УДК 004.056::005.92
(UDK 004.056::005.92)
(CONCEPT DESIGN SOLUTIONS ON IMPLEMENTING SECURE ELECTRONIC DOCUMENT FLOW IN PRACTICE. PART 2. ADVANCED DEVELOPMENT)
Представленная публикация продолжает рассмотрение вопросов практической реализации решений для безопасного электронного документооборота. В первой части1 отмечалось, что, несмотря на доступность некоторых типовых решений, имеются существенные неразрешимые системные противоречия, например, между обеспечением безопасности, удобства, интероперабельности, достоверности и пр. Как продемонстрировано в аналитическом обзоре, до сих пор не было представлено эффективное решение, обеспечивающее риск-ориентированный подход при внедрении схем электронного документооборота с доказанной безопасностью при реализации международного трансграничного взаимодействия.
Целями второй части статьи стали исследование основных технических проблем реализации проектов электронного документооборота; разработка общего схемотехнического решения и практическая оценка рисков текущего уровня безопасности на базе представленной методики; определение остаточных рисков с учетом степени зрелости и применения различных вариантов средств обеспечения безопасности. Использовались методы анализа проблем и обработки экспериментальных данных, которые позволяют выполнять независимые объективные проверки.
В статье представлены новое схемотехническое решение электронного документооборота, характеризующееся высоким уровнем устойчивости, и его соответствие требованиям информационной безопасности (в том числе регламентам General Data Protection Regulation для обеспечения защиты персональных данных и eIDAS (electronic IDentification, Authentication and trust Services) для применения электронных подписей). Отмечено, что авторская разработка получила в 2021 г. патент РФ, подтверждающий новизну, техническую зрелость схемы и ее практическую применимость. Решение может использоваться при создании юридически значимого защищенного электронного документооборота для различных типов организаций в соответствии с заданными требованиями информационной безопасности, в том числе для Группы «Газпром».
1 Статья «Схемотехнические решения для практической реализации безопасного электронного документооборота. Часть 1. Аналитический обзор» была опубликована в журнале «Газовая промышленность» № 9 (837) за 2022 г.
This paper extends previous considerations on implementation of secure electronic document flow solutions in practice. The first part mentioned that2, though some generic solutions are available, there are still major unresolvable system contradictions e. g. between assurance of security, usability, interoperability, reliability, etc. As demonstrated in the analytical review, so far there has been no effective solution that delivered a risk-based approach in the course of implementation of electronic document flows with proven security regarding international cross-border interaction.
The second part of the paper aims to study the main engineering challenges in implementation of electronic document flow projects; to develop a general concept design solution and assess operational risks for the current security level based on the provided method; to determine residual risks considering maturity and application of various security tools. It was used methods of problem analysis and processing of experimental data, ensuring independent and unbiased verification. The article introduces new concept design of electronic document flow that has a high level of stability and compliance with IT security requirements (including General Data Protection Regulation for personal data protection and eIDAS (electronic IDentification, Authentication and trust Services) for application of electronic signatures). It was noted that the authors’ development was granted a patent of the Russian Federation in 2021, thus confirming the novelty, maturity of the concept design, as well as its feasibility. This solution is suitable for developing legally relevant and secure electronic document flow for various business entities in accordance with the specified IT security requirements, in particular for those of Gazprom Group.
2 “Concept design solutions on implementing secure electronic document flow in practice. Part 1. Analytical review” article was published in Gas Industry [Gazovaya promyshlennost'] Journal No. 9 (837) in 2022.
И.И. Лившиц, д.т.н., проф., Филиал Gazprom EP International Services B.V. в г. Санкт-Петербурге (Санкт-Петербург, Россия), ФГАОУ ВО «Национальный исследовательский университет ИТМО» (Санкт-Петербург, Россия), Livshitz.il@yandex.ru
Е.О. Соколов, Филиал Gazprom EP International Services B.V. в г. Санкт-Петербурге, ФГАОУ ВО «Национальный исследовательский университет ИТМО»
А.А. Лукьянова, Филиал Gazprom EP International Services B.V. в г. Санкт-Петербурге, ФГАОУ ВО «Национальный исследовательский университет ИТМО»
I.I. Livshits, DSc in Engineering, Professor, Branch Office of Gazprom EP International Services B.V. in Saint Petersburg (Saint Petersburg, Russia), ITMO University (Saint Petersburg, Russia), Livshitz.il@yandex.ru
E.O. Sokolov, Branch Office of Gazprom EP International Services B.V. in Saint Petersburg, ITMO University
A.A. Lukyanova, Branch Office of Gazprom EP International Services B.V. in Saint Petersburg, ITMO University
Лившиц И.И., Соколов Е.О., Лукьянова А.А. Схемотехнические решения для практической реализации безопасного электронного документооборота. Часть 1. Аналитический обзор // Газовая промышленность. 2022. № 9 (837). С. 40–56.
Патент № 2759249 Российская Федерация, МПК G06F 21/64 (2013.01), G06Q 10/00 (2012.01). Вычислительное устройство для осуществления трансграничного электронного документооборота (варианты) и способ осуществления трансграничного электронного документооборота: № 2021104388: заявл. 20.02.2021: опубл. 11.11.2021 / Лившиц И.И., Соколов Е.О., Тарасевич К.В., Лукьянова А.А. // Yandex.ru: патенты. URL: https://yandex.ru/patents/doc/RU2759249C1_20211111 (дата обращения: 31.10.2022).
Российская Федерация. Законы. Об электронной подписи: федер. закон от 06.04.2011 № 63-ФЗ: послед. ред. // КонсультантПлюс: сайт. URL: https://www.consultant.ru/document/cons_doc_LAW_112701/ (дата обращения: 31.10.2022). Режим доступа: для зарегистрир. пользователей.
Российская Федерация. Законы. О персональных данных: федер. закон от 27.07.2006 № 152-ФЗ: послед. ред. // КонсультантПлюс: сайт. URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 31.10.2022). Режим доступа: для зарегистрир. пользователей.
Кадровый юридически значимый документооборот для компаний холдингового типа // 1С:Проект года: сайт. URL: https://eawards.1c.ru/projects/kadrovyy-yuridicheski-znachimyy-dokumentooborot-dlya-kompaniy-holdingovogo-tipa-130872/ (дата обращения: 31.10.2022).
«Сенеж» расписали во всех красках // ИД «Коммерсантъ»: офиц. сайт. URL: https://www.kommersant.ru/doc/5436259?ysclid=l7w72b38nn911800803 (дата обращения: 31.10.2022).
ISO 31000:2018. Risk management. A practical guide // ISO: офиц. сайт. URL: https://www.iso.org/ru/publication/PUB100464.html (дата обращения: 31.10.2022). Режим доступа: после приобретения.
Р 50.1.093–2014. Менеджмент риска. Принципы оценки эффективности воздействий на риск // Кодекс: электрон. фонд правовых и норматив.- техн. док. URL: https://docs.cntd.ru/document/1200120079 (дата обращения: 31.10.2022).
Российская Федерация. Правительство. Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений: постановление Правительства Российской Федерации от 08.02.2018 № 127 // Правительство Российской Федерации: офиц. сайт. URL: http://government.ru/docs/31335/ (дата обращения: 31.10.2022).
Из-за возможной кибератаки Росавиация перешла на бумажный документооборот // SecurityLab.ru: информ. портал. URL: https://www.securitylab.ru/news/530833.php?ysclid=l7w7dpyle8771211745 (дата обращения: 31.10.2022).
Победители конкурса 1С:Проект года 2020 // 1С:Проект года: сайт. URL: https://eawards.1c.ru/winners/2020/ (дата обращения: 31.10.2022).
Договор о Евразийском экономическом союзе: ред. от 01.10.2019 // КонсультантПлюс: сайт. URL: http://www.consultant.ru/document/cons_doc_LAW_163855/0be36c1fcadd0cdd1f8c0984ef99fbc7d8da61b9/ (дата обращения: 31.10.2022). Режим доступа: для зарегистрир. пользователей.
Российская Федерация. Законы. О проведении эксперимента по использованию электронных документов, связанных с работой: федер. закон от 24.04.2020 № 122-ФЗ: послед. ред. // КонсультантПлюс: сайт. URL: http://www.consultant.ru/document/cons_doc_LAW_351124/ (дата обращения: 31.10.2022). Режим доступа: для зарегистрир. пользователей.
ISO/IEC 27001:2013/DAmd 1. Information technology – Security techniques – Information security management systems – Requirements – Amendment 1 // ISO: офиц. сайт. URL: https://www.iso.org/ru/publication/PUB100464.html (дата обращения: 31.10.2022). Режим доступа: после приобретения.
ГОСТ Р ИСО/МЭК 27001–2021. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования // Кодекс: электрон. фонд правовых и норматив.-техн. док. URL: https://docs.cntd.ru/document/1200181890 (дата обращения: 21.10.2022).
Российская Федерация. Законы. О безопасности критической информационной инфраструктуры Российской Федерации: федер. закон от 26.07.2017 № 187-ФЗ: послед. ред. // КонсультантПлюс: сайт. URL: https://www.consultant.ru/document/cons_doc_LAW_220885/?ysclid=l8ym1xqh7x960384723 (дата обращения: 31.10.2022). Режим доступа: для зарегистрир. пользователей.
Российская Федерация. Президент. О дополнительных мерах по обеспечению информационной безопасности Российской Федерации: указ Президента Российской Федерации от 01.05.2022 № 250 // Президент России: офиц. сайт. URL: http://www.kremlin.ru/acts/bank/47796 (дата обращения: 31.10.2022).
Брюховецкий К.А., Лившиц И.И. Анализ влияния регламента General Data Protection Regulation на деятельность предприятий топливно-энергетического комплекса // Энергобезопасность и энергосбережение. 2020. № 5. С. 55–63. DOI: 10.18635/2071-2219-2020-5-55-63.
Лившиц И.И. Оценка степени влияния General Data Protection Regulation на безопасность предприятий в Российской Федерации // Вопросы кибербезопасности. 2020. № 4 (38). С. 66–75. DOI: 10.21681/2311-3456-2020-04-66-75.
Российская Федерация. Федеральная налоговая служба. О расширении электронного документооборота между налогоплательщиками и налоговыми органами в отношениях, регулируемых законодательством о налогах и сборах: приказ Федер. налоговой службы от 27.12.2017 № ММВ-7-6/1096 // Федеральная налоговая служба: офиц. сайт. URL: https://www.nalog.gov.ru/rn77/about_fts/docs/7145722/ (дата обращения: 31.10.2022).
Налоговый кодекс Российской Федерации // КонсультантПлюс: сайт. URL: https://www.consultant.ru/document/cons_doc_LAW_19671/ (дата обращения: 31.10.2022). Режим доступа: для зарегистрир. пользователей.
Российская Федерация. Законы. О внесении изменений в Трудовой кодекс Российской Федерации: федер. закон от 22.11.2021 № 377-ФЗ: послед. ред. // КонсультантПлюс: сайт. URL: http://www.consultant.ru/document/cons_doc_LAW_400854/ (дата обращения: 31.10.2022). Режим доступа: для зарегистрир. пользователей.
ГОСТ Р 7.0.8–2013. Делопроизводство и архивное дело. Термины и определения // Кодекс: электрон. фонд правовых и норматив.-техн. док. URL: https://docs.cntd.ru/document/1200108447 (дата обращения: 31.10.2022).
Трудовой кодекс Российской Федерации // КонсультантПлюс: сайт. URL: https://www.consultant.ru/document/cons_doc_LAW_34683/ (дата обращения: 31.10.2022). Режим доступа: для зарегистрир. пользователей.
Соответствие требованиям // SECURITM: сайт. URL: https://service.securitm.ru/compliance (дата обращения: 31.10.2022).
Банк данных угроз безопасности информации // ФАУ «ГНИИИ ПТЗИ ФСТЭК России»: офиц. сайт. URL: https://bdu.fstec.ru/threat (дата обращения: 31.10.2022).
OWASP Top Ten // The OWASP Foundation: офиц. сайт. URL: https://owasp.org/www-project-top-ten/ (дата обращения: 31.10.2022).
Российская Федерация. Министерство труда и социальной защиты. О подаче заявления об увольнении по собственному желанию, подписанного электронной подписью, по электронной почте: письмо М-ва труда и соц. защиты от 06.03.2020 № 14-2/ООГ-1773 // ГАРАНТ: информ.-правовое обеспечение. URL: https://www.garant.ru/products/ipo/prime/doc/73848891/#review (дата обращения: 31.10.2022). Режим доступа: для зарегистрир. пользователей.
Российская Федерация. Законы. О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»: федер. закон от 27.12.2019 № 476-ФЗ: послед. ред. // КонсультантПлюс: сайт. URL: https://www.consultant.ru/document/cons_doc_LAW_341757/ (дата обращения: 31.10.2022). Режим доступа: для зарегистрир. пользователей.
Ковид ударил по интеллектуальной собственности // ИД «Коммерсантъ»: офиц. сайт. URL: https://www.kommersant.ru/doc/5157534?from=main (дата обращения: 31.10.2022).
Лившиц И.И., Соколов Е.О. Проектирование международного значимого электронного документооборота для компаний холдингового типа // Вопросы кибербезопасности. 2020. № 5 (39). С. 61–68. DOI: 10.21681/2311-3456-2020-05-61-68.
Басырова А.А., Лившиц И.И. Анализ методики аудита информационной безопасности предприятия с помощью аутсорсинговых компаний // Автоматизация в промышленности. 2020. № 7. С. 6–9. DOI: 10.25728/avtprom.2020.07.02.
Livshits II, Sokolov EO, Lukyanova AA. Concept design solutions on implementing secure electronic document flow in practice. Part 1. Analytical review. Gas Industry [Gazovaya promyshlennost’]. 2022; 837(9): 40–56. (In Russian)
Livshits II, Sokolov EO, Tarasevich KV, Lukyanova AA. Computing device for cross-border electronic document workflow (options) and the method for cross-border electronic document workflow. RU2759249 (Patent) 2021.
Federation Council. Federal Law No. 63-FZ dated 6 April 2011 (latest edition). On the electronic signature. Available from: https://www.consultant.ru/document/cons_doc_LAW_112701/ [Accessed: 31 October 2022]. (Accessible for registered users; in Russian)
Federation Council. Federal Law No. 152-FZ dated 27 July 2006 (latest edition). On the personal data. Available from: http://www.consultant.ru/document/cons_doc_LAW_61801/ [Accessed: 31 October 2022]. (Accessible for registered users; in Russian)
1C:Project of the Year. Personnel legally significant document flow for holding companies. Available from: https://eawards.1c.ru/projects/kadrovyyyuridicheski-znachimyy-dokumentooborot-dlya-kompaniy-holdingovogo-tipa-130872/ [Accessed: 31 October 2022]. (In Russian)
Kommersant. Senezh painted in all colors. Available from: https://www.kommersant.ru/doc/5436259?ysclid=l7w72b38nn911800803 [Accessed: 31 October 2022]. (In Russian)
ISO. ISO 31000:2018. Risk management. A practical guide. Available from: https://www.iso.org/ru/publication/PUB100464.html [Accessed: 31 October 2022]. (Available upon purchase)
Federal Agency on Technical Regulating and Metrology (Rosstandart). R 50.1.093–2014 (recommendations). Risk management. Efficiency assessing principles of influence on risk. Available from: https://docs.cntd.ru/document/1200120079 [Accessed: 31 October 2022]. (In Russian)
The Russian Government. Order No. 127 dated 8 February 2018. On approval of the Rules for categorizing objects of critical information infrastructure of the Russian Federation, as well as a list of indicators of criteria for the significance of objects of critical information infrastructure of the Russian Federation and their values. Available from: http://government.ru/docs/31335/ [Accessed: 31 October 2022]. (In Russian)
SecurityLab.ru. Due to a possible cyber-attack, Rosaviatsiya switched to paper document management. Available from: https://www.securitylab.ru/news/530833.php?ysclid=l7w7dpyle8771211745 [Accessed: 31 October 2022]. (In Russian)
1C:Project of the Year. Winners of the 1C:Project of the Year 2020 competition. Available from: https://eawards.1c.ru/winners/2020/ [Accessed: 31 October 2022]. (In Russian)
EAEU. Treaty on the Eurasian Economic Union (rev. 1 October 2019). Available from: http://www.consultant.ru/document/cons_doc_LAW_163855/0be36c1fcadd0cdd1f8c0984ef99fbc7d8da61b9/ [Accessed: 31 October 2022]. (Accessible for registered users; in Russian)
Federation Council. Federal Law No. 122-FZ dated 24 April 2020 (latest edition). On the conducting an experiment on the use of electronic documents related to work. Available from: http://www.consultant.ru/document/cons_doc_LAW_351124/ [Accessed: 31 October 2022]. (Accessible for registered users; in Russian)
ISO. ISO/IEC 27001:2013/DAmd 1. Information technology – Security techniques – Information security management systems – Requirements – Amendment 1. Available from: https://www.iso.org/ru/publication/PUB100464.html [Accessed: 31 October 2022]. (Available upon purchase)
Rosstandart. GOST R ISO/IEC 27001–2021 (state standard). Information technology. Security techniques. Information security management systems. Requirements. Available from: https://docs.cntd.ru/document/1200181890 [Accessed: 31 October 2022]. (In Russian)
Federation Council. Federal Law No. 187-FZ dated 26 July 2017 (latest edition). On the security of the critical information infrastructure of the Russian Federation. Available from: https://www.consultant.ru/document/cons_doc_LAW_220885/?ysclid=l8ym1xqh7x960384723 [Accessed: 31 October 2022]. (Accessible for registered users; in Russian)
President of Russia. Order No. 250 dated 1 May 2022. On additional measures to ensure information security of the Russian Federation. Available from: http://www.kremlin.ru/acts/bank/47796 [Accessed: 31 October 2022]. (In Russian)
Bryukhovetsky K, Livshitz I. An analysis of a general data protection regulation impact on fuel and energy companies. Energy Safety and Energy Economy [Energobezopasnost’ i energosberezhenie.]. 2020; (5): 55–63. https://doi.org/10.18635/2071-2219-2020-5-55-63. (In Russian)
Livshitz II. Assessment of the impact of General Data Protection Regulation on enterprise security in the Russian Federation. Cybersecurity Issues [Voprosy kiberbezopasnosti]. 2020; 38(4): 66–75. https://doi.org/10.21681/2311-3456-2020-04-66-75. (In Russian)
Federal Tax Service of Russia. Order No. MMV-7-6/1096 dated 27 December 2017. On the expansion of electronic document flow between taxpayers and tax authorities in relations regulated by the legislation on taxes and fees. Available from: https://www.nalog.gov.ru/rn77/about_fts/docs/7145722/ [Accessed: 31 October 2022]. (In Russian)
Federation Council. Tax Code of the Russian Federation. Available from: https://www.consultant.ru/document/cons_doc_LAW_19671/ [Accessed: 31 October 2022]. (Accessible for registered users; in Russian)
Federation Council. Federal Law No. 377-FZ dated 22 November 2021 (latest edition). On the amendments to the Labour Code of the Russian Federation. Available from: http://www.consultant.ru/document/cons_doc_LAW_400854/ [Accessed: 31 October 2022]. (Accessible for registered users; in Russian)
Rosstandart. GOST R 7.0.8–2013. System of standards on information, librarianship and publishing. Records management and organization of archives. Terms and definitions. Available from: https://docs.cntd.ru/document/1200108447 [Accessed: 31 October 2022]. (In Russian)
Federation Council. Labour Code of the Russian Federation. Available from: https://www.consultant.ru/document/cons_doc_LAW_34683/ [Accessed: 31 October 2022]. (Accessible for registered users; in Russian)
SECURITM. Compliance. Available from: https://service.securitm.ru/compliance [Accessed: 31 October 2022]. (In Russian)
FSTEC Russia. Information security threat databank. Available from: https://bdu.fstec.ru/threat [Accessed: 31 October 2022]. (In Russian)
OWASP. OWASP Top Ten. Available from: https://owasp.org/www-project-top-ten/ [Accessed: 31 October 2022].
Ministry of Labour and Social Protection of the Russian Federation. Letter No. 14-2/OOG-1773 dated 6 March 2020. On the filing a voluntary resignation letter, signed with an electronic signature, by e-mail. Available from: https://www.garant.ru/products/ipo/prime/doc/73848891/#review [Accessed: 31 October 2022]. (Accessible for registered users; in Russian)
Federation Council. Federal Law No. 476-FZ dated 27 December 2019 (latest edition). On amendments to the Federal Law “On electronic signature” and article 1 of the Federal Law “On the protection of the rights of legal entities and individual entrepreneurs in the implementation of state control (supervision) and municipal control”. Available from: ttps://www.consultant.ru/document/cons_doc_LAW_341757/ [Accessed: 31 October 2022]. (Accessible for registered users; in Russian)
Kommersant. Covid hit intellectual property. Available from: https://www.kommersant.ru/doc/5157534?from=main [Accessed: 31 October 2022]. (In Russian)
Livshitz I, Sokolov E. Designing an internationally significant electronic document flow for holding companies. Cybersecurity Issues. 2020; 39(5): 61–68. https://doi.org/10.21681/2311-3456-2020-05-61-68. (In Russian)
Basyrova AA, Livshits II. Analyzing the methodology of enterprise cybersecurity audit with the help of outsourcing companies. Automation in Industry [Avtomatizaciya v promyshlennosti.]. 2020; (7): 6–9. https://doi.org/10.25728/avtprom.2020.07.02. (In Russian)
Вход
Главная
Журналы
Назад к журналу