Защита информации в системе конкурсных торгов
Электронная система конкурсных торгов (ЭСКТ) относится к классу «открытых систем», т.е. систем, способных взаимодействовать с другими системами посредством реализации стандартных протоколов информационного обмена. Однако принципы открытых систем не означают нарушение защиты информации. Требования к обеспечению безопасности информации в ЭСКТ связаны с необходимостью:
- защиты коммерческой тайны поставщиков – участников конкретных торгов (конкурсов);
- предотвращения искажений нормативно-справочной информации;
- исполнения требований действующего законодательства в части организации рассмотрения конкурсной документации поставщиков – участников конкретных торгов;
- предотвращения искажений передаваемых сообщений (электронных документов), имеющих юридический статус;
- исключения несанкционированного доступа к информации, связанной с организацией и проведением закрытых конкурсов;
- предотвращения изменения информации по уже завершенным конкурсам или их отдельным процедурам.
Предотвращение искажений нормативно-справочной информации и предотвращение несанкционированного доступа к информации, хранящейся в базах данных системы, должно быть реализовано известными методами на основе соответствующих организационно-административных мер и программных средств.
Меры безопасности должны включать также обеспечение конфиденциальности (исключение несанкционированного доступа), целостности данных, шифрование паролей и наиболее ценной информации.
При организации доступа в многопользовательском режиме в ЭСКТ должно быть предусмотрено и реализовано:
- регистрация пользователей;
- мониторинг изменений статуса пользователей по доступу к информации в системе (увольнение, перемещение сотрудников, временное замещение и т.п.)
- управление паролями пользователей;
- управление привилегиями;
- пересмотр прав доступа пользователей;
- наличие рабочего места администратора системы.
Согласно существующему законодательству, основное содержание конкурсных заявок не подлежит оглашению. Наиболее подходящим способом обеспечения сохранности коммерческой тайны является использование согласованных между конкурсной комиссией и конкурсантами методов шифрования.
Рассмотрим сначала, какие документы и кем должны подписываться и шифроваться, а затем, какие способы ЭЦП и шифрования уместны в организационных алгоритмах.
В системе электронных государственных закупок непосредственно участвуют: организатор электронных торгов; государственные заказчики; поставщики. Предполагается, что все эти юридические лица обеспечены сертификатами ключей ЭЦП.
Государственный заказчик, желающий участвовать в системе электронных государственных закупок, должен предварительно зарегистрироваться на соответствующем сервере и получить права доступа (имя и пароль). Их должен знать только оператор государственного заказчика, производящий удалённое редактирование конкурсной документации на сервере.
Государственный заказчик, высылая на сервер государственных закупок объявление о конкурсе и конкурсную документацию, подписывает эти материалы. Если этот государственный заказчик проводит конкурс впервые, от него потребуется и электронный сертификат ЭЦП. Получив сертификат, сервер государственных закупок обратится в центр сертификации, чтобы выяснить, не прекращено ли действие электронного сертификата, и если все в порядке, опубликует полученные материалы.
С каждым объявленным конкурсом на сервере государственных закупок связаны два комплекта документов: рабочий (открытый для редактирования оператором по протоколу, гарантирующему защиту от подделки и конфиденциальность) и опубликованный (открытый для всеобщего обозрения в Сети). Непосредственно редактировать опубликованный комплект оператор не может. Первоначально имеется только рабочий комплект; для его публикации необходимо подписание его ЭЦП государственного заказчика. Оператор может редактировать рабочий комплект и после публикации, но при этом опубликованный комплект не меняется: для публикации выполненных изменений вновь требуется ЭЦП.
В процессе редактирования оператор заполняет поля полученных с сервера государственных закупок форм и отправляет их обратно на сервер. Сервер государственных закупок на этом основании автоматически генерирует конкурсные документы.
Когда рабочий комплект готов к публикации, оператор запрашивает с сервера сводный документ, где отражены все данные, введённые при редактировании рабочего комплекта (значения всех полей, а также имена и даты всех отправленных файлов документов). Этот сводный документ подписан ЭЦП сервера государственных закупок, чтобы гарантировать неизменность рабочего комплекта. Любое изменение оператором рабочего комплекта после подписания его сервером государственных закупок аннулирует эту подпись.
Санкционированием публикации служит отправление на сервер государственных закупок сводного документа, дополнительно подписанного ЭЦП государственного заказчика. Сервер, получив подписанный сводный документ, проверяет, на месте ли обе подписи и не было ли изменений после подписания сервером государственных закупок, и публикует рабочий комплект (см. рис. 47). Такая процедура гарантирует, что опубликованный комплект полностью соответствует подписанному государственным заказчиком сводному документу.
Рис. 47. Публикация комплекта конкурсной документации
Участник конкурса (поставщик) готовит документы на основе опубликованных на сервере государственных закупок образцов и, высылая документы на конкурс, также подписывает их своей ЭЦП и прилагает свой сертификат подписи. В комплект входят и документы третьих сторон, как правило, изначально существующие только в бумажной форме; их преобразовывают в электронную форму, заверяя ЭЦП электронного нотариуса.
Проверить, имеет ли силу электронный сертификат конкурсанта, могут и сервер государственных закупок торгов, и заказчик. Далее, после первого обмена сообщениями, сертификаты больше не потребуются: взаимодействующие стороны уже идентифицировали друг друга. В то же время электронные цифровые подписи применяются в переписке постоянно: таким образом можно придать циркулирующим по Интернету документам юридическую силу.
Для защиты текста заявки от несанкционированного прочтения конкурсант шифрует этот текст своим секретным ключом. Это гарантирует, что текст заявки без согласия данного конкурсанта не сможет прочесть никто.
В ответ на присланные заявки (комплекты конкурсной документации) сервер государственных закупок присылает конкурсанту квитанцию о приёме заявки, подписанную ЭЦП сервера и снабженную печатью времени (timestamp). В квитанции содержится идентификатор заявки, который используется конкурсантом при посылке исправлений или при отказе от заявки.
Исправления заявки подписываются, архивируются и шифруются точно так же, как и сама заявка. Отказ от заявки, включающий её идентификатор, должен быть подписан ЭЦП конкурсанта для придания ему юридической силы и защиты от мошенничества. В ответ на исправления или отказ от заявки сервер государственных закупок присылает квитанцию, подписанную ЭЦП сервера. На заявке, исправлениях, отказе и всех квитанциях, возвращаемых сервером государственных закупок, ставится печать времени. Зашифрованные заявки и исправления хранятся на сервере.
Перед публикацией заявок все конкурсанты одновременно предъявляют конкурсной комиссии свои секретные ключи. После предъявления ключей настаёт момент вскрытия (расшифровки) заявок и конкурсанты уже не могут отказаться от участия в конкурсе или внести изменения в свои заявки. Далее конкурсная комиссия расшифровывает хранящиеся на сервере государственных закупок заявки и объявляет результаты конкурса.
Дата добавления: 2015-08-26; просмотров: 917;