|
Технология сдачи отчетности в электронном виде
по каналам связи
При получении по обычной электронной почте компьютерного файла,
содержащего данные отчетности, невозможно однозначно установить, действительно
ли этот файл составлен и прислан тем налогоплательщиком, который отчитывается.
Нельзя гарантировать, что полученный файл не был кем-либо прочитан в процессе
передачи, что недопустимо по отношению к документам, составляющим налоговую
тайну. В электронный документ - в отличие от "бумажного" - можно незаметно
внести изменения, которые затем приведут к конфликтной ситуации между
отправителем и получателем отчетности. И наконец, в условиях, когда
отсутствует непосредственный контакт налогоплательщика и налогового
инспектора, возможны случаи, когда они будут по-разному трактовать
сроки сдачи отчетности.
Только применение специальной технологии
формирования и сдачи налоговой отчетности может обеспечить возможность:
- однозначной идентификации (аутентификации) налогоплательщика,
приславшего файлы отчетности;
- сохранения конфиденциальности переписки;
- защиты файлов отчетности от несанкционированного исправлений;
- корректного разрешение конфликтных ситуаций.
В системе ЭОКС первые три проблемы решаются с использованием
средств криптографической защиты информации, а последняя - путем
установления регламента обмена электронными документами между
налогоплательщиками и налоговыми органами.
К числу важнейших механизмов криптографической защиты информации
относятся шифрование и электронная цифровая подпись (ЭЦП). Оба эти
механизма представляют собой преобразования компьютерных файлов,
содержащих документы.
В большинстве современных систем электронного документооборота, рассчитанных
на массового пользователя, применяются средства криптографической защиты
информации с асимметричными ключевыми системами. В таких системах каждый
абонент имеет пару ключей: секретный и открытый.
С точки зрения представления данных в компьютере оба ключа являются
последовательностями символов, используемыми соответствующими программами
для шифрования, расшифровки, снабжения документа электронной цифровой
подписью и проверки этой подписи. Последовательности символов подобраны
так, что расшифровать документ, зашифрованный чьим-либо открытым ключом,
может только обладатель парного к нему секретного ключа. Свой секретный
ключ абонент должен сохранять в тайне, а открытый ключ распространяется
среди всех потенциальных отправителей документов. В таком случае, если
отправитель электронного письма зашифрует отправляемый документ открытым
ключом одного из абонентов, то прочитать документ сможет только этот абонент.
Шифрование закрывает содержание документа от всех посторонних лиц, кроме
получателя - таким образом решается первая из поставленных задач:
обеспечивается конфиденциальность переписки.
Использование электронной цифровой подписи документа решает две другие
задачи: подпись однозначно подтверждает авторство документа и защищает его
содержание от искажения. Функция, выполняющая подпись документа, использует
секретный ключ его автора. Результатом подписи является добавление к тексту
документа строки, содержащей информацию как о тексте документа, так и о
секретном ключе его автора. Если такой документ получит участник переписки,
имеющий открытый ключ автора, то он сможет - применив функцию проверки
электронной цифровой подписи - установить два факта: что подпись действительно
принадлежит автору (т.к. только автору известен использованный секретный ключ),
и что в текст после подписи не вносились никакие исправления (иначе было
бы утрачено соответствие между текстом и его подписью).
Таким образом, автор документа должен сначала подписать его
(с помощью своего секретного ключа), затем зашифровать (открытым
ключом получателя) и отправить. А получатель сначала расшифрует
документ (своим секретным ключом), а затем проверит авторство и
сохранность текста (использовав открытый ключ отправителя).
В программном комплексе «Калуга Астрал Отчет» все эти операции
выполняются с помощью криптоядра «Домен-К», имеющего сертификат соответствия
на использование его для защиты информации, не содержащей сведений,
составляющих государственную тайну по уровню защиты КС1.
Кроме того, система ЭОКС предусматривает выполнение налогоплательщиком,
налоговой инспекцией и специализированным оператором связи определенной
последовательности действий: регламента электронного документооборота.
Регламентом системы ЭОКС установлено, что в ответ на каждое письмо,
отправленное налогоплательщиком в налоговую инспекцию, должно придти
три письма:
- Подтверждение специализированного оператора связи, фиксирующее дату и время отправки отчетности и является официальной датой предоставления отчетности;
- Подтверждение Инспекции МНС о получении файла с отчетностью;
- Протокол входного контроля от налоговых органов файла с отчетностью от налоговых органов.
После этого налогоплательщик должен, в свою очередь, отправить в Инспекцию
МНС или в Управление ПФР подтверждение о получении Протокола.
Каждое электронное письмо подписывается электронной цифровой подписью
отправителя и шифруется. Регламент в системе электронного документооборота -
это средство защиты каждого из её участников от возможных ошибочных или
недобросовестных действий других участников.
Осуществление сеансов связи, подготовка отчетности, шифрование
и подпись происходит из единой программной оболочки «Калуга Астрал Отчет»
(АРМ-Клиент). Программа использует стандартные средства MS Exel, который
знаком каждому бухгалтеру, доступна и проста в эксплуатации.
Технологии защиты информации
Для защиты информации, передаваемой по открытым каналам связи,
поддерживающим протоколы TCP/IP, компания «Калуга Астрал» предлагает семейство
продуктов ViPNet, разработанных фирмой «Инфотекс». Технология ViPNet предназначена для создания целостной системы доверительных
отношений и безопасного функционирования технических средств и информационных
ресурсов корпоративной сети, взаимодействующей также и с внешними техническими
средствами и информационными ресурсами.
Технология ViPNet обеспечивает:
- Быстрое развертывание корпоративных защищенных решений на базе имеющихся
локальных сетей, доступных ресурсов глобальных (включая Интернет) и
ведомственных телекоммуникационных сетей, телефонных и выделенных каналов
связи, средств стационарной, спутниковой и мобильной радиосвязи и др. При
этом в полной мере может использоваться уже имеющееся у корпорации
оборудование (компьютеры, серверы, маршрутизаторы, коммутаторы,
Межсетевые Экраны (МЭ) и т.д.).
- Создание внутри распределенной корпоративной сети информационно–независимых
виртуальных защищенных контуров, включающих как отдельные компьютеры, так и
сегменты сетей, для обеспечения функционирования в единой телекоммуникационной
среде различных по конфиденциальности или назначению информационных задач.
Такие контуры создаются только исходя из логики требуемых (разрешенных)
информационных связей, независимо от приложений, сетевой операционной
системы, без каких-либо настроек сетевого оборудования. При этом достигается
еще одно очень важное свойство – независимость режимов безопасности,
установленных в виртуальной корпоративной сети (VPN), от сетевых администраторов,
управляющих различными физическими сегментами большой корпоративной сети, и от
ошибочных или преднамеренных действий с их стороны, представляющих одну из
наиболее вероятных и опасных угроз.
- Защиту, как локальных сетей в целом, их сегментов, так и отдельных
компьютеров и другого оборудования от несанкционированного доступа и
различных атак, как из внешних, так и из внутренних сетей.
- Поддержку защищенной работы мобильных и удаленных пользователей
корпоративной сети. Организацию контролируемого и безопасного для
корпоративной сети подключения внешних пользователей для защищенного
обмена информацией с ресурсами корпоративной сети.
- Организацию безопасного для локальных сетей подключения отдельных
рабочих станций этих сетей к открытым ресурсам сети Интернет и исключение
риска атаки из Интернет на всю локальную сеть через подключенные к
открытым ресурсам компьютеры сети.
- Защиту (обеспечение конфиденциальности, подлинности и целостности)
любого вида трафика, передаваемого между любыми компонентами сети, будь
то рабочая станция (мобильная, удаленная, локальная), информационные
серверы доступа, сетевые устройства или узлы. При этом становится
недоступной для перехвата из сети и любая парольная информация различных
приложений, баз данных, почтовых серверов и др., что существенно
повышает безопасность этих прикладных систем.
- Защиту управляющего трафика для систем и средств удаленного управления
объектами сети: маршрутизаторами, межсетевыми экранами, серверами и пр., а
также защиту самих средств удаленного управления от возможных атак из
глобальной или корпоративной сети.
- Контроль доступа к любому узлу и сегменту сети, включая фильтрацию трафика,
правила которой могут быть определены для каждого узла отдельно, как с помощью
набора стандартных политик, так и с помощью индивидуальной настройки.
- Защиту от НСД к информационным ресурсам корпоративной сети, хранимым на
рабочих станциях (мобильных, удаленных и локальных), серверах (WWW, FTP, SMTP,
SQL, файл-серверах и т.д.) и других хранилищах группового доступа.
- Организацию безопасной работы участников VPN с совместным информационным
групповым и/или корпоративным информационным ресурсом.
- Аутентификацию пользователей и сетевых объектов VPN как на основе
использования системы симметричных ключей, так и на основе использования
инфраструктуры открытых ключей (PKI) и сертификатов стандарта X.509.
- Оперативное управление распределенной VPN-сетью и политикой
информационной безопасности на сети из единого центра.
- Исключение возможности использования недекларированных возможностей
операционных систем и приложений для совершения информационных атак,
кражи секретных ключей и сетевых паролей.
|
