14. 14 RTK - SOLAR Структура специализированных модулей для обеспечения ЮЗ (вариант)
1. Евгений Никитин , Директор по специальным проектам Как обеспечить юридическую значимость доверенными сервисами?
16. Евгений Никитин , Директор по специальным проектам e.nikitin@rt - solar.ru Спасибо за внимание!
13. 13 RTK - SOLAR Способы обеспечения доверия к характеристикам ЭД во времени Основная проблема - что делать с ЭП во времени? Действительность открытого ключа ограничена, смена легитимной криптографии и смена формата хранимого ЭД делает ЭП недействительной. Различные бизнес процессы, с учетом приемлемых для них рисков, используют различные подходы, среди которых можно выделить: 1. «Снятие» ЭП. 2. Переподписание «служебной» ЭП как способ обеспечения аутентичности при хранении. 3. Исходно использовать сертификаты ключа проверки электронной подписи продолжительного действия. 4. Использование специальных форматов ЭП. 5. «Снятие» ЭП через оформление электронного Акта (служебного ЭД) представленного в виде метаданных о достоверности, целостности и аутентичности хранимого ЭД.
11. 11 RTK - SOLAR 1. Обмен информацией между двумя сторонами предполагает наличие элемента доверия, т. е. получатель должен быть уверен в подлинности отправителя, а отправитель — в подлинности получателя информации. 2. Этого «доверия по умолчанию» может оказаться недостаточно, а отправителю и получателю для того, чтобы обеспечить безопасный обмен информацией, придется воспользоваться услугами доверенной третьей стороны (ДТС). 3. Роль доверенной третьей стороны предполагает гарантию того, что коммерческие, а также иные законные (например, правительственные) сообщения и транзакции своевременно и точно передаются требуемому получателю, и что в случае возникновения любых разногласий существуют соответствующие методы подготовки и доставки требуемых свидетельств, позволяющих восстановить ход событий. Доверенная третья сторона (ДТС) (на основе X.842)
8. 8 RTK - SOLAR Понятие «доверие» Доверие — это прежде всего конфиденциальность... Доверие — честность и искренность . Доверие — умение решать их специфические задачи . В контексте создания ЭП задача государства — обеспечение уровня доверия , необходимого для активного использования гражданами государственных услуг, оказываемых в электронном виде, а следовательно, и обеспечения доверительного и эффективного межведомственного взаимодействия. Доверие — это ожидание полной уверенности в том, что участники взаимодействия будут добросовестно выполнять свои роли, следовать нормативно определенным обязательствам и достигнутым договоренностям!
12. Службы доверенной третьей стороны (на основе X.842) 1. Служба управления сертификатами 2. Служба идентификации и аутентификации 3. Служба штампов времени 4. Служба валидации 5. Служба контроля доступа 6. Служба электронного архива 7. Служба неотказуемости 8. Служба каталогов 9. Служба персонализации 10. Служба управления ключами 11. Внутренняя служба трансляции 12. Служба восстановления 13. Служба управления оповещениями и отчета об инцидентах Первый этап (базовые) Второй этап (высокоуровневые) Третий этап (обеспечивающие) 12
9. 9 RTK - SOLAR Доверенные сервисы Сервис (услуга) - это способ предоставления ценности потребителям , путем облегчения достижения потребителями их желаемых конечных результатов , без принятия ими на себя специфических для данного сервиса затрат и рисков . Доверенные сервисы - электронные сервисы, участвующие в создании, валидации, обработке, хранении электронных подписей , меток доверенного времени , электронных документов , средств доставки и заверении электронных сообщений, разграничения и управления доступом , аутентификации , в том числе на Web - сайтах, электронных сертификатов ( в том числе атрибутных), актуальных реестров (ролей участников электронного взаимодействия, уполномоченных лиц и др.), сервисы регистрации , документирования и.т.д.
4. 4 RTK - SOLAR Главный тезис для сохранения цифровых активов Заниматься хранением информации, которая не отражает какую - либо деловую активность, не несет в себе юридическую, историческую значимость, аналитическую ценность и . т . п . – БЕССМЫСЛЕННО!!! По любому хранимому документу из прошлого необходимо иметь состоятельные ответы на вопросы: • кто его автор и его полномочия • время создания, откуда он поступил и кто его разместил на хранение • кто им пользовался • какие события происходили с документом в период хранения • имеет ли он юридическую силу для представления в суде • и.т.д., и.т.п . ....
3. 3 RTK - SOLAR Проблемы хранения данных 1. Предположение: необходимо заключить в предмет с размером с 1 куб. метр при комнатной температуре MAX объем информации. Ее количество будет примерно равно 0,5* 10 в 22 степени Бит. 2 . IDC : согласно расчетам аналитиков в 2011 году объем информации составил 1.8 зеттабайтов или 1,8 * 10 в 21 степени. = > человечество накопило информации всего лишь около 1/2 куба максимально плотного носителя информации! 3. Информация сегодня растет 9 - кратно каждые 5 лет, что соответствует закону Г. Мура. 4. = > Через 100 лет , (к 2111 году) для хранения информации даже в самом плотном виде нам потребуется объем сравнимый с размером нашей планеты! = > сохранность цфр активов!!! Максимальный объем информации в 1 м3 порядка 0,5*10 22 бит 2111 год 2011 год 1 м 3 100 лет
7. 7 RTK - SOLAR Аутентичность документа Документ аутентичен, если он: а) является тем, чем должны быть (соответствует установленным правилам) Определяется на этапе создания ЭД и фиксируется личной ЭП автора ЭД, в последующим должна быть обеспечена непрерывность доверия к ЭП во времени, включая смену криптографических алгоритмов и формата представления хранимого ЭД б) был создан или отправлен лицом, уполномоченным на это Определяется автором ЭД, включая инфраструктуру управления полномочиями в организации в) был создан или отправлен в то время, которое обозначено в документе Определяется на этапе создания ЭД и фиксируется личной ЭП автора ЭД с учетом обеспечения непрерывности доверия к ЭП во времени Аутентичность - выливается во внедрение и документальную фиксацию политики и процедур контроля над созданием, получением, передачей, сохранением и отбором документов, что должно гарантировать, что создатели документов уполномочены на это и идентифицированы, а документы защищены от несанкционированного дополнения, удаления, изменения, использования .
15. 15 RTK - SOLAR Ростелеком - Solar • Ростелеком - Solar , компания группы ПАО «Ростелеком» – национальный провайдер сервисов и технологий для защиты информационных ресурсов, активов, целевого мониторинга и управления информационной безопасностью. • В основе наших технологий лежит понимание, что настоящая информационная безопасность возможна только через непрерывный мониторинг , комплексный подход к ИБ , и удобное управление системами ИБ. Этот принцип реализован в продуктах и сервисах Ростелеком - Solar . Ростелеком - Solar , как дочернее предприятие ПАО «Ростелеком», обладая необходимыми компетенциями, разрешительными документами, ресурсами готова стать ДТС для предоставления доверенных сервисов в бизнес - процессах предприятий и организаций РФ .
2. 2 RTK - SOLAR Технологические аспекты необходимости обеспечения ЮЗ 1 . С корость появления новой информации превосходит почти в миллион раз возможности человека ее воспринять . 2. Объём информации , производимой всем человечеством в пересчете на секунду - по состоянию на 2011 год составляет 10 TBs 3. Ч ерез 5 лет этот разрыв увеличится еще в 9 раз , через 10 лет - 80 раз , и.т.д. Скорость потребления текстовой информации 1 KBps Скорость потребления аудио информации 100 KBps Скорость потребления видео информации 10 MBps 1 GBps 100 GBps 10 TBps Скорость появления новой в 2011 году
10. 10 RTK - SOLAR Доверенная среда обеспечения ИБ Защищенная информационн ая система Поставщик данных Потребитель данных Режим доверенной среды обеспечивает защищенный ввод данных поставщиками данных ( 1 ) , защищенная транспортная сеть ( 2 ), защищенное хранение ( 3 ), а также защищенное получение данных потребителями ( 4 ) с ЮЗ . • Концепция доверенной вычислительной среды (ДВС) предусматривает использование как постоянной доверенной среды (ПДС), так и сеансовой доверенной среды (СДС) • Среди возможных сервисов по обеспечению режимов ДВС наиболее актуальными и востребованными в ЭДО являются : инфраструктура управления полномочиями, защищенный ввод данных поставщиком информации, хранение электронных документов (в том числе и долговременное) в юридически значимом виде, документирование процедур проверки электронной подписи . 1 2 3 2 4
6. 6 RTK - SOLAR Обеспечение юридической значимости Юридическая значимость ( ГОСТ Р 7 . 0 . 8 - 2013 ) - Свойство документа выступать в качестве подтверждения деловой деятельности либо событий личного характера – это комплексная задача, проходящая через все стадии жизненного цикла ЭД, обеспечивающая ЭД необходимыми характеристиками . ГОСТ Р ИСО 15489 - 2007, среди таких характеристик, определяет: 1 . Достоверность (Обеспечивается на ранних стадиях жизненного цикла ЭД) . Достоверным является документ, содержание которого можно считать полным и точным представлением подтверждаемых операций, деятельности или фактов и которому можно доверять в последующих операциях или в последующей деятельности . 2 . Целостность (Обеспечивается средствами хранения и частично Компонентами обеспечения ЮЗ) . Целостность документа определяется его полнотой и неизменностью . 3 . Пригодность для использования (Обеспечивается средствами создания и хранения) . ЭД, который можно локализовать, найти, воспроизвести и интерпретировать .
5. 5 RTK - SOLAR Любые электронные хранилища это: 1. Регламентирующее организационно - распорядительное сопровождение процесса хранения. • обследование и понимание в целом ЖЦ ключевых документов и роли тех, кто их порождает и использует • общая конструкция НПА и организационно - распорядительных документов • описание орг . изменений, которые потребуются для внедрения Э - хранилища и НПА, • обсуждение и в целом согласование (Минтруд ... . ) • детальный план с горизонтом 2 - 3 - 4 года • проекты НПА • внедрение (включая организационные изменения и утверждение НПА) 2. Прикладная составляющая с задачами: • общие инфраструктурные задачи: • Идентификация и аутентификация субъектов информационного обмена, инфраструктура открытых ключей, УЦ, методы разграничения доступа ... • Инфраструктура управления полномочиями (PMI) , назначение/обработка полномочий авторам ЭП • Синхронизация времени аппаратных платформ, эталон маркеров доверенного времени . • интеграции с ЭДО, размещение ЭД на хранение и формирование «выписок» (методы осуществления аутентичности: повторное получение одного и того же или валидатор актуальности «выписки») • администрирование и аудит процедур 3. Организация бизнес - процесса непосредственного хранения с обеспечением целостности • Выбор носителей - WORM ( Write Once, Read Man у) однократная запись, многократное считывание • Исходно предусмотреть миграцию на новые поколения носителей и программно - аппаратных сред • Техническая реализация обеспечения целостности - аппаратные, деревья хэшей ... 4. Обеспечение юридической значимости размещенных на хранение ЭД в исторической перспективе.