Безопасность электронных торгов: баланс доступности и эффективности

- Расскажите, пожалуйста, какие проекты в сфере информационной безопасности реализованы в рамках Ассоциации электронных торговых площадок (АЭТП)?
- Проекты в сфере информационной безопасности в рамках АЭТП реализуются на основе аттестованных технологий по информационной безопасности с использованием централизованной базы данных учетных записей, политик, сертификатов, шифрование трафика, систем предотвращения вторжения извне, систем утечек информации изнутри и т.д.

- С какими проблемами вы сталкиваетесь при обеспечении информационной безопасности?
- Вопросы, которые нам приходится решать, в основном стандартные и заключаются в реализации баланса между доступностью и защитой информации. В частности, с одной стороны, она должна быть доступна адресно всем заинтересованным лицам, а с другой - необходимо предупредить ее несанкционированную утечку вовне. Таким образом, доступ к информации должен осуществляться с учетом требований и рекомендаций регуляторов, а информационная система соответствующим образом аттестована.

- Расскажите, пожалуйста, о своем опыте взаимодействия с удостоверяющими центрами и о Центре авторизации АЭТП. Какие трудности возникают при совместной работе и как вы их решаете?
- Формирование конструктивных отношений с удостоверяющими центрами изначально рассматривалось нами как одна из важнейших задач. АЭТП выступает в роли интегратора сети удостоверяющих центров (УЦ) и электронных торговых площадок (ЭТП) в России. Отмечу, что каждая ЭТП и каждый УЦ имеют свою специфику, выраженную в различии подходов к обеспечению информационной безопасности с учетом требований местных регуляторов, а также технологических решений. Более того, удостоверяющие центры можно подразделить на крупные (с большим опытом работы и сетью региональных отделений) и небольшие, которые еще не имеют достаточных навыков устранения возникающих проблем, связанных, в частности, со своевременным распознанием мошенников и недобросовестных контрагентов.

Одна из главных задач, которую с успехом решает АЭТП, заключается в квалифицированной помощи маленьким и средним УЦ, так как наше профессиональное сообщество глубоко заинтересовано в том, чтобы свести к минимуму риски для себя и наших клиентов, которые в случае ошибки при выпуске и управлении сертификатами ключей подписей удостоверяющего центра могут расстаться со значительными суммами.

На сегодняшний день центром авторизации АЭТП накоплен серьезный опыт, который позволяет оперативно разобраться и оценить уровень подготовки претендующего на авторизацию удостоверяющего центра. В обязательном порядке комиссия по авторизации выезжает в каждый удостоверяющий центр, знакомится с персоналом и условиями его работы. В результате практически все наши партнеры высказывают благодарность за оказываемую им в ходе данных проверок помощь. Не стоит забывать и о том, что центр авторизации ассоциации во взаимоотношениях удостоверяющего центра с электронными площадками выступает в роли страховщика ответственности УЦ. То есть мы не только проверяем, контролируем деятельность авторизованных удостоверяющих центров, но и несем за них материальную ответственность.

Совсем недавно мы организовали закрытый электронный форум для наших партнеров, где можно открыто обсуждать возникающие проблемы и коллективно находить их решения.

- За счет каких средств, кроме криптографии, удается обеспечить безопасность проведения электронных торгов?
- В первую очередь безопасность электронных аукционов - это идентификация и аутентификация всех участников размещения заказа, уверенность в том, что используемый тем или иным лицом сертификат ключа электронной цифровой подписи изготовлен в установленном порядке.

Поэтому одна из наших главных задач заключается в обеспечении условий для функционирования авторизованных удостоверяющих центров согласно правилам той или иной информационной системы, помощи персоналу центра в самых сложных ситуациях.

Мы уверены, что необходимый эффект достигается не там, где реализация режимных мер осуществляется формально, а в тех УЦ, где должное внимание уделяется обучению персонала.

Во-вторых, безопасность проведения всех операций на электронных аукционах обеспечивается всей выстроенной системой реализации государственных требований по обеспечению информационной безопасности. Здесь и лицензионные требования ФСБ России, их нормативная база по разработке, распространению, эксплуатации средств криптографии, здесь и требования ФСТЭК РФ, касающиеся технической (аппаратной) защиты информации.

Но учитывая, что человеческий фактор играет далеко не последнюю роль, оба указанных компонента на практике должны быть реализованы в тесной взаимосвязи.

- Расскажите, пожалуйста, о взаимодействии АЭТП и ФАС.
- Начиная с июля 2009 г. действует соглашение об информационном взаимодействии Ассоциации электронных торговых площадок с Федеральной антимонопольной службой России. Одним из направлений сотрудничества является создание, внедрение и использование информационных систем, способствующих повышению уровня прозрачности государственных, коммерческих, корпоративных и муниципальных закупок в Российской Федерации. Соглашение предусматривает обмен сведениями, опытом, методиками и научными материалами, проведение совместных мероприятий. Предполагается также сотрудничество в области реализации инновационных программ, способных повысить эффективность рынка электронной торговли и сделать рынок государственного и муниципального заказа доступным и транспарентным.