Приоритетные прикладные задачи для СУЦРФ



Nbsp; ОСНОВНЫЕ ПРИНЦИПЫ ФОРМИРОВАНИЯ СИСТЕМЫ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ РОССИЙСКОЙ ФЕДЕРАЦИИ (СУЦРФ)   г. Москва, 2003 г.            Содержание  Введение............................................................................................................................................ 3 Международная практика.................................................................................................. 4 Опыт организации ИОК............................................................................................................. 4 Российская практика.............................................................................................................. 5 Приоритетные прикладные задачи для СУЦРФ...................................................... 6 Предлагаемая архитектура СУЦРФ................................................................................ 7 Взаимодействие между компонентами ИОК................................................................ 7 Компоненты архитектуры мостового УЦ........................................................................ 8 Обеспечение функционирования СУЦРФ................................................................ 10 Органы управления СУЦ РФ.................................................................................................. 10 Координационный Комитет.................................................................................................. 10 Центр Управления Политиками........................................................................................... 10 Технологическая служба Федерального МУЦ................................................................ 11 Обеспечение информационной безопасности в УЦ.................................................. 11 Обеспечение совместимости применяемых технологий...................................... 12 Обеспечение подготовки специалистов........................................................................ 13 Функции элементов СУЦРФ............................................................................................... 14 Функции Федерального МУЦ................................................................................................ 14 Функции других участников СУЦРФ................................................................................ 15 Правовое регулирование СУЦРФ.................................................................................... 15 Этапы создания СУЦРФ......................................................................................................... 19 Приложение 1. Действующие нормативные документы, регулирующие использование цифровых сертификатов..................................................................................................................... 21 Приложение 2. Предварительный перечень лицензионных требований (рекомендаций) к УЦ 23 Приложение 3. Различные модели построения доверительных отношений        26  

Введение

   Настоящий документ разработан общественно-государственным объединением «Ассоциация Документальной Электросвязи» в соответствии с поручением Министерства Российской Федерации по связи и информатизации. В разработке и обсуждении документа принимали участие: Андреев Владимир Дмитриевич (ИнфоТеКС), Беззубцев Олег Андреевич (ФСБ), Белов Сергей Алексеевич (РНТ), Беляев Сергей Леонидович (ФСБ), Васьков Олег Викторович (Sun Microsystems), Велигура Александр Николаевич (АНДЭК), Володин Александр Владимирович (Центр Финансовых Технологий), Горбунов Алексей Викторович (РТКомм.РУ), Гусев Дмитрий Михайлович (ИнфоТеКС), Дегтярев Владимир Юрьевич (Демос-Интернет), Золотухина Алевтина Федоровна (Зенон Н.С.П.), Калайда Игорь Алексеевич (Гостехкомиссия России), Кирюшин Сергей Евгеньевич (Технический центр РТС), Козлов Андрей Геннадьевич (АНДЭК), Кремер Аркадий Соломонович (Исполком АДЭ), Кудрявцев Олег Анатольевич (Ингосстрах), Куранов Анатолий Иванович (Центральный телеграф), Курносов Иван Николаевич (Минсвязи России), Лебединский Сергей Михайлович (РТКомм.РУ), Лунин Анатолий Васильевич (ИнфоТеКС), Ляпунов Игорь Валентинович (ЛАНИТ), Маховик Леонид Павлович (Ростелеграф), Никишин Николай Александрович (ИнфоТеКС), Огородов Дмитрий Владимирович (Юридический Центр «Юрбиком»), Плеханов Анатолий Александрович (Минсвязи России), Поташников Александр Викторович (ИнфоТеКС), Сахаров Василий Петрович (Демос-Интернет), Семилетов Станислав Иванович (Институт государства и права РАН), Старков Роман Захарович (ИЦ ДЭС), Сухоруков Алексей Валерьевич (Технический центр РТС), Тинтман Александр Наумович (МО ПНИЭИ), Фадюшин Алексей Борисович (АНДЭК), Чапчаев Андрей Анатольевич (ИнфоТеКС), Чеглаков Сергей Иванович (ЛАНИТ), Эмм Максим Сергеевич (НИП Информзащита).

Успешная реализация Федеральной программы «Электронная Россия», развитие государственных и коммерческих информационных систем невозможны без использования средств надежной и оперативной аутентификации пользователей этих систем и контроля целостности исходящих от них электронных документов. Механизмы аутентификации и контроля целостности информации необходимы как на уровне отношений «госструктура – госструктура» (далее – «Уровень 1»), так и на уровнях «госструктура – хозяйствующий субъект» (далее «Уровень 2»), «хозяйствующий субъект – хозяйствующий субъект» (далее – «Уровень 3»)[1].

Одним из наиболее совершенных механизмов аутентификации участников информационных систем и контроля целостности электронных документов является электронная цифровая подпись (ЭЦП). В соответствии с федеральным законом “Об электронной цифровой подписи” для подтверждения подлинности ЭЦП должны использоваться сертификаты открытых ключей подписи, выдаваемые удостоверяющими центрами. Удостоверяющие центры составляют основу инфраструктуры открытых ключей (ИОК). Технология ИОК является наиболее эффективной и широко применяемой в мировой практике использования ЭЦП и других услуг информационной безопасности, например, защиты информации от разглашения и несанкционированной модификации.

В данном документе кратко рассматриваются возможные принципы формирования системы удостоверяющих центров РФ (СУЦ РФ) как ключевого звена в задачах реализации ИОК, позволяющей эффективно использовать новейшие достижения информационных технологий для автоматизации ведения государственных и коммерческих отношений как внутри России, так и во внешнеэкономической и внешнеполитической деятельности, в т. ч. и в свете планов вступления России в ВТО.

Задачами данного документа являются рассмотрение вариантов построения архитектуры СУЦРФ, принципов регулирования деятельности удостоверяющих центров, вопросов юридического, технического и образовательного обеспечения процессов выдачи цифровых сертификатов и использования электронной цифровой подписи в органах государственного управления и отношениях хозяйствующих субъектов, включая рекомендации по распределению финансовых рисков между участниками информационных систем.

Международная практика

В мире существует целый ряд органов стандартизации, созданных государственными и коммерческими организациями, а также их объединениями, заинтересованными в развитии инфраструктуры открытых ключей. Утверждённые этими организациями стандарты и рекомендации соответствуют единым принципам и по базовым моментам соответствуют друг другу. Эти документы, а также накопленный богатый опыт их применения целесообразно использовать для создания российской инфраструктуры открытых ключей, что важно в связи с перспективой участия России в международных организациях и ввиду возникающей возможности воспользоваться получившими широкое распространение и активно развиваемыми технологическими решениями, включая открытые платформы разработки программного обеспечения, поддерживаемые мировыми лидерами информационных технологий.

Вместе с тем, для того чтобы технология ИОК дала максимальный эффект, необходимо урегулировать ряд аспектов, в том числе вопросы правовых отношений и совместимости технологических практик применения открытых ключей различными субъектами. Иными словами, цифровые сертификаты, изданные одними субъектами электронных отношений для собственных нужд, должны быть, при соблюдении определенных соглашений, признаны другими.

Краткое описание различных моделей построения доверительных отношений представлены в Приложении 3

Опыт организации ИОК

В качестве примера организации ИОК рассмотрим систему, построенную в США, которая включает все перечисленные в Приложении 3 модели.

Для координации деятельности Федеральных агентств, применяющих или планирующих применять технологию открытых ключей в своей деятельности, Правительство США в 1996 году создало Федеральный Координационный Комитет (Federal PKI Steering Committee).

Федеральный Координационный Комитет является организацией добровольного участия. В Комитет входят представители заинтересованных федеральных Агентств, крупных сообществ и коммерческих структур.

К основным функциям Федерального Комитета относятся:

-обеспечение совместимости технологий открытых ключей;

       -выработка рекомендаций участникам;

-информационная поддержка всех, кто так или иначе применяет или планирует применять технологию ИОК.

 

При Комитете созданы три рабочие группы курирующие:

-правовые аспекты;

-экономические аспекты;

-технологические аспекты.

 

Базовым технологическим элементом структуры служит Федеральный Мостовой Удостоверяющий Центр - Federal Bridge Certification Authority (FBCA).

FBCA представляет собой совокупность нескольких кросс-сертифицированных Удостоверяющих Центров различных производителей и предназначен для обеспечения совместимости технологий, применяемых Федеральными ведомствами. Иными словами он обеспечивает возможность признания сертификатов, изданных одним ведомством другими.

Таким образом FBCA не предусматривает существования одного корневого (root) федерального Удостоверяющего центра, напротив FBCA – это совокупность УЦ, которую можно характеризовать как multi-root (многокорневой) УЦ.

За разработку, внедрение и эксплуатацию FBCA отвечает Федеральная Техническая служба - Federal Technology Service (FTS), которая входит в состав Сервисной Администрации - General Service Administration (GSA)– структуры, обслуживающей нужды Федерального Правительства.

В своей работе FTS руководствуется рекомендациями, разработанными федеральным Координационным Комитетом.

Создана специальная уполномоченная организация – Центр Управления политиками сертификации - Federal PKI Policy Authority. Центр управления устанавливает условия, которые должно выполнить то или иное ведомство для кросс-сертификации с FBCA, чтобы изданные его Удостоверяющим центром сертификаты могли признаваться другими ведомствами - участникам FBCA. По сути условием включения ведомственного УЦ в FBCA является положительный результат проверки Политики Сертификатов (Certificate Policy), принятой для ведомственного УЦ на соответствие требованиям Политики Сертификатов установленной FBCA.

Заметим, что кросс-сертификация с FBCA для ведомственных УЦ не является обязательной – они вполне могут ограничиться установлением горизонтальных взаимоотношений друг с другом.

 

Интересно отметить, что еще в 1996 году по инициативе GSA, при Федеральном Правительстве США был разработан и пущен в эксплуатацию проект под названием Access Certificates for Electronic Services (ACES), суть которого состояла в том, что через специальный Удостоверяющий центр, каждый желающий взаимодействовать с федеральными структурами мог получить цифровой сертификат. Одним из результатов этого проекта стало значительное снижение государственных затрат на обработку электронных тендерных заявок в системе госзаказов.

Российская практика

На настоящий момент в РФ в стадии разработки, пилотной или промышленной эксплуатации находится сразу несколько систем, использующих электронную цифровую подпись (ЭЦП).

Государственные структуры:

- Таможенный комитет,

- Аппарат Правительства Российской Федерации,

- Комитет по Финансовому Мониторингу

- Министерство по Налогам и Сборам,

- Государственный Пенсионный Фонд,

- Министерство обороны,

- Министерство Путей сообщения,

- Министерство РФ по связи и информатизации.

Открыто заявившие о себе и находящиеся на разной стадии готовности предоставлять публичные услуги:

- ЗАО “Удостоверяющий Центр” Санкт-Петербург,

- Удостоверяющий Центр Крипто-Про,

- Удостоверяющий Центр “Мосжилрегистрация”

- Удостоверяющий Центр РосНИИРОС,

- Удостоверяющий Центр МИТС,

- Удостоверяющий Центр Faktura.ru Центра Финансовых Технологий,

- Удостоверяющий Центр г. Курск,

- ЗАО “Удостоверяющий Центр” Приволжского Округа.

 

Кроме того, функционирует ряд корпоративных Удостоверяющих Центров банков, крупных компаний и предприятий, часть из которых обслуживает участников систем электронной торговли.

Необходимо отметить и новое явление в формировании коммерческого сектора – попытки создания ассоциаций с целью объединения эксплуатируемых их членами Удостоверяющих Центров под эгидой одного межкорпоративного мостового УЦ. В частности, в марте 2003 года, ряд российских банков, Национальная ассоциация участников фондового рынка (НАУФОР), Ассоциация российских банков (АРБ) и Партнерство для развития информационного общества России (ПРИОР) подписали меморандум о создании некоммерческой организации «Ассоциация участников доверительного электронного документооборота» (АУДЭД).

Приоритетные прикладные задачи для СУЦРФ

Дальнейшее развитие информационно-коммуникационных технологий (ИКТ), вызванное потребностями развития экономики, приводит к тому, что ИКТ из средства информатизации («однонаправленного информирования») постепенно превращается в инструмент управления и повседневного «двустороннего» взаимодействия между собой государства, граждан и бизнеса.

По мере перенесения практики социальных и деловых отношений государства, граждан и бизнеса на Интернет/Интранет приложения все большую роль будет играть ИОК, призванная повысить эффективность этих отношений и обеспечить преемственность исторически сложившихся юридических норм и практики. Центральным звеном всей национальной ИОК должна стать адекватная Система УЦ РФ, способная уже на начальном этапе развертывания обеспечить решение наиболее приоритетных прикладных задач.

Первоочередные прикладные задачи целесообразно разделить на три группы. К первой группе отнести прикладные задачи в сфере отношений «госструктура – госструктура», ко второй группе – прикладные задачи из сферы отношений «госструктура – хозяйствующий субъект» и к третьей группе – задачи из сферы «государство – население». Главным критерием при выборе приоритетов должен быть критерий роста и эффективности национальной экономики, именно этот критерий должен быть положен в основу выбора и/или пересмотра приоритета для той или иной прикладной задачи.

Характерными примерами являются:

 

В отношениях госструктура - госструктура:

- переход на безбумажный ведомственный документооборот, что по разным оценкам снижает затраты учреждения на обработку документов в 10-20 раз, при этом время обработки документа уменьшается с дней до часов или даже секунд (при использовании средств автоматизированной обработки),

- обеспечение конфиденциальности переписки (что, в условиях широкого применения средств перехвата электронных сообщений становится все более актуальным, особенно в проектах оборонного и исследовательского характера),

- повышение ответственности служащих (функция неотказуемости),

- организацию эффективного управленческого документооборота, обслуживающего не только исполнительскую вертикаль министерств и ведомств, но и горизонтальную координацию между ними,

- создание межведомственных закрытых и публичных «Электронных форумов» для обеспечения эффективной проработки и реализации внутриведомственных и межведомственных проектов (включая законодательные инициативы, бюджетные предложения и т.д.),

Не менее важны аспекты использования ЭЦП в отношениях государство – хозяйствующий субъект. Из основных можно отметить:

- создание на основе единой PKI «Электронных конкурсных площадок» для проведения конкурсов на получение госконтрактов, продажу имущества, недвижимости, продажи/выделения земельных участков и т.д.,

- создание системы госзакупок через специальные порталы - здесь также экономический эффект достигается снижением стоимости и времени на обработки конкурсных заявок и, как следствие, увеличением оборачиваемости бюджетных средств,

- создание унифицированных систем для работы с подотчетными лицами («работодатели – Пенсионный фонд», «налогоплательщики – МНС» и т.д.).

Важную роль ЭЦП может сыграть в отношениях государство – население:

- развитие на основе Web технологий и инфраструктуры PKI систем «электронного голосования», что позволит обеспечить более тесную интеграцию «электората» в системы самоуправления различного уровня и обеспечить более эффективное развитие демократических процессов на местном и федеральном уровне, практически исключит возможность различных злоупотреблений в ходе тех или иных выборов (референдумов) за счет уникальности сертификатов ЭЦП выборщиков (голосующих).

- создание электронного удостоверения личности – электронный паспорт – перенос идентификаторов личности на электронный носитель с использованием криптографических средств защиты, что повышает защищенность удостоверения в 106 раз и, кроме стандартных данных, обычных для бумажного паспорта может содержать цифровой сертификат, данные социального страхования и т.д.

В примере с электронным паспортом очевидна необходимость однозначно (доказуемо) идентифицировать личность участника электронного общения. Но это лишь один из возможных способов использования сертификатов, поэтому технология К числу первоочередных прикладных задач первой группы «госструктура – госструктура» целесообразно отнести (включая, но не ограничиваясь) следующие задачи:

1.Организацию с использованием возможностей Системы УЦ РФ эффективного управленческого документооборота, обслуживающего не только исполнительскую вертикаль министерств и ведомств, но и горизонтальную координацию между ними, что позволит персонализировать ответственность во всей исполнительской цепочке и получить исходные данные для решений по дебюрократизации и повышению эффективности деятельности госаппарата.

2.1.Организация с использованием ИОК внутриведомственных и межведомственных закрытых и публичных «Электронных форумов» для обеспечения эффективной проработки и реализации внутриведомственных и межведомственных проектов (включая законодательные инициативы, бюджетные предложения и т.д.), направленных на развитие сегментов экономики, определяющих потенциал ее роста в целом.

 

К числу первоочередных задач второй группы «госструктура – хозяйствующий субъект» целесообразно отнести (включая, но не ограничиваясь):

1.Создание «Электронных конкурсных площадок» для проведения конкурсов на получение госконтрактов, продажу имущества, недвижимости, продажи/выделения земельных участков и т.д., то есть везде, где необходимо обеспечить прозрачность отношений бизнеса и государства и исключить возможность коррупции и неразумных издержек и затрат, обеспечить доступность госзаказов и госконтрактов на равных крупному, среднему и мелкому бизнесу, унифицировать и создать единые правила проведения подобных конкурсов всеми ведомственными структурами.

2.1.Создание на основе единой ИОК интегрированной системы для работы с подотчетными лицами («работодатели – Пенсионный фонд», «налогоплательщики – МНС» и т.д.) за счет эффективной кроссертификации УЦ разных ведомств и интеграции технологий различных производителей УЦ, что позволит оптимизировать выделение бюджетных ресурсов и уменьшить накладные расходы на решение этой задачи разными ведомствами.

3.1.Создание «Интерактивных Порталов Развития и Кооперации мелкого и среднего бизнеса» с механизмами ИОК для включения мелких и средних предприятий в «электронную» экономику на равных с крупными корпорациями, которые в отличие от небольшого бизнеса уже сегодня обладают собственными значительными ресурсами для развития инструментов электронной торговли.

 

К числу первоочередных задач в третьей группе «государство – население» целесообразно отнести (включая, но не ограничиваясь):

1.Развитие на основе Web-технологий и инфраструктуры ИОК систем «электронного голосования», что позволит обеспечить более тесную интеграцию «электората» в системы самоуправления различного уровня и обеспечить более эффективное развитие демократических процессов на местном и федеральном уровне, практически исключит возможность различных злоупотреблений в ходе тех или иных выборов (референдумов) за счет уникальности сертификатов ЭЦП выборщиков (голосующих).

 

Перечень приоритетных прикладных задач является предварительным и подлежит уточнению по мере развертывания работ в рамках Уполномоченного Федерального Органа.

 

Прикладные задачи из разряда отношений «хозяйствующий субъект – хозяйствующий субъект» в настоящем разделе подробно не рассматриваются, так как они будут регулироваться участниками корпоративных информационных систем самостоятельно. В то же время необходимым условием успешного развития электронной коммерции является возможность выдачи необходимого разнообразия сертификатов. Инфраструктура открытых ключей ИОК предусматривает возможность наличия у одного пользователя нескольких сертификатов (в России эта возможность закреплена законом “Об электронной цифровой подписи”).


Дата добавления: 2018-04-04; просмотров: 107;