Основные мероприятия по обеспечению защиты электронных документов
Конфиденциальность и целостность передаваемых по каналам связи данных обеспечиваются применением средств криптографической защиты, использующих одноключевые (один и тот же ключ, являющийся секретным, используется и для шифрования и для дешифрования) алгоритмы. Среди множества алгоритмов этого типа наибольшим доверием пользуются криптографические преобразования, соответствующие стандартам.
Наибольшее распространение получил введенный в действие в 1977 году национальный стандарт США DES (Data Encryption Standard), практически повсеместно используемый в банковской сфере. Отечественный стандарт криптографического преобразования информации, - ГОСТ 28147-89, был введен в действие с июля 1990 года. Оба этих стандарта используются российскими коммерческими банками для закрытия сообщении, передаваемых по каналам связи.
Целостность финансовых сообщений при передаче и их защита от различных манипуляций обеспечивается проверкой поля данных, добавляемого к сообщению и являющегося функцией от содержимого сообщения и секретного ключа. Способ формирования этого поля также описывается стандартами: вычисление кода проверки подлинности данных (МАО в ISO 8730 и получение имитовставки в ГОСТ 28147-89.
Использование криптографических средств требует создания надежной ключевой системы, в которой операции генерации, хранения, рассылки и уничтожения ключей удовлетворяли бы требованиям безопасности. Для построения ключевой системы американскими банками в основном используется стандарт на управление ключами финансовых сообщений ANSI X9.17, предполагающий существование в системе Центра распределения ключей (ЦРК), выполняющего все операции по управлению ключами.
В криптосистеме с ЦРК существуют три вида ключей:
- главный ключ,
- ключи шифрования ключей
- сеансовые ключи.
Международный стандарт ISO 8532 (Banking-Key-Management) также описывает иерархическую ключевую систему с центром распределения ключей. Эти стандарты требуют передачи старшего ключа неэлектронным способом (фельдсвязью), исключающим его компрометацию. Иерархические схемы являются достаточно дорогостоящими и требуют полного доверия к ЦРК, генерирующему и рассылающему ключи.
Метод с открытым ключом позволяет значительно упростить ключевую систему. При атом отпадает необходимость использования защищенных каналов связи. Однако возникает необходимость надежной аутентификации абонента, приславшего открытый ключ. Роль администратора в системе сводится к проверке принадлежности открытых ключей, помещению их в справочник и рассылке этого справочника всем абонентам системы. Эти функции выполняются Центром Верификации Ключей (ЦВК).
Основная операция, осуществляемая ЦВК - сертификация ключей. Суть ее заключается в следующем. Абонент, желающий участвовать в обмене сообщениями, посылает ЦВК свой открытый ключ в распечатанном виде, заверив его мастичной печатью своей организации и подписями должностных лиц. Все остальные абоненты получают этот ключ от ЦВК. Основанием для включения нового открытого ключа в каталог является наличие электронной подписи ЦВК. Кроме того, на ЦВК возлагается задача по оповещению всех участников обмена электронными документами в случае компрометации ключей.
Самым слабым звеном в системе электронных документов с точки зрения безопасности является секретный ключ. Поэтому наибольшее внимание следует уделять сохранению его в тайне. С этой точки зрения чрезвычайно важно правильно выбрать тип носителя для хранения секретною ключа. Критериями оценки при выборе носителя являются:
- наличие перезаписываемой памяти необходимого объема;
- сложность копирования информации;
- удобство хранения;
- защищенность от внешних воздействий.
Указанным требованиям в наибольшей степени удовлетворяют электронные карточки. (Один из вариантов - электронные карточки Touch Memoryамериканской фирмы Dallas Semiconductor, размещенные в металлическом корпусе, имеющие уникальный код и до 2-х Кбайт перезаписываемой памяти).
Применяемые организационные меры должны:
- предусматривать периодическую смену секретных ключей,
- определять порядок хранения носителей и схему оповещения о событиях, связанных с компрометацией ключей.
Заявление о компрометации секретного ключа влечет за собой исключение из каталогов всех абонентов соответствующих открытых ключей и прекращение обработки документов, подписанных с помощью данного ключа.
Помимо угроз, связанных с нарушением целостности, конфиденциальности и подлинности сообщений в системах электронных документов, существуют угрозы, связанные с воздействием на сообщения. К их числу относятся уничтожение, задержка, дублирование, переупорядочивание, переориентация отдельных сообщений, маскировка под другого абонента или другой узел. Угрозы этого типа нейтрализуются использованием в системе защищенных протоколов связи.
Защита на уровне протоколов достигается принятием следующих мер:
- управление соединением;
- квитирование;
- нумерация сообщений;
- поддержание единого времени.
Управление соединением необходимо при использовании коммутируемых линий связи и включает в себя – запрос идентификатора, аутентификацию источника сообщении и разрыв соединения при получении неправильного идентификатора.
Существует несколько схем управления соединением.
Как правило, дается несколько попыток для ввода идентификатора, и если все они оказываются неудачными, связь разрывается.
Более надежным способом управления соединением является автоматический обратный вызов. При попытке установить соединение приемной стороной запрашивается идентификатор, после чего связь разрывается. Затем в зависимости от результатов проверки либо производится повторное соединение по выбранному из списка номеру, либо связь прекращается. Надежность такого способа зависит от качества каналов связи и правильности заполнения списка доступных номеров.
Квитирование это процедура выдачи подтверждения (квитанции) о получении сообщения узлом или адресатом, позволяющая отслеживать состояние переданного документа. Дополнительной гарантией может быть включение в состав квитанции электронной подписи. Для предотвращения возможности отказа одной из сторон от факта получения сообщения протокол может предусматривать возврат копий полученных документов (по аналогии с бумажным документооборотом) с электронной подписью получателя.
Значительное число умышленных атак и случайных ошибок можно выявить, если ввести нумерацию сообщений. Получение документа с уже использованным номером или номером, значительно превышающим текущий, является событием, указывающим на нарушение правильности работы системы и требующим немедленной реакции со стороны ответственного за безопасность.
Установление и поддержание в системе электронных платежей единого времени для всех абонентов значительно снижает вероятность угроз, связанных с отказом от авторства сообщения, а также уменьшает количество ошибок. При этом передаваемый документ должен содержать неизменяемые дату и время подписания, заносимые в него автоматически.
Защита от несанкционированного доступа (НСД) к терминалам, на которых ведется подготовка и обработка сообщений, должна обеспечиваться применением программных и программно-аппаратных средств и организационной поддержкой. Средства защиты должны обеспечивать идентификацию и надежное опознавание пользователей, разграничение полномочий по доступу к ресурсам, регистрацию работы и учет попыток НСД.
Организационные меры в системах электронных документов, как правило, направлены на четкое распределение ответственности при работе с документами и создание нескольких рубежей контроля.
Перечень должностных лиц и их обязанностей может выглядеть следующим образом:
- бухгалтер предприятия - ввод документа, подпись, шифрование документа на ключе директора, составление баланса;
- директор предприятия - верификация документа, подпись, шифрование на ключе банка;
- оператор клиента - отправка и прием зашифрованных сообщении;
- оператор банка - отправка и прием зашифрованных документов;
- операционист - расшифрование и проверка получаемых документов, подготовка выписок, подпись, шифрование на ключе клиента;
- менеджер - верификация документов и отражение их в операционном дне банка, подпись;
- администратор - управление ключами, связь с ЦБК, обработка учетных и регистрационных журналов, поддержание системы зашиты.
Обязательным условием существования системы электронных платежей является поддержание архивов электронных документов. Срок хранения архивного документа может составлять несколько лет. Поэтому необходимо принимать меры для защиты архивов от разрушения. Достаточно эффективным способом защиты является помехоустойчивое кодирование.
Таким образом, можно каждому виду угроз поставить в соответствие определенные меры защиты.
Нейтрализуемые угрозы | Меры защиты |
Подделка документа. Отказ от авторства. Несанкционированная модификация. | Применение электронной цифровой подписи Ведение электронных архивов |
Нарушение конфиденциальности | Криптографическое закрытие |
Ошибки при заполнении документов | Контроль правильности ввода документов Прохождение документов по строго определенному маршруту |
Ввод ложных данных | Контроль маршрута прохождения документа Персонификация документов |
Ошибки в работе системы | Регистрация и учет документов на этапах подготовки |
Дублирование документов |
|
Попытки получения секретного ключа | Управление ключевой системой |
Несанкционированная модификация ПО | Верификация ПО |
Разрушение данных | Резервное копирование |
Несанкционированный доступ к конфиденциальной информации |
|
Кражи и утери документов | Контроль за выводом документов на печать |
Дополнительно необходимо учитывать практические рекомендации по следующим позициям.
Персонификация документов.
Недостаточно просто применить подпись. Необходимо добиваться того, чтобы под документом стояло минимум две ЭЦП, принадлежащих конкретным людям с конкретной ответственностью.
Контроль за выводом документов на печать.
Не следует забывать, что электронный документооборот не отменяет привычные бумажные документы. Чаще происходит наоборот — количество бумаг возрастает. И часто возникает парадоксальная ситуация: пока документ существует в электронном виде, его защищают всеми возможными способами. Затем его выводят на принтере бессчетное число раз и в конце концов разбрасывают по мусорным корзинкам за ненадобностью.
Обеспечение конфиденциальности документов.
Работники режимно-секретных служб знают, что с приходом компьютерной техники на рабочие места контролировать процесс подготовки документов ограниченного распространения стал намного сложнее. Обычные средства защиты от несанкционированного доступа, безусловно, облегчают жизнь, но не дают возможности автоматизировать процесс учета документов и контроль за их подготовкой. Что же необходимо сделать для обеспечения безопасного процесса вывода документов на печать? В документах Гостехкомиссии России на этот вопрос есть исчерпывающий ответ:
· “...должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ от НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС”;
· “…должна осуществляться регистрация выдачи печатных (графических) документов на “твердую” копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). В параметрах регистрации указываются:
- дата и время выдачи (обращение к подсистеме вывода);
- спецификация устройства выдачи (логическое имя (номер) внешнего устройства);
- краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
- идентификатор субъекта доступа, запросившего документ;
- объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи: успешный (весь объем), неуспешный”.