- Базовый атрибутный сертификат: что это, и для чего он нужен?
- Что такое сертификат открытого ключа физического лица?
- Атрибутные сертификаты
- Атрибутный подход к обеспечению защиты информации при организации экономически безопасной политики предприятия
- Где их получить?
- Дополнения сертификата
- Сертификаты set
- Сертификаты, руководства, инструкции и по – национальный центр электронных услуг
Базовый атрибутный сертификат: что это, и для чего он нужен?
Физические лица получают базовые атрибутные сертификаты на срок от 1 до 3 лет. Получателями документа могут быть физические лица, которые не зарегистрированы как частные предприниматели, но при этом уплачивают обязательные страховые взносы.
Оформить базовый атрибутный сертификат можно только при наличии действующего сертификата открытого ключа физлица. Кроме того, для его оформления понадобится пакет из следующих документов:
- удостоверение личности получателя;
- сведения о Подписчике;
- копия свидетельства об оплате услуги;
- копия свидетельства о присвоении УНП;
- заверенная копия свидетельства о постановке физлица на учет с подтверждениям его учетного номера плательщика ФСЗН.
Что такое сертификат открытого ключа физического лица?
Открытый ключ генерируется на основе личного ключа физического лица с применением сертифицированной ЭЦП. В процессе оформления сертификата открытого ключа поставщик услуги проходит проверку принадлежности личного ключа. После этого на сертификате открытого ключа ставится электронная цифровая подпись поставщика услуги, который выдал данный сертификат.
Информация, содержащаяся в сертификате открытого ключа, должна включать:
- значение ключа;
- идентифицирующие физлицо-владельца ключа данные;
- срок действия ключа.
Основная функция открытого ключа – проверка ЭЦП физического лица. Сертификат же необходим для выработки ЭЦП, которая необходима для подписания электронных документов, подачи налоговых деклараций и отчетов, получения административных услуг в онлайн-режиме. Для получения сертификата необходимо предоставить:
- Документ для удостоверения личности получателя;
- Копию документа, подтверждающего факт оплаты регистрационного сбора;
- Сведения о потребителе.
Атрибутные сертификаты
Обычно предполагается, что связывание открытого ключа и субъекта при помощи сертификата должно быть долговременным. Большинство сертификатов открытых ключей подписи конечных субъектов имеют срок действия один или два года.
Сертификаты могут использоваться для аутентификации пользователей, и информация, идентифицирующая субъекта, может учитываться при принятии решения об управлении доступом. Однако во многих случаях сведения о субъекте, содержащиеся в сертификате открытого ключа, не являются критерием принятия решения о его правах доступа, которые зависят от роли субъекта, категории допуска, принадлежности к некоторой группе или платежеспособности.
Информация для авторизации часто имеет меньший срок действия, чем сертификат открытого ключа. Она могла бы указываться в дополнениях сертификата открытого ключа, но это не является выходом по двум причинам.
Во-первых, подобный сертификат должен аннулироваться при любых изменениях информации для авторизации. Во-вторых, УЦ, выпускающий данный сертификат, не имеет полномочия подписывать эту информацию, а должен связываться с источником информации о правах доступа конкретного пользователя.
Атрибутный сертификат X.509 связывает атрибуты прав доступа с владельцем сертификата и предназначен для использования в Интернет приложениях [84]. Поскольку атрибутный сертификат не содержит открытого ключа, то его используют вместе с сертификатом открытого ключа.
Атрибутные сертификаты могут применяться в сервисах аутентификации источника данных и неотказуемости. В этом случае в сертификаты включают дополнительную информацию о субъекте, который ставит цифровую подпись. Эта информация позволяет удостовериться, что субъект имеет право подписывать данные.
Атрибутный сертификат X.509 напоминает сертификат открытого ключа этого же формата, но имеет другие функциональные возможности. Он представляет собой структурированную двоичную запись формата ASN.
1 и подписывается издателем сертификата. Атрибутный сертификат содержит девять полей: версия, владелец, издатель, идентификатор алгоритма подписи, серийный номер, период действия, атрибуты, уникальный идентификатор издателя и дополнения (см. ниже).
Владелец атрибутного сертификата характеризуется подобно субъекту сертификата открытого ключа подписи, но может быть задан по имени, издателю и серийному номеру сертификата открытого ключа, либо при помощи хэш-кода сертификата или открытого ключа.
Атрибуты описывают информацию о полномочиях владельца атрибутного сертификата. Как и сертификат открытого ключа подписи, атрибутный сертификат может содержать дополнения.
Наряду с имеющимися в системе сервисами аутентификации, атрибутные сертификаты обеспечивают защищенную передачу информации о полномочиях их владельцев [2]. Эту технологию могут применять, например, приложения удаленного доступа к сетевым ресурсам (таким, как web-серверы и базы данных), а также приложения, которые управляют физическим доступом в помещения и к аппаратному обеспечению.
Атрибутный подход к обеспечению защиты информации при организации экономически безопасной политики предприятия
УДК: 065.33 ББК: У65
Губанова С.Е.
АТРИБУТНЫЙ ПОДХОД К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ
ОРГАНИЗАЦИИ ЭКОНОМИЧЕСКИ БЕЗОПАСНОЙ ПОЛИТИКИ ПРЕДПРИЯТИЯ
Gubanova S.E.
ATTRIBUTE APPROACH TO DATA PROTECTION TO THE ECONOMIC SECURITY
POLICY OF THE ENTERPRISE
Ключевые слова: электронные взаимодействия, Инфраструктура открытых ключей, Инфраструктура управления полномочиями, сертификаты открытого ключа, атрибутные сертификаты.
Keywords: electronic interactions, Public Key Infrastructure, Privilege Management Infrastructure, public key certificates, attribute certificates.
Аннотация: в статье описана специфика, применение, преимущества, экономическая целесообразность использования технологии инфраструктуры управления полномочиями и атрибутных сертификатов в рамках развития и внедрения экономически безопасной политики современного предприятия.
Annotation: the article describes the specifics, use, benefits, the economic feasibility of the use of Privilege Management Infrastructure technology and attribute certificates in the development and implementation of economic security policy of the modern enterprise.
В указе Президента Российской Федерации от 31 декабря 2021 года «О Стратегии национальной безопасности Российской Федерации» особо подчёркнута необходимость развития экономики страны, обеспечения экономической безопасности, перехода экономики на новый, инновационный уровень технологического развития [1]. Инноваций требуют все сферы и отрасли народного хозяйства. Одно из важнейших направлений – развитие информационно-коммуникационных технологий и связанная с этим кардинальная модернизация взаимоотношений бизнеса, государства и населения.
В последние годы мы видим, как государство жёстко заставляет коммерческие и бюджетные организации переходить на безбумажные технологии взаимодействия. Внедряется электронный документооборот, в том числе межведомственный. Бухгалтерская, налоговая, страховая отчётность перед государственными органами принудительно переводится в электронный вид. Это касается Налоговой службы, Пенсионного фонда, Фонда социального страхования и других контролирующих учреждений. Такая важнейшая сфера деятельности, как закупки товаров и услуг для государственных и муниципальных нужд, сегодня полностью переведена на электронный документооборот и проводится удалённо с использованием механизма электронной подписи [2].
Но удалённое взаимодействие посредством сети Интернет, помимо очевидных преимуществ – скорость, удобство, простота и де-
шевизна использования, – влечёт за собой определённые риски и угрозы, которых не было ранее. А именно: контроль целостности, конфиденциальности, аутентификации и неотказуемо-сти от авторства передаваемой по сети информации требует особых мер и усилий.
Лучшим решением данных проблем на сегодняшний день признаётся использование цифровых сертификатов на базе Инфраструктуры открытых ключей (PKI – Public Key Infrastructure). Центральным элементом инфраструктуры является Удостоверяющий центр, который выступает в качестве Доверенной третьей стороны. Он идентифицирует пользователей системы, генерирует криптографические ключи (в данном случае ключ – это средство создания и проверки электронной подписи, а также шифрования и дешифрования информации), создаёт, заверяет, отзывает при необходимости сертификаты ключей, ведёт реестр выданных и отозванных сертификатов, управляет жизненным циклом сертификатов и т.д. Сомнений в использовании Инфраструктуры открытых ключей на сегодня нет. Но вот по поводу Удостоверяющих центров – возможны варианты. Организация может воспользоваться услугами сторонних центров, либо создать свой собственный Удостоверяющий центр. Выбор непростой, каждый вариант имеет свои преимущества и недостатки [3]. Но эксперты высказывают мнение, что при численности пользователей в организации от 500 человек наиболее оптимальным выглядит второй вариант, то есть
собственный корпоративный Удостоверяющий центр. Это требует усилий, наличия высококвалифицированного персонала, организационных мероприятий, особых программно-аппаратных средств, но все затраты искупаются большей гибкостью, производительностью, масштабируемостью системы, и в конечном счёте это ощутимо дешевле для компании.
Но после введения в действие федеральных законов об обязательном использовании электронных подписей при взаимоотношениях с определёнными государственными органами даже тем крупным организациям, которые имели собственные Удостоверяющие центры, пришлось дополнительно получать средства электронной подписи во внешних, аккредитованных Удостоверяющих центрах Дело в том, что по закону [4] мы имеем три вида электронных подписей – простая, усиленная неквалифицированная и усиленная квалифицированная. Последняя считается наиболее надёжной и выдаётся только аккредитованным центром. И только её можно использовать при сдаче налоговой отчётности, например, и некоторых прочих законодательно закреплённых взаимодействиях. Тогда как для внутрикорпоративных контактов можно применять любой вид подписи, и то же самое для межкорпоративных контактов при условии тщательно прописанных юридических договоров с указанием вида и формата подписи. Но, как правило, число сотрудников, которым по служебным обязанностям необходима усиленная квалифицированная подпись, невелико, и потому их приобретение не слишком обременительно для бюджета.
То есть с некоторых пор оптимальным вариантом для крупных компаний является использование и внутреннего (для основного числа поль-
зователей), и внешнего (для ограниченного количества сертификатов) Удостоверяющего центра.
Но теперь появилась ещё одна перспективная технология, которая, возможно, поменяет установившийся расклад. Речь идёт об Инфраструктуре управления полномочиями (PMI -Privilege Management Infrastructure). Это технология, которая устанавливает связь сертификатов открытых ключей (полученных на базе PKI, о чём говорилось выше) и дополнительной информации, применяемой для предоставления прав, полномочий и привилегий. Центральными элементами Инфраструктуры управления полномочиями являются Атрибутные сертификаты и Атрибутные центры. Атрибутный сертификат
– сертификат особого вида, содержащий ссылку на сертификат открытых ключей (один или несколько) какого-либо субъекта. Атрибутный центр выпускает и заверяет своей электронной подписью атрибутный сертификат. Механизмы PKI и PMI во многом схожи, но это разные технологии, работающие в единой связке на одну цель – надёжную аутентификацию и авторизацию пользователя. За аутентификацию отвечает сертификат открытых ключей, за авторизацию
– атрибутный сертификат. Напомним, что аутентификация – это доказательство подлинности личности пользователя, а авторизация – это предоставление определённых прав и полномочий. Авторизованный клиент – это клиент, имеющий право доступа куда-либо. Эти понятия часто путают, как путают и сами эти технологии – PKI и PMI, и их сертификаты. Это можно понять, потому что формат их во многом совпадает. Сведём в таблицу основные элементы технологий (таблица 1).
Понятие PKI PMI
Сертификат Сертификат открытого ключа Атрибутный сертификат
Издатель Удостоверяющий центр Атрибутный центр
Пользователь сертификата Физическое лицо, описанное как Subject Физическое лицо либо роль, либо электронный документ, описанный как Holder
Сертификат содержит Открытый ключ пользователя Ссылка на сертификат открытого ключа либо хэш электронного документа
Сущность связи Идентификационные данные пользователя и открытый ключ Пользователь и его привилегии
Удостоверяет Электронная подпись Удостоверяющего центра Электронная подпись Атрибутного центра
Дополнительные данные Любые Любые
Отзыв Список аннулированных сертификатов Удостоверяющего центра Список аннулированных сертификатов Атрибутного центра
Срок действия В соответствии с регламентом Удостоверяющего центра В соответствии со сроком действия привилегий, но не дольше чем соответствующий сертификат открытого ключа
Целевой функционал Аутентификация Авторизация
Таблица 1 – Основные понятия технологий PKI и PMI, сравнение
Заметим, что когда мы говорим «пользователь», мы не обязательно имеем в вицу человека. Это может быть и человек, и предмет, и процесс. Поскольку существует масса реальных ситуаций, когда и предмету, и процессу необходима аутентификация и регламентированный доступ к каким-либо ресурсам. Например, в книге [5] описана структура нефтеперегонного комплекса, который имеет разветвлённую структуру аппаратов, труб, снабженных сотнями датчиков, передающих такие показания, как температура, давление и т.д. Очень важно, чтобы диспетчер, получающий эти сведения, был уверен, что не произошло подмены или искажения ни на каком этапе ни по самим датчикам, ни по передаваемой ими информации. Поскольку это может привести к выходу из строя всего комплекса и даже колоссальным взрывам. То есть датчики должны корректным образом ау-тентифицироваться, их показания должны сохранять целостность и достоверность. А это как раз зона ответственности Инфраструктуры открытых ключей.
Каковы же преимущества применения технологии Инфраструктуры управления привилегиями? Сертификаты открытого ключа, которые сегодня уже получили достаточно широкое применение, содержат идентификационные данные владельца, его открытый ключ и электронную подпись Удостоверяющего центра, которая заверяет эти данные и принадлежность ключа конкретному пользователю. Но кроме этого формат сертификата подразумевает определённое количество дополнительных полей, и их можно заполнять данными, необходимыми для тех информационных систем, в которых данный сертификат будет применяться. В эти поля можно поместить информацию о должности, месте работы, особых условиях доступа и даже о специфике транзакций, которые разрешены пользователю. Например, можно поставить условие, что денежный перевод до десяти тысяч рублей разрешён, а свыше этой суммы -запрещён. Это очень удобный и надёжный способ контроля и регламентации транзакций. Но проблема в том, что эти условия и дополнительные специфические данные могут изменяться достаточно часто. А сертификат открытого ключа выдаётся на срок от года до трёх, и при любом изменении его содержимого требует отзыва и переиздания. Это непростая процедура, она финансово и организационно затратная. Гораздо выгоднее было бы поместить наиболее изменчивую информацию в отдельный документ, и там же поставить ссылку на исходный сертификат открытого ключа. Тогда и получается атрибутный сертификат. А в сертификате открытого ключа остаётся только долговременная,
редко меняющаяся информация. И основная функция этого ключа – идентификация и аутентификация пользователя. Атрибутному же сертификату идентификационные данные ни к чему, для него не надо генерировать ключевую пару. То есть создание и поддержка этого сертификата гораздо проще и дешевле. Этим может заниматься корпоративный Атрибутный центр, который обслуживает функциональность конкретного предприятия и, соответственно, использует те дополнительные данные о пользователе и его правах доступа, которые ему нужны. Атрибутный центр, как и Удостоверяющий, заверяет данные своей электронной подписью [6]. В этом есть логика – компания отвечает за те сведения о своём сотруднике, которые находятся в зоне её ответственности. Если же внешний Удостоверяющий центр вынужден заверять, например, профессиональную информацию о пользователе, то нужно особо тщательно организовывать процедуру получения дополнительных сведений и ответственности за их достоверность и актуальность. Кроме того, сертификаты открытого ключа по закону должны находиться в публичном доступе, и в случае наличия в них специфических сведений возникает противоречие с законом о персональных данных, который запрещает их выставлять в открытый доступ. А атрибутные сертификаты могут храниться внутри компании со всеми необходимыми предосторожностями, открывать их совершенно необязательно. При любом изменении прав пользователя или его статуса эти сертификаты могут быть легко и быстро переизданы, и это никак не повлияет на сертификат открытого ключа. Получается гибкая, удобная и эффективная система, с помощью которой менеджмент организации может управлять правами и привилегиями своих сотрудников относительно доступа к информационным ресурсам. На такой основе могут выстраиваться на предприятии информационно-аналитические системы по обеспечению экономической безопасности [7].
Кроме того, можно выпускать атрибутный сертификат не для человека, а для роли (role specification certificate), и помещать туда необходимые для роли атрибуты. Это очень практичный вариант. Недаром во многих продвинутых системах управления базами данных, например, Oracle, используется тот же самый механизм делегирования прав (грантов) именно роли, а уже человеку назначается готовая роль (роли).
Атрибутный центр, как и Удостоверяющий, может выдавать, отзывать, приостанавливать действие своих сертификатов, вести их реестр. Конечно, срок действия атрибутного сертификата не может перекрывать срок действия
исходного сертификата открытого ключа, на который ссылается атрибутный сертификат. В этом он зависит от сертификата открытого ключа. Но сертификат открытого ключа от атрибутного сертификата не зависит никак.
Кроме того, есть ещё одно замечательное качество атрибутного сертификата, которое может быть крайне полезно для работы с электронными документами в организации. Оно состоит в том, что атрибутный сертификат можно назначать не пользователю, а документу [8]. Это может быть электронный реестр, или выписка, или лицензия, и т.д. – любой документ, имеющий ограниченный срок действия с возможным в любой момент отзывом. Однозначная связь атрибутного сертификата с документом обеспечивается через указание хэша документа в сертификате. В этом случае актуальность документа определяется статусом сертификата: если сертификат не отозван – документ действителен, если отозван – недействителен Достаточно логичный и удобный механизм. Кроме того, атрибутные сертификаты обеспечивают защищённую передачу данных между информационными системами.
Концепция Атрибутного центра и Атрибутного сертификата известна уже несколько лет, она изложена в международных рекомендациях RFC 3281 [9]. Но относительно применения на практике этой концепции известно очень мало. Это, конечно, объяснимо: Инфраструктура открытых ключей (PKI) и сама по себе довольно сложна, а связка с Инфраструктурой управления полномочиями (PMI) на первый взгляд дополнительно усложняет данную тематику. Но только на первый взгляд. Поскольку здесь есть прямая аналогия с реалиями повседневной жизни: сертификат открытого ключа можно представить как паспорт, идентифицирующий субъекта, а атрибутный сертификат -пропуск, полученный на основе паспорта, или виза, или любой другой подчинённый документ. Но любая технология работает тогда, когда для
неё есть инфраструктура – техническая, организационная, правовая. На сегодняшний день дела с этим обстоят неудовлетворительно. Но работа по развитию, популяризации, внедрению этого механизма идёт. Специалисты однозначно признают полезность и перспективность Инфраструктуры управления полномочиями. Есть основания считать, что ожидается внесение изменений в Федеральный закон № 63 «Об электронной подписи», где будут определяться и описываться понятия Атрибутного центра, Атрибутного сертификата, их особенностях и связи с Инфраструктурой открытых ключей. Это, безусловно, даст толчок развитию и внедрению в массовую практику этой концепции. Заметим, что в Республике Беларусь с 1 сентября 2021 г. уже введен государственный стандарт СТБ 34.101.67 “Информационные технологии и безопасность. Инфраструктура атрибутных сертификатов” [10]. Нашим компаниям надо внимательно изучать опыт белорусских коллег с целью использовать лучшие наработки для себя.
Таким образом, на сегодняшний день мы видим набор возможностей по организации на предприятии систем защиты информации, использующих сертификаты открытого ключа и атрибутные сертификаты. Каждый из них имеет свои преимущества и недостатки, коротко изложенные в таблице 2. Плюс к этому надо учитывать специфику предприятия, масштаб, задачи, риски, объём информационных потоков, критичность обрабатываемых данных и др. факторы. Возможность, перспективность, экономическая целесообразность принятых решений зависит от качества и заинтересованности управляющего менеджмента компании. От адекватности и правильности решений зависит качество защиты информационных ресурсов, и в целом повышения информационной культуры, безопасности, эффективности функционирования корпоративных механизмов управления, и в конечном счёте конкурентоспособность предприятия.
Таблица 2 – Применение Удостоверяющего и Атрибутного центров для организации
Вариант Преимущества Недостатки
1 2 3
Корпоративный Удостоверяющий центр Гибкость, дешевизна, полный контроль за информацией и персональными данными Невозможность взаимодействия с госорганами. Сложность взаимодействия с внешними партнёрами
Внешний аккредитованный Удостоверяющий центр Нет необходимости содержать в штате подразделение и специалистов с криптографической подготовкой. Возможность взаимодействия с госорганами Высокая стоимость. Сложность внесения дополнительной информации, необходимой собственным информационным системам
Аккредитованный Удостоверяющий центр Корпоративный Удостоверяющий центр Приемлемая стоимость при широком охвате персонала системами электронной подписи для внутренних и внешних коммуникаций Сложность администрирования и сведения в один комплекс сертификатов с разным форматом и содержимым. Необходимость отдельно описывать в своих информационных системах взаимодействие с внутренними и внешними сертификатами
Продолжение таблицы 2
1 2 3
Аккредитованный Удостоверяющий центр Корпоративный Атрибутный центр Гибкость во внедрении и использовании любой необходимой информации по привилегиям и транзакциям своих пользователей Высокая стоимость приобретения сертификатов открытого ключа для большого количества пользователей
Аккредитованный Удостоверяющий центр Корпоративный Удостоверяющий центр Корпоративный Атрибутный центр Гибкость во внедрении и использовании любой необходимой информации по привилегиям и транзакциям своих пользователей. Приемлемая стоимость при широком охвате персонала системами электронной подписи Дополнительная сложность администрирования как внешних, так и внутренних сертификатов открытого ключа
Что касается сравнительной стоимости использования внешнего Удостоверяющего центра, внутреннего корпоративного Удостоверяющего центра и Атрибутного центра, то оно в большой степени зависит от количества пользователей. При числе пользователей от 500 человек, безусловно, развёртывание внутреннего Удостоверяющего центра экономически оправдано. Относительно Атрибутного центра можно сказать, что практика его применения пока слишком мала, чтобы можно было делать обоснованные выводы. Предварительные расчёты показывают очень обнадёживающие оценки стоимости его функционирования, но надо дождаться реальных результатов.
Электронные взаимодействия не только технологически являются шагом вперёд по сравнению с бумажными, поскольку многократно упрощают информационный обмен, существенно повышают качество работы организаций, конкурентоспособность и прибыль коммерческих компаний, но и являются крайне эффективным средством по борьбе с коррупцией. Суть в том, что движение документов становится столь прозрачным, быстрым и наглядным, что любые задержки, неправомерные изменения, потеря документов, персональная ответственность сотрудников на каждом шаге становятся очевидны и легко доказуемы.
Таким образом, коррупциогенность в нашей стране несомненно снизится, а это само по себе является импульсом для оздоровления общества, развития экономики, повышения экономической безопасности как отдельных предприятий и организаций, так всего государства в целом. Но для этого необходимо использовать наиболее передовые методы и средства, предоставляемые современной наукой и технологией.
В чём новизна данного подхода, использующего атрибутные сертификаты и Инфраструктуру управления привилегиями? Если рассматривать сертификаты открытого ключа, уже
широко распространённые в нашей стране и в коммерческих, и в бюджетных организациях, то наиболее сложная, трудоёмкая и ответственная часть их создания – это надёжная идентификация пользователя (через личную встречу, с изучением и сличением паспорта либо других документов) и генерация криптографических ключей соответствующего уровня защиты, с проверкой их уникальности. Здесь требуется как серьёзная технологическая инфраструктура, так и организационные мероприятия. И как раз этого совершенно не требуется при создании атрибутных сертификатов. При том, что возможности и преимущества атрибутных сертификатов в смысле гибкости, лёгкой замены и регламентированности доступа и транзакций исключительно высоки. К тому же решается проблема интеграции различных сертификатов открытого ключа, выданных разными Удостоверяющими центрами, в единую информационную инфраструктуру предприятия, унифицированную для своих потребностей и использующую сходные алгоритмы. Этим достигается не только повышение эффективности, но и снижение затрат на приобретение и техническую поддержку систем электронной подписи, дифференцированного доступа, аутентификации и авторизации пользователей.
Разработка и развитие механизмов, использующих сертификаты, на сегодняшний день далеко не закончена. Это сложные механизмы, и их внедрение в широкую практику идёт достаточно тяжело. Есть разные варианты, и какой из них «выстрелит», то есть получит широкое применение и признание не только среди специалистов, но и среди населения, пока не совсем ясно.
Один из вариантов предложен в данной статье. Описана его специфика, его практическая пригодность и экономическая выгода от применения для современного, технологически продвинутого и конкурентоспособного пред-
приятия.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Указ Президента РФ от 31.12.2021 № 683 “О Стратегии национальной безопасности Российской Федерации” [Электронный ресурс]. – Режим доступа: http://www.rg.ru/2021/12/31/nac-bezopasnost-site-dok.html
2. Федеральный закон от 05.04.2021 № 44- ФЗ (ред. от 30.12.2021) “О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд” [Электронный ресурс]. – Режим доступа: https://www.consultant.ru/document/cons_doc_LAW_144624/
3. Губанова, С.Е. Особенности работы корпоративного Удостоверяющего центра крупного промышленного предприятия // Информационные системы и технологии: управление и безопасность. Сборник статей II Международной заочной научно-практической конференции / Поволжский гос. ун-т сервиса. – Тольятти-Русе: Изд-во ПВГУС, 2021. – № 2. – С. 185-191.
4. Федеральный закон Российской Федерации от 6 апреля 2021 г. №63-ФЗ «Об электронной подписи» [Электронный ресурс]. – Режим доступа: http://www.rg.ru/2021/04/08/podpis-dok.html
5. Фергюсон, Н., Шнайер Б. Практическая криптография / Нильс Фергюсон, Брюс Шнайер; пер. с англ. – М: Вильямс, 2004. – С. 339.
6. Глухова, Л.В. Губанова С.Е. Некоторые аспекты менеджмента информационной безопасности промышленных комплексов // Вестник Волжского университета им. В.Н. Татищева. – 2021. – № 3 (34). – С. 135-144.
7. Глухова, Л.В. Информационно-аналитическая деятельность по обеспечению экономической безопасности // Наука – промышленности и сервису. – Тольятти, 2021. – № 8-1. – С. 154-157.
8. Муругов, С.М. Применение атрибутных сертификатов (АС) в системах защищенного ЭДО [Электронный ресурс]. – Режим доступа: www.gdm.ru/upload/iblock/4d2/murugov_vlast 2021.ppt
9. «An Internet Attribute Certificate Profile for Authorization» [Электронный ресурс]. – Режим доступа: https ://www. ietf. org/rfc/rfc3281.txt
10. Информационные технологии и безопасность. Инфраструктура атрибутных сертификатов СТБ 34.101.67 [Электронный ресурс]. – Режим доступа: http://pki.gov.by/docs/Formats.pdf
Где их получить?
Оба сертификата можно оформить в регистрационном центре ГосСУОК или на сайте Единого портала электронных услуг. Для этого достаточно войти в личный пользовательский кабинет на сайте portal.gov.by и выбрать нужную электронную услугу. После оплаты сервисного сбора электронный сертификат сохраняется в хранилище сертификатов, а доступ к нему отобразится в личном кабинете пользователя.
![]()
Дополнения сертификата
Важная информация находится также в дополнениях сертификата. Они позволяют включать в сертификат информацию, которая отсутствует в основном содержании, определять валидность сертификата и наличие у владельца сертификата прав доступа к той или иной системе.
Кроме того, в дополнениях содержится технологическая информация, позволяющая легко проверить подлинность сертификата. Каждая организация может использовать свои частные дополнения, удовлетворяющие конкретным требованиям ведения бизнеса.
Опциональное полеExtensions (дополнения) появляется в сертификатах третьей версии. Каждое дополнение состоит из идентификатора типа дополнения Extension identifier, признака критичностиCriticality flag и собственно значения дополнения Extension value. Идентификатор типа дополнения задает формат и семантику значения дополнения. Признак критичности сообщает приложению, использующему данный сертификат, существенна ли информация о назначении сертификата и может ли приложение игнорировать данный тип дополнения.
Если дополнение задано как критичное, а приложение не распознает данный тип дополнения, то сертификат не должен использоваться приложением. Приложение может игнорировать нераспознанное некритичное дополнение и использовать сертификат.
Дополнения сертификатов X.509 определены рекомендациями Х.509 версии 3 Международного Союза по телекоммуникациям и документом RFC 3280 [167]. Все эти дополнения можно разделить на две категории: ограничивающие и информационные[10].
Первые ограничивают область применения ключа, определенного сертификатом, или самого сертификата. Вторые содержат дополнительную информацию, которая может быть использована в прикладном программном обеспечении пользователем сертификата. К ограничивающим дополнениям относятся:
К информационным дополнениям относятся:
Документ RFC 3280 Certificate & CRL Profile пока не рекомендует использовать дополнениеSubject Directory Attributes, которое предназначено для доставки любых значений атрибутов каталога X.
500, характеризующих субъект данного сертификата. Вместе с этим стандарт X.509 позволяет вводить любые другие дополнения, необходимость которых определяется их использованием в конкретной системе (например, в системе SET ).
Субъектом сертификата может быть конечный пользователь, система или УЦ. Основные поля сертификата одинаковы для всех субъектов. Различать субъекты сертификатов и оценивать возможность построения пути сертификации позволяет дополнениеBasic Constraints (основные ограничения), используемое только для удостоверяющих центров.
ДополнениеKey Usage (назначение ключа) отражает области применения секретного ключа, соответствующего указанному в сертификате открытому ключу. В одноименной графе (таблицы 6.1) перечислены возможные области применения ключа.
ДополнениеSubject Alternative Name (альтернативное имя субъекта) позволяет расширить границы идентификации владельца сертификата при помощи альтернативных имен, таких как DNS-имена, IP-адреса, URI-адреса или адреса электронной почты Интернета. Альтернативное имя должно проверяться в соответствии с регламентом УЦ.
Помимо зарегистрированных типов имен УЦ может использовать свои собственные имена, задавая их в полеOther Name. Аналогичная информация содержится и в дополнении Issuer Alternative Name, характеризующем издателя сертификата.
Удостоверяющие центры могут иметь много пар ключей, и дополнениеAuthority Key Identifier (идентификатор ключа УЦ) помогает пользователям выбрать правильный ключ для верификации подписи на сертификате.
Пользователи также могут владеть несколькими парами ключей или несколькими сертификатами для одного и того же ключа. ДополнениеSubject Key Identifier (идентификатор ключа субъекта) используется для того, чтобы различать ключи подписи в сертификатах одного и того же владельца.
ДополнениеCRL Distribution Point (пункт распространения САС) задает унифицированный идентификатор ресурса (UniformResourceIdentifier – URI) для указания местонахождения списка аннулированных сертификатов, то есть определяет пункт распространения САС.
Сертификаты set
Протокол SET, который базируется на техническом стандарте, разработанном компаниями VISA и Master Card, обеспечивает безопасность электронных расчетов по пластиковым картам через Интернет: гарантирует конфиденциальность и целостность информации о платежах, аутентификацию счета владельца карты и дает возможность подтвердить право коммерсанта (продавца) проводить финансовые операции с финансовым учреждением [1].
Цифровые сертификаты, также известные как электронные мандаты или цифровые удостоверения личности, используются для связывания открытых ключей и субъектов и выпускаются доверенной третьей стороной или компанией – УЦ.
Сертификаты владельцев карт выдаются только с разрешения финансового учреждения – эмитента этих карт, снабжаются его цифровой подписью и не могут быть изменены третьей стороной. Сертификаты содержат данные о номере счета и периоде действия, которые шифруются с использованием известного алгоритма шифрования с секретным ключом – Data Encryption Standard (DES).
Сертификаты продавцов снабжаются цифровыми подписями их финансовых учреждений, открывающих счета продавцов и обрабатывающих авторизации и платежи по картам. Эти финансовые учреждения являются получателями платежей, переводимых посредством системы межбанковских расчетов.
Чтобы участвовать в системе SET, и получатели платежей, и эмитенты карт также должны иметь сертификаты от каждой ассоциации платежных карт. Сертификаты SET проверяются в иерархии доверия.
Конфиденциальность и целостность сообщений, которыми обмениваются участники системы защищенных электронных транзакций, обеспечивается механизмом двойных подписей. Содержание каждого сообщения шифруется при помощи случайно сгенерированного симметричного ключа шифрования.
Этот ключ, в свою очередь, шифруется с использованием открытого ключа получателя сообщения. Созданный в результате последней операции так называемый цифровой конверт отправляется получателю вместе с зашифрованным сообщением. После получения цифрового конверта получатель расшифровывает его при помощи своего секретного ключа, чтобы получить случайно сгенерированный симметричный ключ для расшифровки исходного сообщения отправителя. Протокол SET предоставляет участникам сервис аутентификации на базе сертификатов формата X.
509 и имеет средства аннулирования,
реализованные с помощью списка аннулированных сертификатов. Спецификации SET[113], [114] и [115] задают стандарт поддержки платежей по кредитным картам в распределенных сетях. SET адаптирует формат сертификата открытого ключа X.
509 и задает свои собственные специфические дополнения, которые поддерживаются только в SET-совместимых системах [44]. SET также предъявляет определенные требования профиля к стандартным дополнениям. Ниже иллюстрируется структуру сертификата SET.
Отметим, что на вышеуказанной схеме представлены не все возможные дополнения. Поскольку не-SET-приложения не понимают частные дополнения, задаваемые SET, нельзя ожидать, что не-SET-приложение (например, электронная почта на базе S/MIME) примет к использованию сертификат SET.
Это действительно так, хотя формат сертификата SET согласуется с форматом сертификата X.509 v3. Дополнение Тип сертификата является критическим, следовательно, не-SET-приложение должно отвергать SET -сертификат.
Пометка определенных дополнений как критических является общепринятой практикой для того, чтобы определенный тип сертификата мог использоваться только в контексте данного приложения. Этот пример характеризует ситуацию,
когда конечному пользователю требуется несколько сертификатов.
Сертификаты, руководства, инструкции и по – национальный центр электронных услуг
Аддзел адміністравання інфармацыйных сістэм
,
начальнік аддзела
375 17 311 30 00 доб. 235
Задачы аддзела:
Адміністраванне, суправаджэнне і забеспячэнне бяспечнай і бесперабойнай працы інфармацыйных сістэм прадпрыемства:
сістэмы абароненай электроннай пошты для дзяржаўных органаў і арганізацый,
адзінай інфармацыйнай сістэмы кантролю за выкананнем даручэнняў Прэзідэнта Рэспублікі Беларусь,
сістэмы міжведамаснага дакументазвароту дзяржаўных органаў,
агульнадзяржаўнай аўтаматызаванай інфармацыйнай сістэмы,
аўтаматызаваных сістэм рэспубліканскага сведчага цэнтра ДзяржСКАК,
сістэм электроннага дакументазвароту,
іншых інфармацыйных сістэм прадпрыемствы, на базе якіх аказваюцца паслугі прадпрыемства
