоверного источника);
  • неотказуемость электронного документа (признание равнозначности ЭЦП собственноручной подписи на бумажном документе);
  • подлинность электронного документа (гарантия поступления информации в неискаженном виде);
  • целостность электронного документа (обеспечение целостности передаваемых данных).
        Выбор СКЗИ организатором ЭДО производится, основываясь на требованиях действующего законодательства и на требованиях, предъявляемых к уровню безопасности электронного документооборота.
        Выбирая СКЗИ, организатор ЭДО должен принимать во внимание следующие основные моменты.

    ТЕХНОЛОГИЯ ШИФРОВАНИЯ

        Современные СКЗИ используют различные механизмы обеспечения защиты и подписи электронного документа. Так выделяют одноключевые (симметричные) и двухключевые (ассиметричные) системы.
        Одноключевые системы, или системы, использующие симметричные ключи, предлагают участникам ЭДО использовать один и тот же закрытый ключ как для шифрования, так и для расшифровывания сведений, содержащихся в электронных документах. Такие системы обладают высокой скоростью передачи данных между участниками ЭДО, однако при их использовании существуют значительные трудности в надежной и безопасной передаче закрытого ключа отправителя электронного документа его получателю, и, более того, все участники ЭДО должны обладать высоким уровнем доверия друг к другу.
        Двухключевые системы, или системы, использующие асимметричные ключи, предлагают участнику ЭДО два ключа (пару), определенным образом связанных друг с другом, - открытый ключ и закрытый (секретный) ключ, один из которых используют для шифрования данных, а второй - для их расшифровывания. Закрытый ключ доступен только его владельцу и хранится в тайне, а соответствующий ему открытый ключ свободно предоставляется всем заинтересованным в ЭДО лицам. Дополнительная безопасность таких систем основывается на том факте, что знание открытого ключа не позволяет по нему определить парный закрытый ключ.

    ПРОХОЖДЕНИЕ СЕРТИФИКАЦИИ

        В настоящее время на рынке СКЗИ представлены два вида средств защиты - сертифицированные и несертифицированные СКЗИ. Сертификация СКЗИ подразумевает под собой получение в уполномоченных органах разработчиком СКЗИ сертификата, подтверждающего соответствие систем шифрования и ЭЦП принятым в Российской Федерации стандартам, которые заданы ГОСТом.
        Федеральным законом от 10 января 2002 г. №1-ФЗ "Об электронной цифровой подписи" (далее - Закон об ЭЦП) определены участники и виды систем ЭДО, для которых выбор СКЗИ ограничен только сертифицированными средствами. К ним относятся информационные системы общего пользования, а также корпоративные информационные системы федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления. Для всех остальных организаторов корпоративных информационных систем существует возможность выбора.
        Дополнительно возможность использовать несертифицированные средства подтверждена в Положении о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005), утвержденном Приказом Федеральной службы безопасности РФ от 9 февраля 2005 г. № 66, п. 8 которого гласит, что "при организации обмена информацией, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем), не являющихся организациями, выполняющими государственные заказы, или уполномоченными ими лицами (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ), необходимость ее криптографической защиты и выбор применяемых СКЗИ определяются соглашениями между участниками обмен".
        Таким образом, так как участники рынка ценных бумаг организуют электронный документооборот путем создания корпоративной информационной системы, то организатор ЭДО вправе самостоятельно определить, будет он использовать в своей системе СКЗИ, и если да, то сертифицированные или нет.

    НАДЕЖНОСТЬ

        Прохождение процедуры сертификации СКЗИ позволяет участнику ЭДО с большей долей вероятности получить продукт, отвечающий принятым к уровню безопасности требованиям. При этом надежность СКЗИ подтверждена уполномоченным государственным органом власти, в то время как для несертифицируемых средств гарантом надежности системы выступает только сам ее разработчик.
        Однако необходимо отметить, что отсутствие такого сертификата не всегда означает, что СКЗИ предоставляет низкий или недостаточный уровень защиты передаваемой информации.
        Вне зависимости от наличия или отсутствия сертификата качественная и надежная работа СКЗИ, кроме всего прочего, зависит от корректной интеграции средства в систему ЭДО.

    ЭКОНОМИЧЕСКАЯ СОСТАВЛЯЮЩАЯ

        Использование сертифицированных средств подразумевает, что все участники ЭДО несут дополнительные расходы, которые связаны с приобретением самого СКЗИ, ключей ЭЦП и последующим сопровождением (обслуживанием) таких средств и ключей. При этом оплата за СКЗИ поступает в пользу разработчиков или дилеров по продаже программного продукта, оплата за ключи ЭЦП (за изготовление сертификатов ключей ЭЦП) - в пользу удостоверяющего центра. Дополнительно организатор ЭДО в рамках договорных отношений с пользователем ЭДО вправе установить плату за пользование системой, за подачу (обработку) документа в электронном виде и т. д.
        В случае использования несертифицированных средств все вышеперечисленные доходы могут поступать в пользу организатора ЭДО, и это позволяет, в том числе за счет поглощения одних статей расходов другими, значительно уменьшить плату за пользование системой или предоставить пользователю продукт или его часть на безвозмездной основе, что в целом значительно снижает расходы каждого конкретного участника электронного документооборота.

    НОРМАТИВНАЯ СОСТАВЛЯЮЩАЯ

        Нормативная составляющая включает в себя два аспекта.
        Во-первых, Федеральным законом от 8 августа 2001 г. № 128-ФЗ "О лицензировании отдельных видов деятельности" (далее - Закон о лицензировании) установлен перечень видов деятельности, подлежащих обязательному лицензированию, которое осуществляет Федеральная служба безопасности РФ, в соответствии с утвержденным порядком:

  • деятельность по распространению шифровальных (криптографических) средств;
  • деятельность по техническому обслуживанию шифровальных (криптографических) средств;
  • предоставление услуг в области шифрования информации;
  • разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.
        Постановление № 691 уточняет, что действие Закона о лицензировании не распространяется на различные виды деятельности, связанные с "шифровальными (криптографическими) средствами независимо от их назначения, реализующими симметричные криптографические алгоритмы и обладающими максимальной длиной криптографического ключа менее 40 бит, а также реализующими асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающими максимальной длиной криптографического ключа 128 бит".
        Таким образом, в случае использования несертифицированных СКЗИ организатор ЭДО должен убедиться, что его деятельность не попадает под действие указанного Закона о лицензировании, или, как и в случае использования сертифицированных СКЗИ, обратиться к услугам сторонних организаций, обладающих необходимыми лицензиями.
        Во-вторых, Закон об ЭЦП дает определение подтверждения проверки подлинности ЭЦП в электронном документе, а именно "подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе". Таким образом, в рамках действующего законодательства существует противоречие: с одной стороны, Закон об ЭЦП и другие подзаконные акты не запрещают в корпоративных информационных системах использовать несертифицированные СКЗИ, с другой стороны, Закон об ЭЦП дает возможность оспорить подлинность ЭЦП в электронном документе, подписанном с помощью таких средств. К сожалению, и судебная практика не дает положительного решения данного вопроса. В качестве меры по снижению указанного риска организаторы ЭДО, использующие несертифицированные СКЗИ, подписывают с участниками ЭДО соглашения, признающие защиту и ЭЦП, созданные с помощью таких средств, достаточными для признания подписи достоверной.
        Обобщая все вышесказанное, необходимо отметить, что выбор СКЗИ при организации ЭДО является важной основой конкурентоспособности электронного документооборота. Выбор должен строиться в зависимости от предполагаемого круга участников ЭДО и приемлемого уровня надежности ЭДО в рамках реализуемых задач.
        В настоящее время российский рынок сертифицированных СКЗИ в основном представлен следующими двумя средствами: комплекс СКЗИ "Верба", разработчиком которого выступает Московское отделение Пензенского научно-исследовательского электротехнического института (ЗАО "МО ПНИЭИ"), и комплекс СКЗИ КриптоПРО, разработчиком которого является ООО "КРИПТО-ПРО".
        Пользователями СКЗИ "Верба" на рынке ценных бумаг согласно информации, представленной на сайте компании-разработчика, являются ЗАО "Депозитарная Клиринговая Компания", ОЮЛ Депозитарно-Расчетный Союз, НП "Национальный депозитарный центр", ЗАО "Московская Межбанковская Валютная Биржа". Круг пользователей СКЗИ КриптоПРО значительно шире и включает в себя значительное число кредитных учреждений и депозитариев, разрабатывающих системы ЭДО.
        Как правило, участники рынка ценных бумаг при организации ЭДО с клиентами, имеющие небольшое количество операций и желающие существенно снизить стоимость обслуживания, с учетом оговорок, указанных в настоящей статье, предпочитают использовать хорошо зарекомендовавшие себя несертифицированные СКЗИ (например, PGP Freeware) для работы с клиентами; имеющие большие объемы операций по ценным бумагам или большое количество таких операций, а также с профессиональными участниками рынка ценных бумаг или с управляющими на рынке коллективных инвестиций, несмотря на отсутствие прямого указания регулирующего органа для снижения рисков работы всех систем - сертифицированные СКЗИ.

    КОММЕНТАРИЙ СПЕЦИАЛИСТА

        О лицензировании деятельности и применении сертифицированных средств криптографической защиты информации (СКЗИ)
        Николай Соловьев
        АКБ "РОСБАНК"

        Подведение правовой основы под применение несертифицированных ФСБ СКЗИ, а также под деятельность без лицензий ФСБ, мне кажется, не вполне корректно. Есть же Федеральный закон "О лицензировании отдельных видов деятельности" от 8 августа 2001 г. №128-ФЗ. Во всех его редакциях статьей 4 определен критерий отнесения видов деятельности к лицензируемым:
        "К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием".
        Присутствие в законе таких видов деятельности, как распространение и техническое обслуживание криптографических средств, а также предоставление услуг в области шифрования информации, не позволяет относиться к этому "вольно".
        Не вызывают же разнообразные трактовки закона, например ст. 47 "Фармацевтическая деятельность" и ст. 48 "Производство лекарственных средств"! Придя в аптеку, каждый из нас хочет быть абсолютно уверен в том, что все предлагаемые лекарства соответствуют стандартам и произведены лицензиатом, а не являются контрафактом, даже если аптека предлагает их открыто, ссылаясь на "соглашение сторон", т. е. больного покупателя и успешного продавца, сиречь аптеки. Такие аналогии можно приводить и далее.
        Так что ссылка на п. 8 "Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005)", утвержденного Приказом Федеральной службы безопасности РФ от 9 февраля 2005 г. № 66, которая якобы позволяет применять несертифицированные СКЗИ по "соглашению сторон", неуместна.
        Организатор системы электронного документооборота (ЭДО), предлагая (!) данные технологии, которые, кстати сказать, могут оказаться и опасными при некорректной реализации, может "нанести ущерб" (см. Закон) участникам этой системы. Разнообразие же взглядов на то, какой должны быть системы ЭДО, объясняется существенными пробелами в законодательстве, в частности неудачным и неработающим законом "Об электронной цифровой подписи".

    • Рейтинг
    • 3
    Добавить комментарий
    Комментарии (1):
    Игорь
    10.03.2010 09:55:32
    Уважаемые! А откуда информация о структуре рынка СКЗИ? Есть ли какие-то обзоры в прессе?
    Содержание (развернуть содержание)
    Комплексный подход к организации системы ЭДО как необходимое условие успеха
    Мотивация будет задаваться регулятором
    Юридические аспекты применения ЭДО на финансовом рынке
    Закон о Центральном депозитарии как дополнительный стимул к использованию электронного документооборота
    ЭДО: технология, у которой много составляющих
    Актуальные вопросы создания единой системы электронного документооборота на российском финансовом рынке
    Стратегия развития электронного взаимодействия между профучастниками
    Новое в рабочей группе по выработке стандартов на рынке коллективных инвестиций
    Роль ЭДО в развитии рынка коллективных инвестиций
    Внедрение ЭДО - ключевая инфраструктурная задача развития рынка коллективных инвестиций
    Опыт организации ЭДО. Изменение характера рисков при внедрении ЭДО.
    Практический опыт Регистратора Р.О.С.Т. в ЭДО
    Еще немного о системах ЭДО
    Выбор средства криптографической защиты информации для использования в системах электронного документооборота депозитария
    Страхование как элемент комплекса мер по снижению рисков при переходе на ЭДО
    ЭДО НДЦ от магнитных носителей до интерактивного доступа. Часть 4

    • Статьи в открытом доступе
    • Статьи доступны на платной основе
    Актуальные темы    
     Сергей Хестанов
    Девальвация — горькое лекарство
    Оптимальный курс национальной валюты четко связан со структурой экономики и приоритетами денежно-кредитной политики. Для нынешней российской экономики наиболее логичным (и реалистичным) решением бюджетных проблем является девальвация рубля.
    Александр Баранов
    Управление рисками НПФов с учетом новых требований Банка России
    В III кв. 2016 г. вступили в силу новые требования Банка России по организации системы управления рисками негосударственных пенсионных фондов.
    Варвара Артюшенко
    Вместе мы — сила
    Закон синергии гласит: «Целое больше, нежели сумма отдельных частей».
    Сергей Майоров
    Применение blockchain для развития биржевых технологий и сервисов
    Распространение технологий blockchain и распределенного реестра за первоначальные пределы рынка криптовалют — одна из наиболее дискутируемых тем в современной финансовой индустрии.
    Все публикации →
    • Rambler's Top100