------------------------------- © А.С. Мартынцев, А.В. Горбатов,
2011
А. С. Мартынцев, А.В. Горбатов
ПРОЕКТИРОВАНИЕ СИСТЕМЫ УПРАВЛЕНИЯ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, СВЯЗАННЫХ С ПРИМЕНЕНИЕМ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ В РОССИЙСКОЙ ФЕДЕРАЦИИ
Рассмотрены понятия ЭЦП, PKI и УЦ ЭЦП и их взаимосвязь, а также риски информационной безопасности, связанные с применением ЭЦП в Российской Федерации. Особое внимание уделено вопросам экономической эффективности защиты информации в Российской Федерации.
Ключевые слова: электронная цифровая подпись(ЭЦП), Удостоверяющий центр(УЦ), Инфраструктура Открытого ключа^Ш), риски информационной безопасности, экономическая эффективность защиты информации..
~П последние годы информационные технологии получили
-Я-М широкое распространение в Федеральных органах исполнительной власти, государственных и коммерческих организациях Российской Федерации.
Большинство Федеральных органов исполнительной власти Российской Федерации переходят на электронный документооборот с использованием электронной цифровой подписи. Растет количество участников электронных торговых площадок для размещения государственного заказа и для коммерческих заказчиков, где так же присутствует электронная цифровая подпись. Некоторые виды государственных и муниципальных услуг уже предоставляются в электронном виде.
Все это говорит о том, что информационные технологии в Российской Федерации активно развиваются, но вместе с этим растут риски, связанные с их применением. Особое внимание стоит уделить рискам, связанным с информационной безопасностью. Система управления рисками информационной безопасности является фундаментом, на котором должна строиться система защиты информации.
В данной статье уделяется внимание рискам информационной безопасности, связанных с применением электронной цифровой подписи в Российской Федерации, а так же затрагиваются вопросы экономической эффективности защиты информации.
Электронная цифровая подпись. Инфраструктура открытого ключа. Удостоверяющий центр электронной цифровой подписи
В Федеральном законе от 10 января 2002 г. N 1 "Об электронной цифровой подписи" дано определение: «Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе» [2].
Будучи реквизитом электронного документа электронная цифровая подпись (Далее - ЭЦП), обеспечивает:
• целостность информации - гарантию того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений;
• аутентичность информации - гарантию того, что источником информации является именно то лицо, которое заявлено как ее автор;
• неотказуемость информации - гарантию того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой [3].
ЭЦП построена на основе инфраструктуры открытого ключа. Инфраструктура открытого ключа (или РК1) -технология подтверждения подлинности с помощью открытых ключей. Это комплексная система, которая связывает открытые ключи с личностью пользователя посредством Удостове-ряющего центра ЭЦП.
Основным элементом применения ЭЦП в системе юридически значимого электронного документооборота является организация Удостоверяющего центра ЭЦП (Далее - УЦ ЭЦП).
В соответствии с Федеральным законом от 10 января 2002 г. N 1 "Об электронной цифровой подписи" под УЦ ЭЦП понимается субъект права, являющегося носителем субъективных прав и юридических обязанностей в части:
• изготовления и выдачи ключей ЭЦП;
• изготовления и выдачи сертификатов ключей ЭЦП;
• регистрации владельцев сертификатов ключей ЭЦП;
• аннулирования, приостановления и возобновления действия сертификатов ключей ЭЦП;
• предоставления информации о действии сертификатов ключей ЭЦП;
• подтверждения подлинности ЭЦП.
Риски информационной безопасности, связанные с применением электронной цифровой подписи
Риск — это сочетание вероятности и последствий наступления неблагоприятного события. Риск отражает возможные прямые или косвенные финансовые потери.
В простейшем виде формулу риска можно представить так R=P*N,
где R - риск наступления неблагоприятного события, Р - вероятность наступления неблагоприятного события, N - ущерб от неблагоприятного события.
Существует качественные и количественные оценки риска и ущерба. При количественных оценках риск и ущерб измеряются в денежных единицах. При качественных оценках строится шкала, которая показывает уровень риска и ущерба, например - низкий, средний, высокий.
Для построения системы управления рисками информационной безопасности необходимо ввести следующие понятия:
• угроза — потенциально возможное происшествие, которое может оказать нежелательное воздействие на бизнес-процессы, информационные активы организации;
• уязвимость информационной системы — тот или иной ее недостаток, из-за которого становится возможным нежелательное воздействие на неё со стороны злоумышленников, неквалифицированного персонала или вредоносного кода;
• убыток (ущерб) — потенциально возможные прямые и косвенные финансовые потери, которые произошли вследствие реализации угрозы и уязвимости [1].
Для минимизации рисков информационной безопасности нужно идентифицировать угрозы и оценить уязвимости информационной системы. Для этого стоит разработать модель угроз и модель нарушителя. Критерии оценки информационной системы зависят от ее структуры.
При использовании ЭЦП в информационной системе нужно учитывать следующие риски:
• риски при идентификации лица или организации, удостоверивших документ:
о риск принятия документа к исполнению, с последующим отказом лица, которого идентифицировали как подписавшего документ, от факта подписания;
о риск непринятия документа к исполнению, вследствие неверной идентификации лица, подписавшего документ;
• риски владельца ключа подписи, связанные с несанкционированным использованием ключа другими лицами;
• риски УЦ ЭЦП по ответственности за выполнение взятых на себя обязательств при оказании услуг своим пользователям, в том числе:
о по недостоверности сведений, указанных в сертификате ключа подписи;
о по своевременному непредставлению информации о действии сертификатов ключей подписи;
о по несвоевременному аннулированию сертификата или приостановлению/возобновлению действия сертификата.
Риска нельзя избежать, но можно понизить его уровень. Это можно сделать либо уменьшив вероятность наступления неблагоприятного события, либо уменьшив величину возможных потерь.
Экономическая эффективность защиты информации
При проектировании системы управления рисками информационной безопасности нужно учитывать экономическую эффективность защиты информации.
В данном случае под экономической эффективностью будем понимать способность системы в процессе ее функционирования производить некий экономический эффект, например, снижение потенциальных потерь, снижение затрат на комплексные меры по защите информации. Расчет экономической эффективности защиты информации основывается на выявлении ущерба, нанесенного владельцу информации и позволяет оценить результативность защиты информации. После анализа расчетов экономической эффективности, можно внести изменения в систему защиты информации для более эффективной ее защиты.
Среди специалистов по информационной безопасности существует мнение, что цена защиты информации не должна превышать 20 % от ее стоимости [1].
Выводы
Из представленного выше видно, что анализ рисков информационной безопасности достаточно сложная задача, и решить ее без знаний экономики и юриспруденции невозможно. К сожалению, подготовка специалистов по информационной безопасности является узкоспециализированной, что не позволяет им комплексно решать вышеупомянутые вопросы.
Существует ряд программных продуктов, который автоматизированно вычисляет риски и оценивает уязвимости. Но применять такие продукты для анализа рисков, связанных с применением ЭЦП нецелесообразно из-за того, что эффективность таких продуктов мала.
В связи с вышесказанным сотрудниками Отдела информационной безопасности одного из государственных учреждений было принято решение спроектировать систему управления рисками информационной безопасности, связанными с применением ЭЦП в Российской Федерации.
Проектирование такой системы требует предварительных разработок модели угроз и модели нарушителя. Так же необходимо вывести формулу нахождения рисков информационной безопасности, связанных с применением ЭЦП, где будут учтены стоимость комплексной защиты информации, возможные финансовые потери при реализации угроз, вероятность угроз и прочие факторы, влияющие на риски информационной безопасности.
------------------------------------------ СПИСОК ЛИТЕРАТУРЫ
1. http://www.iso27000.ru/
2. Федеральный закон от 10 января 2002 г. N 1 "Об электронной цифровой подписи".
3. Мартынцев А.С., Калитин Д.В. Средства автоматизации удостоверяю-
щих центров в Российской Федерации // Научный вестник МГГУ. - 2010. - № 6. -С. 51-55. ЕШ '
КОРОТКО ОБ АВТОРАХ ----------------------------------------------------
Мартынцев Алексей Сергеевич - студент, [email protected].
Горбатов Александр Вячеславович - профессор, доктор технических наук, Московский государственный горный университет,
Moscow State Mining University, Russia, [email protected]