Віктор Малочінскій
Заступник генерального директора ЗАТ "МО ПНІЕІ"
Володимир Хрупов
Перший заступник генерального директора ЗАТ "Ай Ес Джі" по роботі з державними структурами
Історія і перспективи розвитку ЕСПП
СКЗІ "Верба" експлуатується на пошті вже більше 10 років, однак зміна нормативної бази, зростання вимог і споживчих запитів з інформаційного взаємодії, науково-технічний прогрес в області інформаційних технологій зажадали від власників інформаційних систем проведення своєчасних змін в їх функціонуванні, забезпечуючи розвиток і відповідність нових реалій і загрозам.
Особливе місце в системі електронних грошових переказів займають питання захисту інформації. Система криптографічного захисту інформації несе тут подвійне навантаження: відповідно до Закону "Про поштовий зв'язок" забезпечує таємницю зв'язку та економічну безпеку підприємства (значимість переданої інформації виключно велика: середньомісячні обсяги переказів перевищують 27 млрд руб. Розмір одного переказу до 500 тис. Руб.) . Переклад системи захисту інформації на сучасні ЗКЗІ, що працюють в інфраструктурі відкритих ключів (ІВК), підвищує рівень безпеки і керованості системою. Система захисту інформації ЕСПП побудована за принципом абонентського взаємодії. На малюнку зображені чинний і модернізований контури підсистем інформаційної безпеки.
Центр управління ключовою системою (ЦУКС)
Основним елементом чинного контуру системи захисту є центр управління ключовою системою (ЦУКС), що складається з двох автоматизованих робочих місць - адміністратора безпеки (АРМ АБ) і центру управління ключовою системою (АРМ ЦУКС). АРМ АБ забезпечує (до закінчення терміну дії сертифіката) генерацію особистих ключових дисків користувачів (ЛКД) СКЗІ "Верба", що містять ключі ЕЦП та шифрування. АРМ ЦУКС забезпечує передачу абонентам реєстраційних файлів відкритих ключів ЕЦП і оперативне оповіщення абонентів про зміни, що відбуваються в мережі (компрометація ключів, відновлення конфіденційного зв'язку після компрометації ключів, включення нових абонентів і т.п.). АРМ ЦУКС дозволяє організувати управління системою структури "зірка", але множинні горизонтальні зв'язки між користувачами практично нездійсненні.
СКЗІ "Верба-OW" версії 6.1.2
Вимоги нового державного стандарту і розвиток технології СКЗІ "Верба" привели до створення продукту нового покоління - СКЗІ "Верба-OW" версії 6.1.2. Це засіб мало чим відрізняється від своєї попередниці по інтерфейсів, що забезпечує відносно легкий перехід з ранньої версії і не призводить до необхідності перенавчання всього персоналу, що експлуатує дане ЗКЗІ. Однак в цю версію ЗКЗІ внесений ряд змін, що дозволяють в повній мірі використовувати переваги нових стандартів і технологій. Основна відмінність полягає в підтримці роботи з цифровими сертифікатами відкритих ключів, і як наслідок - децентралізоване виготовлення ключів шифрування і ЕЦП. Для цих цілей використовується апаратно-програмний комплекс (АПК) "Верба-Сертифікат MB", який служить основою для реалізації корпоративного посвідчує центру (УЦ).
Використання в повному обсязі переваг, що надаються технологією цифрових сертифікатів відкритих ключів, передбачає створення у складі головного пункту (ДП) ЕСПП нового контуру захисту інформації та заміну ЗКЗІ на ТПО. Контур інформаційної безпеки в інфраструктурі відкритих ключів (ІВК) включає наступні компоненти:- Центр сертифікації з функціями випуску сертифікатів, списків відкликаних (виведених з дії) сертифікатів та їх зберігання протягом встановленого терміну;
- Центр реєстрації підсистема, якою центр сертифікації делегує ряд адміністративних функцій, зокрема, реєстрацію користувачів;
- Мережевий довідник сертифікатів підсистема або безліч розподілених підсистем, що забезпечують зберігання і доступність для користувачів сертифікатів і списку відкликаних.
Використання цифрових сертифікатів
Технічна структура ЕСПП
Істотною перевагою обраного рішення модернізації системи інформаційної безпеки ЕСПП є використання створеної технічної структури і накопиченого досвіду експлуатації.
У ЕСПП розрізняються два типи пунктів обслуговування. Перший розташовується у відділеннях поштового зв'язку. На ньому здійснюється безпосереднє обслуговування клієнтів. Апаратна частина цих ТПО є поштово-касові термінали (ПКТ) -Робочі місця поштових операторів, обладнані програмним комплексом, що включає ЗКЗІ, який називається "захищений пункт термінальної обробки" (ЗПТО).
Другий тип ТПО - це проміжні пункти, організовані на технологічних об'єктах поштового зв'язку. З їх допомогою забезпечуються безготівкові розрахунки між юридичними особами і так звана "гібридна технологія" на ділянці "останньої милі". Суттю "гібридної технології" є перетворення "паперового" поштового переказу в захищений електронний файл і передача його по мережі в пункт оплати через процесинговий центр, а також зворотне перетворення надходить електронної інформації в форму паперового документа для ОПС своєї зони обслуговування. Ці операції проводяться на захищених пунктах паперової технології (ЗПБТ), апаратно-програмний комплекс якого включає і ЗКЗІ.
Модернізація системи інформаційної безпеки ЕСПП - основоположного інфраструктурного елемента - має велике значення для Пошти Росії і її клієнтів, відкриває додаткові можливості взаємодії з системами захищеного електронного документообігу організацій-партнерів, в тому числі і використовують криптографію інших розробників, розробки і надання нових послуг.