В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Сергей Муругов,
генеральный директор ООО "Топ Кросс"
Исходящая и соответственно входящая информация для информационных систем организаций представляет собой более сложную структуру, нежели просто электронный документ, пусть даже с ЭЦП. В соответствии с действующим ГОСТ Р ИСО 15489-1-2007, помимо содержания документ должен иметь соотнесенные с контентом метаданные, отражающие операции деловой деятельности, и быть постоянно связанным или объединенным с ними. Такого рода метаданные, сопровождающие документ, должны содержать указания, обеспечивающие пригодность документа для последующего его использования, отражающие возможность локализации и поиска документа, воспроизводимости электронного документа техническими средствами визуализации.
Еще одна очень важная отличительная особенность обращения электронных документов - это то, что в ряде случаев документ имеет период действительности, то есть информация, содержащаяся в документе, может потерять свою актуальность, к тому же часто возникает потребность, вызванная спецификой деловой активности, в преждевременном отзыве документа. Наиболее яркий пример таких документов - различного рода разрешения.
Все сказанное, безусловно, накладывает определенные требования на техническую реализацию информационного контейнера электронного документа, который был бы способен к аудиту и документированию и являлся бы защищенной транспортной оболочкой для исходящей/входящей документации юридического лица во взаимодействии разнородных информационных систем, автоматизирующих процессы деловой активности. Очевидно, что фактический состав, структура контейнера будет отражать специфику прикладной области, но можно выделить некоторые общие правила при выборе технической реализации контейнера:
Очевидно, что привычный всем формат ЭЦП в виде CMS или PKCS#7 или "подпись с расширенными данными для проверки" по ETSI TS 101 733 в явном виде не сможет обеспечить все вышеперечисленные требования.
Одним из вариантов решения данной задачи может выступать использование в качестве такого рода контейнера атрибутного сертификата в соответствии с международными рекомендациями RFC 3281, допускающими такой режим использования атрибутного сертификата.
По предварительному анализу некоторых видов деловой активности можно явно выделить приложения использования такого рода контейнера ("удостоверяющего свидетельства"):
В общем виде можно выделить следующие принципы:
В этом случае обеспечивается:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2009