О применении электронной цифровой подписи в корпоративной информационной системе

О применении электронной цифровой подписи в корпоративной информационной системе

Александр Фураков, заместитель коммерческого директора ООО "КРИПТО-ПРО"

В НАСТОЯЩЕЕ время применение электронной цифровой подписи (ЭЦП) получило уже достаточно широкое распространение в различных областях крупного, среднего и малого бизнеса, в сфере государственного управления, при взаимодействии государственных органов и коммерческих организаций. Какие же средства необходимы для обеспечения применения ЭЦП в корпоративной информационной системе?

Для начала отметим, что основными нормативно-правовыми актами, регулирующими применение электронной цифровой подписи, являются федеральные законы № 149-ФЗ от 27.07.2006 г. "Об информации, информационных технологиях и о защите информации" и № 1-ФЗ от 10.01.2002 г. "Об электронной цифровой подписи". Для применения ЭЦП необходимы три основные составляющие:

• программные (программно-аппаратные) средства применения ЭЦП;
• ключи и сертификаты электронной цифровой подписи;
• нормативно-правовая база применения ЭЦП в конкретной корпоративной информационной системе.

Рассмотрим все эти составляющие в отдельности.

Программные (программно-аппаратные) средства применения ЭЦП - это средства, устанавливающиеся на рабочие места конечных пользователей, с помощью которых осуществляется формирование и проверка ЭЦП. Они делятся на две основные категории - средства, непосредственно реализующие криптографические алгоритмы формирования и проверки ЭЦП, и средства, предоставляющие пользовательский интерфейс ее применения.

Выбор конкретного средства криптографической защиты информации (СКЗИ) является важнейшей задачей внедрения ЭЦП в информационной системе. На российском рынке продуктов ИБ достаточно широко представлена линейка сертифицированных СКЗИ, при выборе которых целесообразно руководствоваться следующими рекомендациями.

Прежде всего, это удобный и стандартизированный программный интерфейс встраивания, поддержка СКЗИ достаточно большого количества уже разработанных приложений, возможность применения СКЗИ на различных операционных платформах, а также их распространенность.

Удачным примером реализации данного средства является СКЗИ "КриптоПро CSP", разработанное в соответствии с программным интерфейсом компании Microsoft - Cryptographic Service Provider, и получившее широкое распространение и применение в различных специализированных информационных системах государственных и коммерческих организаций. Немаловажным является и тот факт, что СКЗИ "КриптоПро CSP" автоматически интегрируются в наиболее распространенные стандартные клиентские приложения: MS Word, Excel, Outlook, Outlook Express, Internet Explorer и т.д. К тому же последние разрабатываемые версии данного продукта поддерживаются рядом операционных систем, эксплуатирующихся на КПК и смартфонах.

Помимо средств применения ЭЦП для ее формирования необходим закрытый ключ подписи, а для проверки - соответствующий закрытому ключу сертификат открытого ключа подписи. Функции по изготовлению сертификатов открытых ключей согласно ФЗ "Об электронной цифровой подписи" возлагаются на удостоверяющие центры, которые в своей работе используют специализированные средства автоматизации.

Практика показала, что наиболее распространенным и адаптированным к правовым условиям применения ЭЦП в Российской Федерации является средство обеспечения деятельности удостоверяющих центров разработки компании "КРИПТО-ПРО" - ПАК "КриптоПро УЦ". Это первое сертифицированное в нашей стране средство такого рода.

Подавляющее большинство российских удостоверяющих центров для автоматизации своей деятельности используют именно ПАК "КриптоПро УЦ", так как оно полностью обеспечивает выполнение требований российского законодательства в описываемой области.

Таким образом, необходимые средства для формирования, а также проверки ЭЦП есть - осталось обеспечить равнозначность ЭЦП собственноручной. Эта задача разрешается третьей составляющей -нормативно-правовой базой применения ЭЦП. К сожалению, одного только ФЗ "Об электронной цифровой подписи" недостаточно, поскольку сам закон изобилует отсылочными нормами, одна из которых устанавливает, что порядок использования ЭЦП в корпоративной информационной системе устанавливается решением владельца или соглашением участников этой системы. Для решения данной задачи необходимо разработать документ, который будет обязателен для исполнения всеми участниками информационной системы. Это может быть локальный нормативный акт (если участники информационной системы являются сотрудниками одной организации), договор или соглашение. Но он должен устанавливать перечень допустимых к использованию средств применения ЭЦП (в том числе и СКЗИ), определять доверенные для информационной системы удостоверяющие центры, конкретизировать условия равнозначности ЭЦП собственноручной.