Как защитить электронную подпись

Подлинность электронного документа (ЭД) при обмене информацией может быть обеспечена различными способами. Один из способов — электронная подпись (ЭП), зависящая как от идентификатора отправителя, так и от содержания ЭД. Получатель при этом может проверить подлинность ЭП отправителя конкретного ЭД.

К сожалению, сегодня в специальной литературе имеют место различные толкования соотношения понятий «идентификация», «аутентификация» и «авторизация». Поэтому мы еще раз подчеркнем следующее. Идентификатор — набор символов, служащий для виртуального подтверждения личности. Для проверки подлинности личности используется аутентификация. На основе идентификации/аутентификации при обмене информацией устанавливается авторизация субъекта, в результате чего ему предоставляются определенные права. В банковской сфере: «Авторизация — разрешение, предоставленное эмитентом для проведения операций с использованием банковской карты и порождающее его обязательство по исполнению представленных документов, составленных с использованием банковской карты». [1]

Методы авторизации могут быть разными, например, менее или более «строгими», что наглядно проявляется при предоставлении государственных и муниципальных услуг в электронном виде. Многие услуги предоставляются при использовании, условно говоря, известных не строгих методов авторизации. Для волеизъявления и изменения своих прав необходимы более строгие методы авторизации, поскольку волеизъявления, изменение прав и персональных данных могут оказать влияние не только на гражданина, выступающего субъектом отношений, но и на других членов общества.

В системах электронного взаимодействия роль ЭП выполняет криптографическое преобразование. При этом, достоверность ЭП обеспечивается доверенной средой выполнения процедуры подписи, и поэтому доверенной ЭП является ЭП, установленная на доверенном компьютере.

С одной стороны, пользователь вправе сам выбрать, какой метод авторизации достаточен для того, чтобы просто, недорого и с достаточной надежностью получить данные из системы. С другой стороны, если речь идет об информации, содержащей юридические факты (о чем говорилось выше), то в них источник требуемых данных должен быть зафиксирован, т.е. подписан ЭП. Из этого вытекает, что такие данные должны были поступать из доверенной системы или в результате доверенных сеансов.

Можно констатировать: если обеспечивается доверенное взаимодействие, то могут предоставляться практически любые услуги в электронном виде, если доверенное взаимодействие отсутствует, то могут предоставляться услуги, риски по которым допустимы для системы электронного взаимодействия и приемлемы для пользователя.

Необходимо отметить, что сфера ЭП регулируется большим количеством нормативных правовых актов различного уровня, важнейшим из которых является Федеральный закон «Об электронной подписи» — № 63-ФЗ от 06.04.2011г. Но, специалисты сталкиваются с тем, что в правовом обеспечении ЭП имеются заметные недостатки. Экспертами соответственно выделяется следующая проблемная правовая область, требующая совершенствования: доверенная интерактивная среда оборота ЭД, включающая механизмы идентификации и проверки полномочий уполномоченных лиц, а также механизмы оборота юридически значимых ЭД на всех уровнях и между субъектами отношений на основе единых стандартов и регламентов. [2]

Известно, что ЭП использует ключ подписи (КП), который не должен быть никому известен, поскольку именно он обеспечивает свойства ЭД, связанные с тем, что снабдить документ ЭП может только его автор или владелец. Отсюда необходимость сохранности КП и его минимального присутствия в системе (в буквальном смысле!) на протяжении всего жизненного цикла КП. Минимальное присутствие КП в системе может быть обеспечено, если ЭП реализуется в отдельном устройстве, не имеющим общей памяти с другими элементами системы взаимодействия. [3]

Таким недорогим, удобным для использования и эффективным USB-устройством на рынке информационной безопасности является средство электронной подписи (СЭП) «МАРШ!», который одновременно представляет собой и средство обеспечения доверенного сеанса — (СОДС) «МАРШ!». [4]

Литература

1. Положение № 23-П ЦБ РФ «О порядке эмиссии кредитными организациями банковских карт и осуществление расчетов по операциям, совершаемых с их использованием» от 09.04.1998г. (В ред. Указание ЦБ РФ от 28.04.2004г. № 1426-У).

2. Законодательная база электронного документооборота в Российской Федерации. // 31.05.2011.

3. В.А. Конявский. Идентификация в области электронного правительства. // 2010. www.okbsapr.ru

4. Ю. Акаткин. Информационная безопасность финансового института. Что предлагает рынок для защиты информации. // Национальный банковский журнал. Апрель (№ 4) 2013 г.

Автор: Акаткин Ю. М.

Дата публикации: 01.01.2013

Библиографическая ссылка: Акаткин Ю. М. Как защитить электронную подпись // Национальный Банковский Журнал. 2013. № 8. С. 111.

---