В центре информационной безопасности по-прежнему стоит человек

Несмотря на постоянное совершенствование технологий безопасности, огромную роль в задачах защиты информации играет человеческий фактор. Многое по-прежнему зависит от человека, считают участники секции «Информационная безопасность», прошедшей в рамках CNews Forum 2017, организованного CNews Conferences.

страницы:

Андрей Курило: Технологии блокчейн помогут обеспечить доверие к электронным документам

Не за горами тот день, когда можно будет полностью отказаться от бумажных документов в пользу электронных. Но как сделать так, чтобы электронному документу можно было доверять? Об этом участникам участникам CNews Forum рассказал Андрей Курило, главный эксперт компании «Российские наукоемкие технологии» (РНТ).

CNews: Какие технологии необходимы для того, чтобы обеспечить доверие к электронному документу?

Андрей Курило: Доверие может быть обеспечено выполнением соответствующих действий и процедур. Эти действия и процедуры, в свою очередь, должны сами внушать доверие к ним. Это обеспечивается стандартизацией технических требований, алгоритмов, действий и процедур проверок, сертификацией услуг по ГОСТ или специально установленным требованиям, аттестацией систем и аккредитацией субъектов для выполнения определенного вида деятельности.

Доверие к электронному документу возникает при наличии его аутентичности, то есть неизменности. Для этого подпись должна соответствовать требованиям 63-ФЗ, должны быть действительными сертификат открытого ключа подписи и сертификаты на средства подписи, а ключ подписи не должен быть скомпрометирован.

При длительном хранении документа необходимо хранить много информации о совершаемых с ним действиях. Для этого лучше всего использовать технологию цепочек связанных реестров, позволяющих убедиться в сохранении аутентичности документа. Общий подход к технологиям обеспечения доверия к электронному документу требует наличия метки времени, цифровой печати, доверенной среды передачи документов, доверенных сайтов и доверенного аутентификатора личности.

CNews: Как подтвердить его неизменность и безопасность?

Андрей Курило: Безопасность обеспечивается выполнением установленных требований. Их выполнение подтверждается аудитом. Доверие к аудиту подтверждается аккредитацией организации - аудитора.

Аутентичность документа подтверждается его сравнением с оригиналом. Для простого случая – коротко живущего документа – все просто. Но на практике это усложняется дополнительными атрибутами. Контент документа, а значит права, обязанности и взаимосвязи по отношению к объекту, о котором говорится в документе, не изменятся, а проверка электронной подписи под документом в новом формате всегда даст отрицательный результат. Новый документ нужно переподписать, а перед этим убедится, что его контент не изменен. В дальнейшем придется полагаться на это свидетельство проверки, которое само не должно быть изменено и должно быть сохранено.

Именно для выполнения этой задачи идеально подходит технология связанных цепочек, построенных на базе блокчейн, в которых в неизменном виде хранится эта информация. Целостность таких цепочек, а значит достоверность свидетельств о событиях с документом, всегда можно проверить.

CNews: Возможно ли предоставить 100% гарантию того, что электронный документ не будет похищен или изменен?

Андрей Курило: 100% гарантии в нашем материальном мире нет вообще. Всегда есть остаточные риски. Вопрос в том, какова их величина, и можем ли мы ими пренебречь.

В данной ситуации гарантия того, что электронный документ не будет похищен или изменен, стремится к 100% за счет использования специальных криптографических алгоритмов. Изменить документ, защищенный «правильной» криптографией, практически невозможно. Однако использование технологии криптографически связанных цепочек позволяет усилить защищенность.

Похитить электронный документ – означает скопировать его. Документ всегда защищен в системе средствами защиты от несанкционированного доступа. Если условия к требованиям защиты реализованы, скопировать его практически невозможно.

А вот воровство ключа подписи и получение избыточных прав на действия в системе – это самое слабое место во всем комплексе мероприятий по защите информации. С этим связана основная масса компьютерных преступлений, в том числе и хищений биткойнов.

Поэтому на вопрос можно ответить так. Если вы правильно и надежно храните ключ подписи, если ваш кошелек надежен и управление правами доступа к ресурсам системы надежно контролируются, гарантии стремятся к 100%, а рисками можно пренебречь.

страницы: