Типовая схема организации юридически значимого документооборота
В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
Типовая схема организации юридически значимого документооборота
Для создания и применения защищенного юридически значимого электронного документооборота необходимо:
- организовать удостоверяющий центр;
- внедрить систему защищенного, юридически значимого электронного документооборота.
Для уменьшения рисков применения ЭЦП необходимо автоматизировать процесс работы с помощью сертифицированного специального программного обеспечения УЦ. Сертификация производится ФСБ России. При сертификации определяются условия эксплуатации специального программного обеспечения УЦ, вследствие чего появляется перечень технических и программных средств, которые должны эксплуатироваться в УЦ для обеспечения информационной безопасности УЦ.
Серверные компоненты УЦ должны размещаться в стоечном оборудовании серверного помещения, оснащенного системой разграничения доступа, вентиляцией, кондиционированием и пожарной сигнализацией. Серверы УЦ должны быть оборудованы средствами защиты от несанкционированного доступа (типа "электронный замок"), средствами резервного копирования и восстановления данных, антивирусным программным обеспечением. Подключение в сеть предприятия осуществляется через межсетевые экраны, сертифицированные не ниже 4-го класса по требованиям ФСБ России. Основная информация серверных компонентов У Ц должна располагаться на сертифицированных защищенных съемных ключевых носителях.
Рабочие места (компьютеры) персонала УЦ, на которых используются клиентские компоненты специального программного обеспечения УЦ, должны также обеспечиваться мерами защиты.
Организационно-штатное обеспечение включает в себя обучение персонала работе со специальным программным обеспечением УЦ, обеспечение лицензирования деятельности УЦ.
Удостоверяющему центру необходимо получить 3 лицензии ФСБ РФ: распространение шифровальных (криптографических) средств, техническое обслуживание шифровальных (криптографических) средств, предоставление услуг шифрования. Обычно организационно-распорядительная документация включает в себя Положение об УЦ, комплект должностных инструкций и приказов персонала УЦ, технологические карты деятельности персонала УЦ, журналы. В соответствии с нормами 1-ФЗ "Об ЭЦП" необходимо зарегистрировать сертификат уполномоченного лица УЦ в реестре сертификатов, который ведет Федеральное агентство по информационным технологиям ("Росин-формтехнологии").
Документационное обеспечение УЦ включает в себя регламенты деятельности УЦ, определяющих порядок оказания услуг УЦ. Одновременно может быть несколько регламентов оказания услуг УЦ, определяющих разные порядки, с учетом специфики разных систем документооборота. Кроме того, документационное обеспечение УЦ обычно включает в себя соглашения по оказанию услуг для различных информационных систем, заключаемые между УЦ и организацией, эксплуатирующей систему документооборота.
При внедрении системы электронного документооборота (СЭД) также необходимо выполнить ряд мер, обеспечивающих применение ЭЦП в условиях равнозначности собственноручной подписи.
Эти меры включают в себя защиту рабочих станций и серверных компонентов системы документооборота. Требования к техническим и программным средствам рабочих станций и серверов проистекают из требований средств криптографической защиты информации (средств ЭЦП), которые на них эксплуатируются. Как правило, на серверах устанавливается класс защиты КС2, что означает оснащение их приблизительно так же, как и серверы УЦ. На рабочих местах пользователей устанавливается класс защиты КС1, что означает оснащение их средствами антивирусной защиты с хранением ключей ЭЦП и шифрования на сертифицированных защищенных съемных ключевых носителях.
Регламентные документы СЭД должны содержать порядок применения ЭЦП в СЭД, содержащий положения об условиях исполнения документов с ЭЦП, типы документов, к которым применима ЭЦП, и порядок рассмотрения конфликтов с ЭЦП.
Опубликовано: Каталог "IT-SECURITY. Системы и средства защиты информации"-2008
