Построение системы с применением ЭЦП и/или шифрования

Юрий Маслов,
коммерческий директор ООО "КРИПТО-ПРО"

2008 год уже заканчивается, но до сих пор приходится сталкиваться с некоторой безграмотностью, а иногда и с безответственностью при создании информационных систем с применением шифровальных (криптографических) средств для применения ЭЦП и шифрования. Попробуем обобщить опыт наиболее распространенных ошибок и дать советы, которые, возможно, будут полезны как заказчикам таких систем, так и интеграторам.

Обязанности и рекомендации

• Если заказчик является федеральным органом исполнительной власти или органом исполнительной  власти субъекта Российской Федерации, то он должен в техническом задании для интегратора поставить работу о проведении тематических исследований на корректность встраивания шифровальных (криптографических) средств с последующим получением соответствующего заключения в 8-м Центре ФСБ России. Это определено Положением ПКЗ-2005.
• Если заказчик не относится к федеральным органам исполнительной власти или органам исполнительной власти субъекта Российской Федерации, то ему рекомендуется в техническом задании для интегратора поставить работу о проведении анализа корректности встраивания шифровальных (криптографических) средств у разработчика применяемых шифровальных (криптографических) средств.

При этом не важно, что шифровальное (криптографическое) средство представляет собой криптопровайдер и вызывается через MS CryptopAPI или объекты CAPICOM. Его встраивание должно быть выполнено профессионально и контролируемо.

Удостоверяющий центр: параметры выбора

При применении в информационной системе ЭЦП должен быть создан удостоверяющий центр (УЦ) как организационная единица, а не как набор технических и программных средств. Важно помнить, что создание собственного УЦ не всегда оправдано. Иногда целесообразно воспользоваться услугами стороннего УЦ, при выборе которого рекомендуется пользоваться следующими параметрами, говорящими об устойчивости УЦ:

• количество систем удостоверяющих центров, в которые он входит как доверенный (сеть доверенных УЦ ФНС России, система УЦ "Портал доверенных услуг" и т.д.);
• наличие у удостоверяющего центра лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации дополнительно к трем лицензиям ФСБ России;
• наличие у удаленных центров регистрации УЦ-лицензий лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации дополнительно к трем лицензиям ФСБ России;
• готовность УЦ подготовить и согласовать с заказчиком отдельный регламент услуг УЦ для обслуживания пользователей информационной системы заказчика.

Инструкции

"Продвинутые" специальные программные комплексы автоматизации деятельности УЦ и/или управления сертификатами открытых ключей (например, ПАК "КриптоПро УЦ") имеют программные интерфейсы для интеграции с программным обеспечением информационной системы (для исключения двойного ввода учетной информации, автоматизации отдельных процедур, получения справочной информации). Поэтому заказчику и интеграторам необходимо проанализировать такие возможности интеграции для оптимизации работы информационной системы.

Для пользователей информационной системы должна быть разработана инструкция, которая содержит положения о работе с шифровальным (криптографическим) средством, о мерах по защите ключей и ключевых носителей, о порядке смены ключей и сертификатов открытых ключей, о действиях в случае явной или неявной компрометации. Естественно, что данная инструкция должна содержать подробные термины и определения для того, чтобы пользователь мог грамотно ее выполнять и общаться с администраторами информационной системы, специалистами технической поддержки и УЦ.

Заказчик должен внимательно ознакомиться с эксплуатационной документацией на шифровальные (криптографические) средства, предлагаемые ему интегратором для использования в информационной системе. Стоит обратить внимание на условие эксплуатации (класс защиты, требования к ПЭВМ, дополнительные средства, которыми должна оснащаться ПЭВМ). Возможно, что условия эксплуатации окажутся неприемлемыми, а их невыполнение приводит к потере свойства сертифицированное™ шифровального (криптографического) средства.

При применении ЭЦП в информационной системе регламент информационной системы должен содержать приложение, которое раскрывает условия исполнения электронных документов, удостоверенных ЭЦП: какие типы документов, в каком формате, какие сертификаты ключей подписей признаются действительными в этой системе и т.д.