Технологии РКI в ЭДО
В рубрику "Электронный документооборот" | К списку рубрик | К списку авторов | К списку публикаций
Технологии РКI в ЭДО
Сегодня тема применения технологий PKI (инфраструктуры открытых ключей) в системах ЭДО весьма актуальна. Большинство проблем по приданию ЭДО статуса юридически значимого уже решены. Технологии PKI, позволяющие массово использовать электронные подписи, развиваются стремительно, что находит свое отражение в специализированных информационных системах ЭДО.
Александр Санин
Коммерческий директор компании "Аванпост"
Коммерческий директор компании "Аванпост"
Хотя до сих пор и остается ряд нерешенных проблем, но они уже носят более глобальный характер, связанный с различиями в стандартах шифрования, принятых в разных странах. Да и эти проблемы уже практически подошли к решению - сообщество многое делает в направлении создания так называемой ДТС (доверенной третьей стороны). Так или иначе, все мы понимаем, что рано или поздно юридически значимый ЭДО полностью вытеснит бумажный. Но давайте посмотрим на PKI шире, чем просто как на технологию обмена ЭП. И тогда откроется другая сторона, крайне важная в контексте перехода к широкомасштабному практическому применению юридически значимого ЭДО буквально во всех областях нашей жизни.
Востребованный потенциал
Сегодня производители ПО в области автоматизации и ИБ начали смотреть в сторону создания цельных систем, способных автоматизировать и выстроить правильно все процессы управления доступом, а не какой-то один из его компонентов. Фактически это уже системы нового поколения, которые от решения элементарных прикладных задач IT или ИБ в части управления доступом стали переходить в разряд систем, решающих более глобальные задачи управления бизнес-процессом в целом. Переход к комплексным системам я считаю одной из наиболее важных тенденций для всего рынка ИБ.
Использование юридически значимого ЭДО неминуемо приводит к повышению ценности информации, хранящейся в информационной системе. Стремительно растут риски мошенничества в подобных системах, повышаются риски несанкционированного доступа к подобной информации. В этом кроется одна проблема, которой, по моему мнению, не уделяют должного внимания, - повышение цены ошибки аутентификации. Не секрет, что подавляющее большинство мошеннических действий происходит именно по причине недоработок в системе управления доступом. Злоумышленнику не нужно пробираться через сложные заградительные редуты систем защиты, если он может, представившись легитимным пользователем, получить доступ куда угодно. Таким образом, сегодня любая система ЭДО нуждается в обязательном существенном усилении звена аутентификации.
Подводя итогиКак видим, текущий уровень развития инфраструктуры PKI позволяет утверждать, что эта технология должна восприниматься и применяться в более широком смысле - с использованием всего ее потенциала. Но нужно помнить, что при эволюционном переходе от "PKI для ЭП" к "PKI для управления доступом" необходимо выстраивать систему управления доступом, комплексно учитывая все аспекты ее работы.
Вообще говоря, управление доступом и надежная аутентификация являются ключевыми компонентами в любой системе ИБ. И когда остро встал вопрос о повышении надежности аутентификации, сообщество обратилось к технологии PKI. Именно эта технология стала базой для новой модели двухфакторной аутентификации, призванной вывести на должный уровень защищенность современных информационных систем.
Так, постепенно из технологии обмена электронными подписями PKI превратилась в базовый элемент системы двухфакторной аутентификации. Более того, сегодня мы переживаем, можно сказать, переломный момент - двухфакторная аутентификация шагнула из корпоративного сегмента в потребительский. В одном из недавно опубликованных отчетов Эрик Гроссе (Eric Grosse), вице-президент Google по безопасности, заметил, что "...современные средства аутентификации более не способны обеспечивать пользователей должным уровнем безопасности...". После этого было анонсировано начало тестирования в рамках всех сервисов Google системы двухфакторной аутентификации на базе USB-токенов от компании Yubico.
Вторя этим тенденциям, за последние несколько лет многие компании, широко применяющие в своей работе системы юридически значимого ЭДО, начали использовать свою существующую инфраструктуру PKI и для усиленной аутентификации.
Новый подход. Больше роль - больше ответственность
Раньше системы управления PKI рассматривались обособленно, но после того, как они начали ассоциироваться с аутентификацией, подход к управлению такими системами претерпел серьезные изменения. Сегодня систему управления PKI уже нельзя рассматривать отдельно от системы управления доступом в целом. Важно понимать какие права имеют пользователи, входящие в информационные системы по сертификатам. Другими словами, PKI встала в один ряд с другими компонентами в системе управления доступом, соответственно и роль данного компонента резко выросла. А когда повышается роль той или иной системы или технологии, повышается и ответственность, связанная с ее работой.
Новые подходы в вопросах комплексного управления доступом к IT-системам на современном предприятии
В процессе управления доступом к корпоративным ресурсам можно выделить три основных элемента: ЮМ, PKI и SSO. Все эти элементы, безусловно, относятся к системе управления доступом, но зачастую администрируются они раздельно. Это, в свою очередь, может привести к несогласованности действий администраторов, разрозненности политик И Б, что в конечном итоге повышает риски сбоя. Отсюда вытекает большая проблема: если любое из обозначенных трех звеньев цепочки начинает давать сбой - страдает вся система управления доступом в целом. Это означает, что любые послабления или недосмотры в одном компоненте сразу же сказываются на системе в целом. И это плохо.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2013
