Обеспечения безопасности электронной коммерции в Республике Узбекистан

В статье рассмотрен вопрос обеспечения безопасности электронной коммерции посредством национального криптопровайдера, его назначение и области применения.

С начала этого века электронная коммерция ускоренными темпами проникла в различные сферы социально-экономической деятельности, и постепенно стала образом жизни для многих малых и средних предприятий. На сегодняшний день приоритетным вопросом ведения электронной коммерции является обеспечение безопасности электронного документа и электронного документооборота. На сегодняшний день разработан целый ряд методов обеспечения безопасности обмена данными в электронной коммерции. Одним из способов защиты данных является использование средств криптографической защиты информации, одним из которых является криптопровайдер.

Криптопровайдером является независимый программный модуль, интегрированный в MS Windows и содержащий библиотеку криптографических функций со стандартизованным интерфейсом, CSP выполняет такие криптографические функции как формирование/проверка электронной цифровой подписи (ЭЦП), шифрование информации. Также он выполняет роль хранилища для ключей всех типов. Предназначением криптопровайдера является авторизация и обеспечение юридической значимости электронных документов при обмене ими между пользователями, обеспечения конфиденциальности и контроля целостности информации.

Наряду со стандартными криптопровайдерами, поставляемыми Microsoft, можно использовать CSP собственной разработки, предварительно сертифицировав и подписав его. Использование MS Windows CSP иногда бывает неприемлемо по разным причинам, например, государственными органами или организациями. Например, в схеме «Стандартный Windows криптопровайдер + почтовый клиент» обеспечивается защита почтовых сообщений с использованием несертифицированных средств криптографической защиты информации. А в схеме «Сертифицированный национальный криптопровайдер + почтовый клиент» защита электронных сообщений осуществляется с помощью сертифицированных криптографических алгоритмов. Одной из положительных сторон схемы является также существенная денежная экономия.

Средством криптографической защиты информации является национальный криптопровайдер Cryptografic Service Provider (CSP). Архитектура национального криптопровайдера реализована в виде программного продукта.

Предназначением этого программного средства является решение следующих задач:

− шифрование (защита) передаваемых или хранимых конфиденциальных данных;

− подписание данных электронной цифровой подписью и обеспечение контроля целостности передаваемых, используемых или хранимых данных;

− аутентификация субъектов с целью предотвращения отказа субъекта от авторства сообщения.

Выше перечисленные задачи решаются с применением криптографических преобразований, под которыми понимаются преобразование данных при помощи шифрования, выработки (проверки) хэш и формирования (проверки) электронной цифровой подписи.

1. Алгоритм шифрования реализован в соответствии с национальным стандартом.
2. Алгоритм электронной цифровой подписи реализован в соответствии с национальным стандартом УzDST 1092:2005 «Процессы формирования и проверки электронной цифровой подписи».

Национальный криптопровайдер помимо формирования (проверки) ЭЦП также выполняет функцию шифрования информации, обеспечивая конфиденциальность информации. В зашифрованном виде информация остается на период ее передачи по сети и при хранении в базе данных или на сервере. Расшифровать информацию может лицо, которому она предназначена, при помощи своего ключа. При реализации функции шифрования в национальном криптопровайдере был применен национальный алгоритм криптографической защиты информации — разработанный и принятый Государственный стандарт. При реализации криптопровайдера обеспечена возможность реализации и использования его в системе Центра регистрации ключей электронной цифровой подписи (ЭЦП), с применением сертификатов открытых ключей ЭЦП в соответствии с международными рекомендациями с использованием алгоритмов, реализуемых национальным криптопровайдером. Разработанный национальный криптопровайдер может применяться в составе прикладного программного обеспечения систем. В настоящее время национальный криптопровайдер встроен и функционирует в следующих системах:

− система защищенной электронной почты Е-ХАТ;

− центр регистрации ключей ЭЦП на основе национальных стандартов формирования ЭЦП и шифрования.

Национальный криптопровадер может быть успешно внедрен в различные информационные системы для решения задач обеспечения конфиденциальности (шифрование данных), целостности и авторизации, аутентификации пользователей. Для этого криптопровайдер устанавливается на пользовательском компьютере и должен интегрироваться с прикладным программным обеспечением информационной системы. Национальный криптопровайдер обеспечивает возможность использования различных устройств хранения ключевой информации — жесткий диск, внешний носитель. Данное решение необходимо для:

− обеспечения юридически значимого эл-документооборота с применением ЭЦП;

− обеспечения требований по обеспечению конфиденциальности данных (шифрование) и целостности информации (ЭЦП).

Национальный криптопровайдер может быть успешно применен в различных информационных системах: электронная почта, электронный документооборот, электронные платежи, удаленный доступ к веб-ресурсам и базам данных, автоматизированная обработка различной информации и др. При реализации национального криптопровайдера в информационные системы можно обеспечить юридически значимый обмен электронными документами на основе электронной цифровой подписи или обеспечить необходимые требования по защите информации, в том числе конфиденциальной, который является наиважнейшим фактором обеспечения безопасности электронной коммерции.

Литература:

1. Anvarov A. Role of the international cooperation in high education development //Austrian Journal of Humanities and Social Sciences. — №. 1–2.
2. Анваров А. А., Каримов П., Негматов У. М. Алгоритмы нормализации освещенности изображения //Украина, Актуальные научные исследования в современном мире: материалы V Междунар. научн.-практ. инт.-конф.—Переяслав-Хмельницкий., Украина. — 2015. — Т. 5. — С. 118–123.
3. Anvarov A. Learning Resources and Professional Development at Namangan Engineering Pedagogical Institute. — 2015.