Рубрикатор |
Статьи | ИКС № 12 2010 |
Алексей САБАНОВ | 08 декабря 2010 |
Защитим электронный документооборот
Лозунг из заголовка – требование момента. Особенно с вступлением в действие федеральной системы межведомственного электронного взаимодействия (см. «ИКС», № 11’2010, с. 6). Что представляет собой такая защита, рассказал Алексей САБАНОВ, заместитель гендиректора компании «Аладдин Р.Д.».
– Насколько велика сегодня потребность российских органов власти в системах защищенного документооборота? В каких случаях, на каком уровне госуправления их использование необходимо?
– Можно выделить несколько причин, по которым именно сейчас организация защищенного электронного документооборота становится объектом пристального внимания. Во-первых, при непосредственном участии руководителей государства интенсифицируется переход к оказанию госуслуг в электронном виде. Обмен электронными документами быстро набирает «критическую массу», при которой неизбежно встают вопросы защиты конфиденциальной информации, в частности, персональных данных. Услуги, предоставляемые в электронном виде, должны базироваться на защищенном электронном документообороте, поскольку формированию электронного документа для физического или юридического лица, как правило, предшествует обмен документами нескольких ведомств. И этот процесс не должен быть общедоступным.
Во-вторых, госорганизации, работающие с гражданами и юридическими лицами, в массе своей начинают осознавать необходимость внедрения электронного документооборота. При этом первостепенный вопрос – применение средств защиты для обеспечения целостности и конфиденциальности информации, содержащейся в электронных документах, а также подтверждения их авторства. Появляется реальная потребность в наделении электронных документов юридической силой наравне с бумажными.
Защищенный документооборот нужен сегодня на всех уровнях госуправления. Другое дело – на всех ли этих уровнях необходима юридическая значимость электронных документов? В первую очередь она нужна для документов, которые могут иметь правовые последствия для граждан и организаций.
– Каков пул поставщиков таких решений? Отмечаете ли вы тенденцию к его расширению?
– Рынок разработчиков систем электронного документооборота в настоящее время близок к насыщению. Наиболее известные игроки объединились в Гильдию управляющих документацией. В нее входят ведущие практики и ученые, руководители делопроизводственных подразделений федеральных и региональных органов законодательной и исполнительной власти, крупных компаний, предприятий, банков. Цель работы Гильдии – обмен опытом и координация деятельности профессионалов в области СЭД, содействие своим участникам, а также широкой профессиональной общественности в распространении передового отечественного и мирового опыта в сфере управления документацией и электронного документооборота.
Поскольку сегодня интерес к системам защищенного документооборота растет, не исключена возможность появления новых, хорошо подготовленных и агрессивных игроков. Системы электронного документооборота внедрялись у нас несистемно, поэтому существует много отраслевых ниш, пока не заполненных специализированными, полностью «обкатанными» решениями.
Почти у всех разработчиков есть системы в защищенном исполнении. Но что понимается под защитой? Некоторая часть разработчиков СЭД уверена, что, «прикрутив» электронную подпись и даже не пройдя испытаний на корректность использования средств криптографической защиты информации (СКЗИ) по требованиям ФСБ России, они предоставляют рынку систему защищенного документооборота. Это не так. Именно по этой причине внедрение защищенного документооборота в органах государственной власти, как правило, выполняют интеграторы, имеющие в штате высококвалифицированных специалистов по защите информации, а также обладающие опытом и соответствующими лицензиями ФСБ и ФСТЭК России.
Вторая проблема заключается в том, что «коробочную» версию, пригодную для внедрения в любом органе госвласти, создать весьма непросто. Зачастую отечественные разработчики начинают с заказной системы документооборота, предназначенной для одного клиента, пусть даже крупного и имеющего разветвленную инфраструктуру и различные прикладные системы. Если заказчик внедрением доволен, у разработчика возникает уверенность, что программный продукт «встанет» и в других организациях. Однако, оказывается, что для каждого отдельного заказчика требуется доработка продукта с учетом особенностей бизнес-процессов, инфраструктуры, возможностей интеграции с существующим системным и прикладным ПО.
– Каким набором сертификатов и других разрешительных документов должен обладать поставщик СЭД, позиционирующий свое решение как защищенное?
– По-хорошему, разработчику систем защищенного электронного документооборота надо получить две основные лицензии ФСТЭК России: на деятельность по разработке и/или производству средств технической защиты конфиденциальной информации и на деятельность по технической защите конфиденциальной информации – в случае самостоятельных внедрений и последующего оказания услуг.
Если поставщик СЭД встраивает СКЗИ в свое ПО, то ему необходима лицензия ФСБ России на разработку и производство средств криптографической защиты. В этом случае нужно исходить из того, что компания планирует делать, так как в лицензии могут содержаться разные формулировки (разрешения). Например, только разработка и производство или разработка и производство информационных или телекоммуникационных систем с использованием криптосредств и т.п. В лицензии могут быть использованы все формулировки, относящиеся к разработке и производству.
Руководящие документы в сфере межведомственного взаимодействия
Постановление Правительства РФ № 931 от 25.12.2007 «О некоторых мерах по обеспечению информационного взаимодействия государственных органов и органов местного самоуправления при оказании государственных услуг гражданам и организациям».
Постановление Правительства РФ № 477 от 15.06.2009 «Об утверждении правил делопроизводства в федеральных органах исполнительной власти», содержащее раздел «Особенности работы с электронными документами» и перечень обязательных сведений об электронных документах.
Приказ Минкомсвязи № 41 от 23.03.2009 «Об утверждении Требований к технологиям, форматам, протоколам информационного взаимодействия, унифицированным программно-техническим средствам подсистемы удостоверяющих центров общероссийского государственного информационного центра».
Постановление Правительства РФ № 697 от 08.09.2010 «О единой системе межведомственного электронного взаимодействия».
|
Для того чтобы продавать СЭД со встроенными СКЗИ, собственные или сторонних фирм, в том числе иностранных, разработчику требуется лицензия ФСБ России на распространение СКЗИ. Если же разработчик планирует оказывать дополнительные услуги – предоставление защищенных каналов передачи данных, ключевой информации (удостоверяющие центры) или обслуживание криптосредств сторонних организаций, то ему понадобится лицензия на предоставление услуг в области шифрования информации. Для оказания услуг сопровождения и обслуживания криптосредства или информационных систем разработчику необходима лицензия на техническое обслуживание. Кроме того, в ряде случаев могут потребоваться сертификаты ФСБ России на разработанные средства технической защиты информации.
Как правило, разработчики привлекают для выполнения работ по встраиванию криптосредств лицензиатов ФСБ России, поскольку самим получать указанные лицензии слишком долго и дорого. К тому же в штате надо иметь обученных специалистов.
– Какие организационные и технические меры должны приниматься для защиты внутриведомственного и межведомственного документооборота?
– Хотелось бы, чтобы в каждом ведомстве защищенный документооборот строился на основе классического подхода к созданию защищенных систем: оценка рисков – концепция безопасности – модель угроз – модель нарушителя – модель защиты – выбор средств защиты и построение комплекса средств ИБ – управление безопасностью – аудит – совершенствование комплекса средств ИБ. по поручению Минкомсвязи за проект системы межведомственного электронного взаимодействия энергично взялась команда профессионалов «Ростелекома» и компании РНТ. Теперь вопросы информационной безопасности поставлены во главу угла. В докладе Валерия Зубахи, директора проекта «Электронное правительство», на состоявшемся в Санкт-Петербурге PKI-форуме сообщалось, что 15 из 19 федеральных органов власти уже начали межведомственный обмен по защищенным каналам. Это вселяет оптимизм.
– Как, по вашей оценке, решаются сегодня проблемы информационной безопасности, возникающие при взаимодействии органов государственной власти, МФЦ и граждан?
– К сожалению, в абсолютном большинстве случаев эти проблемы остаются за кадром. Те ведомства и подчиненные им предприятия, которые реально защищали свои базы данных, их передачу и обработку до появления требований ФЗ-152 «О персональных данных», продолжают это делать и сейчас. Многие компании, которые до 2006 г. не уделяли пристального внимания вопросам защиты, ФЗ-152 заставил этим заниматься, и положительная динамика налицо. Однако темпы выполнения законодательных требований в области защиты персональных данных, о которых можно судить по количеству уведомлений в адрес Роскомнадзора, не устраивают ни граждан, ни регуляторов. Один из важных моментов деятельности электронного правительства – доверие к его технологиям со стороны граждан и юридических лиц. Доверие в данном случае может быть основано на использовании проверенных временем и сертификационными испытаниями технических средств защиты при организации защищенного документооборота и межведомственного обмена электронными документами. Степень доверия будет повышаться, если о применяемых для защиты персональных данных средствах защиты будут знать все участники информационного обмена.