УДК: 658.8:004.421.5
ББК: 65.290
ГлуховаЛ.В., Яницкая Т.С., Гудков А.А. ПРОЕКТИРОВАНИЕ БИЗНЕС-ПРОЦЕССОВ ПО ФОРМИРОВАНИЮ СРЕДСТВ ИДЕНТИФИКАЦИИ В СИСТЕМАХ ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ
ДЛЯ ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ
Glukhova L.V., Ianitckaia T.S., Gudkov A.A.
DESIGNING BUSINESS PROCESSES FOR THE FORMATION OF IDENTITY IN THE INFORMATION SYSTEM ACTIVITIES OF EXTERNAL USERS
Ключевые слова: цифровая экономика, электронная подпись; квалифицированная электронная подпись; Федеральный закон; сертификат; агентские отношения; риски потери упущенной выгоды.
Keywords: digital economy, electronic signature, qualified electronic signature, Federal law, the certificate of the Agency relationship, the risks of losing profits.
Аннотация: при современном развитии электронно-вычислительных средств особую важность приобретают средства защиты передаваемой информации. Актуальность работы состоит в изучении процесса формирования квалифицированной электронной подписи, выявление основных его этапов, классификация возможных рисков при оказании данной услуги клиенту. Моделирование и дальнейшее изучение процесса, связанного с предоставлением услуги по формированию квалифицированной электронной подписи, позволит построить экономическую модель расчета рисков на каждом этапе обслуживания клиентов и предложить способы снижения рисков.
Сейчас можно видеть широкое распространение бизнес-структур, в которых наличие электронных коммуникаций является важной составляющей их деятельности. Вступление в силу Федерального закона о цифровой подписи (№ 63-ФЗ) существенно расширило возможность юридических полномочий документации, которая передается по коммуникационным каналам. Федеральные органы исполнительной власти в стране перешли на электронный документооборот с использованием цифровой подписи. Это привело к все более широкому представлению государственных и муниципальных услуг в электронном виде.
Готовность общества принимать и использовать новую технологию в реальных бизнес-процессах и иных всевозможных взаимодействиях нашла отражение в создании квалифицированной электронной подписи на рабочих местах различных бизнес-единиц.
В статье авторы рассматривают схему формирования и внедрения бизнес-процессов по созданию квалифицированной электронной подписи всем заинтересованным лицам. Рассматриваются требования стандартов в сфере электронного обмена юридически значимыми документами. Показана модель учета рисков информационной безопасности, связанных с применением электронной подписи. Метод исследования основан на вероятностном подходе.
Результатом работы является построение модели процессов взаимоотношения клиента и специалиста организации, отвечающего за формирование квалифицированной электронной подписи. Предложена классификация уязвимостей на всех этапах агентских отношений. Предложен подход для оценки возможного риска.
Полученные результаты исследования соответствуют внедряемой Программе "Цифровая экономика РФ", утвержденной 28.07.2017, № 1632-р.
Abstract: modern society and business environment are increasingly covered by digital and electronic activity. Nowadays there are various business structures which activity is characterised by the presence of electronic communications. The the Federal law on digital signature (No. 63-FZ) has significantly expanded the legal responsibility for businesses and the documentation, which is delivered through the communication channels. The Representatives of Executive power in the
country have already started to use a digital signature in electronic document. This has led to increased representation of both public and municipal services in electronic form.
The willingness of society to accept and use new technology to business processes was reflected in the creation of a qualified electronic signature in the workplaces of various business units.
In the article the authors consider and represent to all interested parties the Model of formation and implementation of business processes through the creating of a qualified electronic digital signature. The State requirements of standards for the electronic exchange of legal documents are represented. The accounting model of information security risks associated with the use of electronic signatures is shown. The authors use research method based on the probabilistic approach and consider the organization's vulnerability while providing customers activity on the base of Agents relationships. Both the model of threats and model of a possible intruders are provided for analysis. The obtained results correspond to implement the Program "Digital economy of the Russian Federation", approved28.07.2017, No. 1632-R.
Введение
В мае 2017 года был издан Указ Президента РФ № 203 "О стратегии развития информационного общества в Российской Федерации на 2017-2030 гг.". Этот нормативный документ декларирует важнейшей задачей цифровой экономики повсеместное внедрение средств автоматизации и цифровой коммуникации во все сферы деятельности. Одним из базовых направлений, поддерживающих повышение степени информированности и цифровой грамотности населения является обеспечение информационной безопасности при реализации электронного документооборота в бизнес-структурах различного уровня иерархии.
Рассматривая угрозы, препятствующие широкому распространению и развитию концептуальных положений цифровой экономики, отметим, что одной из первоочередных, требующих скорейшего решения проблем, является проблема обеспечения прав личности в цифровом мире при ее идентификации, сохранности и достоверности цифровых данных, доверия пользователей цифровыми услугами к соответствующей цифровой инфраструктуре. В качестве примера можно рассматривать бизнес-процессы удаленного взаимодействия по цифровым каналам передачи информации, требующие идентификации личности для подтверждения легитимности проводимых операций в бизнес-среде.
Внедрение в практические стороны деятельности различных нормативных и законодательных документов [1-5] актуализировало деятельность по формированию средств и методов защиты передаваемой по электронным коммуникациям информационных потоков.
Появились новые стандарты в сфере менеджмента информационной безопасности, в частности в сфере менеджмента рисков информационной безопасности [6-9].
Появившиеся законодательные документы в области юридически значимого документооборота [10-12] привели к потребности формирования электронной подписи (ЭП) через деятельность удостоверяющих центров. Стали развиваться организации, имеющие лицензии ФСБ, позволяющие осуществлять деятельность, связанную с выдачей и созданием ЭП на коммерческой основе. Но ввиду постоянных правок в законодательстве (внешние, независящие от нас факторы), повышаются риски и ответственность, поэтому многие организации принимают стратегическое решение о создании точки выдачи другого УЦ на основании Агентского договора и регулируемых агентских отношений, где каждый агент связан с окружающим его миром через информационные каналы [13, с. 71]. Договор регламентирует использование уже готовых решений в создании ЭП, обязывает формировать определенный пакет документов под каждого клиента, регулирует срок и условия выплаты агентского вознаграждения на основании выполненных работ. Таким образом, деятельность организации сохраняется, меняются лишь условия и специфика работы.
В последние годы появилось много работ, в которых описаны подходы к созданию электронной подписи и ее практической значимости в деятельности бизнес-структур [14-16].
Приведенные в статье результаты соответствуют современным требованиям Правительства РФ, направленным на нара-
щивание технологических возможностей развития информационной инфраструктуры, обеспечивающих потребность бизнеса и граждан эффективными услугами по обмену информацией в электронном виде. Результаты исследований Основные результаты работы были получены одним из авторов статьи при организации работы с клиентами по созданию сертификатов (сертификат открытого ключа).
Сертификаты необходимы для организации обмена данными в больших сетях. Согласно ст. 2 Федерального Закона от 06.04.2011 «Об электронной подписи» № 63-ФЗ [12], сертификат представляет собой элек-
Как видно из таблицы, каждый из этапов имеет свои специфические признаки и характеристики. Рассмотрим их более подробно.
Особенности "предварительного" этапа состоят в том, что принимается звонок от Клиента, выясняется цель звонка, уточняется форма организации (ФЛ, ИП, ЮЛ) и проводится консультация со стороны Специалиста.
Этап считается завершенным и результативным, если на Клиента заводится предварительная форма заявки, в которой фиксируется дата обращения, организация, запрос на услугу.
Здесь от грамотности Специалиста за-
тронный или бумажный документ, содержащий открытый ключ, информацию о владельце ключа, области применения ключа, подписанный выдавшим его Удостоверяющим центром и подтверждающий принадлежность открытого ключа владельцу. Он может применяться как для проверки подписи владельца, так и для обеспечения конфиденциальности пересылаемых данных.
В последнее время используется при создании сертификатов квалифицированная электронная подпись.
Процесс формирования квалифицированной электронной подписи (КЭП) состоит из следующих этапов (таблица 1):
висит, будет ли Клиент получать услугу, или "попадет" в ситуацию "риск упущенной выгоды", когда Клиент обратиться в другую организацию для оказания подобной услуги.
Специалист на этом этапе подробно объясняет различие того или иного вида электронной подписи, роль квалифицированной электронной подписи для порталов, требующих для отчетности ту или иную ЭП, а также ее значимость для подписи различной юридической документации. Например, для работы с порталом Госуслуг достаточно получить базовую квалифицированную ЭП, в то же время для работы с
Таблица 1 - Описание бизнес-процесса "Взаимодействие с клиентом"
Бизнес-процесс Описание процесса Инициатор процесса Владелец процесса Ожидаемый результат
Предварительный Инициируется звонок клиента с просьбой получения ЭП Клиент Специалист Удержание клиента на стадии актуализации заявки
Формирующий Начало работы с Клиентом: организация диалога Специалист Специалист Обмен информацией с клиентом. Получение заявки
Регистрационный Регистрация Клиента. Заполнение форм документов. Проверка документов Клиент Специалист Регистрация Клиента. Формирование счета на оплату услуг
Собирающий Сбор данных по организации, используя переданные ими данные Специалист Специалист Формирование части пакета документов, проверка валидности запроса
Завершающий Работа в Регистраторе Специалист Специалист Формирование сертификата, пакета документов
Результирующий Выдача клиенту квалифицированной электронной подписи Специалист Специалист Выдача Договора, Актов, Сертификата
Росреестром требуется такая же базовая ЭП, но с расширенным числом ОГО'ов (объектов идентификации). Соответственно, и работа по изготовлению, и сама ЭП оценивается в разных суммах, поскольку требуются расширенные данные о клиенте, не говоря уже о затраченном на него времени.
Особенность "формирующего" этапа состоит в том, что от Специалиста зависит оперативность предоставления Клиенту определенного набора стандартных документов, который включает, в том числе, шаблоны письма и заявления на услуги, прейскурант цен и образцы для заполнения. Специалист оказывает консультацию и при необходимости, используя удаленный доступ, подключается к Клиенту для консалтинга или оказания услуг с уже готовой ЭП.
Отличительной особенностью третьего этапа ("регистрационный") является подробная проверка подлинности представленных документов и формирование Специалистом счета на оплату услуг по формированию электронной подписи клиента. Оплата обосновывается в зависимости от вида ЭП, расширений и формы организации лица, формируется счет на определенную сумму. Затем счет заверяется и отправляется его скан Клиенту. В счете указано, что срок оплаты ограничен. Эффективность завершенности этого этапа оценивается по быстроте оплаты Клиентом выставленного счета. На этом этапе также возникают риски упущенной выгоды, в случае отказа Клиента от уплаты счета [17. с.10].
Также на этом этапе возникают риски "непринятия документа к исполнению" ввиду того, что идентификация лица, подписавшего документ, оказалась недостоверной.
Четвертый этап характеризуется сбором требуемого услугой пакета документов. Документы эти проверяются через внешние порталы. Например, для получения данных по ЮЛ необходимо иметь его ИНН, который проверяется в ЕГРЮЛе - т.е. посредством Специалиста инициируется запрос на портал и на выходе Специалисту возвращается выписка. Проверяется актуальность данных, которые прислал пользователь, и их соответствие с тем, что выдал портал. Формируются документы: договор и акты. Все документы оформляются в двух экзем-
плярах. Обычно учитывается быстрота оказания услуги и профессионализм Специалиста, оказывающего эту услугу.
Пятый этап отличается генерацией электронной подписи клиента после оплаты счета и подготовкой сертификата. Для этого Специалист возвращается в регистратор и начинает генерацию контейнера посредством биометрического датчика случайных чисел. Устанавливает сертификат в контейнер, печатает Сертификат его в двух экземплярах и записывает ЭП для последующей передачи. Помимо этого, распечатанный сертификат добавляется в общий пакет документов и завершается его формирование.
Шестой этап характеризуется встречей с Клиентом, во время которой происходит обмен документами, передачей ЭП и консультацией Клиента.
На рисунке 1 показана схема, отражающая особенности взаимодействия Клиента и Специалиста между собой в процессе двустороннего диалога.
При развитии деятельности бизнес-структур важно учитывать различные риски. Под риском понимается сочетание вероятности наступления неблагоприятного события и последствий от его наступления, идентифицированного как угроза, уязвимость, ущерб.
Для организации наиболее важными являются финансовые и коммерческие риски, которые могут привести к возникновению ущерба [17, с.11-12]. В данном случае это могут быть прямые или косвенные финансовые потери, которые произошли в результате реализации угрозы и уязвимости бизнес-процесса. В таблице 2 отражены возможные риски Специалиста при работе с Клиентами.
Результаты анализа выявленных рисков были получены в результате статистических наблюдений за двухлетний период при выдаче сертификатов.
Учитывая выводы авторов публикации [18, с.604], можно для оценки конкретного риска воспользоваться предложенной ими простейшей формулой, в которой риск (^ учитывается в зависимости от получаемого ущерба от неблагоприятного события (Ц) и вероятности его наступления (Р).
Рисунок 1 - Схема взаимодействия Специалиста с Клиентом
Таблица 2 - Учет рисков бизнес-процессов формирования КЭП Клиента
Вид исходного риска Причина возникновения Выявлено в организации, % Возможность возникновения нового риска
Ошибка оператора Если Клиент уже был зарегистрирован ранее, то, возможно, данные по нему не будут актуальными (адрес сменился, имя поменял и т.д.) 21 Риск принятия документа к исполнению с последующим отказом лица, подписавшего документ
Некачественная обратная связь Неточность речи, помехи связи, занятость Клиента 10 Риски ответственности по взятым на себя обязательствам
Отказ Клиента Нашел другой УЦ, медлительность Специалиста, элементарная "приценка" со стороны Клиента 16 Риск непринятия документа к исполнению, и. как результат, возникновение риска "упущенной выгоды"
Недостоверная идентификация лица, подписавшего документ Недобросовестный Клиент 3 Риск недостоверности указанных в сертификате сведений
Непринятии документа к исполнению Недостаточная квалификация Специалиста в результате диалога с Клиентом 36 Риск "упущенной выгоды"
Ответственность по взятым обязательствам Недостаточная компетентность при работе с сертификатами 14 Риск "потери деловой репутации"
Тогда формула будет иметь вид (1): Учитывая выводы Л.В. Глуховой [19,
с. 101-102], которая, применяя методы струк-я = р* и. (1) турного анализа и синтеза в интеграции с ве-
роятностным подходом, выстраивает модель целостности анализируемой системы управления, и также оценивает риски на основе структурной модели, предлагаем воспользоваться формулой (2) для оценки совокупности рис-
ков:
Rk=T\p**uk
(2)
k=1
где Як - риск наступления неблагоприятного события в бизнес-процессе с номером "k";
рк - вероятность, с которой возможно наступление неблагоприятного события;
и к - величина предполагаемого ущерба от возникновения неблагоприятного события;
п - количество выявленных видов рисков.
Поясним свой выбор произведения возможных совокупностей неблагоприятных событий с вероятностью их возникновения тем, что в построенной нами структурной формуле эффективности процесса взаимодействия Специалиста и Клиента с определенным у - процентным показателем (3):
Р(Л{КГ (О» = Р1-Р2-Р-3Р4-Р5-Р6> ,(3)
где Р(7Г{КГ(1)}) - вероятность того, что параметры (ж) массива показателей (К])
качества функционирования процесса взаимодействия Специалиста и Клиента (отраженные в табл. 1) на заранее заданное время (1) будут не менее требуемого значения показателя у.
Приведем пример. Пусть требуется, чтобы эффективность взаимодействия между Специалистом и Клиентом при формировании КЭП была не ниже 99,5%. Тогда структурная формула будет иметь вид (4):
Р(Е{КГ(О» = Ц • Р2 ■ Р -з РА ■ Р5 • Р6 > 0.995, (4)
где Р(Е{КГ (?)}) описывает вероятностную структурную формулу (модель), позволяющую оценить, с какой вероятностью должен обеспечиваться каждый из
процессов (из таблицы 1).
В данном случае, вероятность качественной и эффективной работы каждого из процессов должна обеспечиваться на уровне не ниже
P(E{Kf(t)}) = ^
100
■■Ф,995 =0,99929.
То есть каждый из процессов таблицы 1 должен быть обеспечен качественным выполнением с вероятностью 99, 929%.
Исходя из семиуровневой модели оценки риска, предложенной в источнике (http ://www.intuit.ru/studies/courses/646/502/lect ure/11396), было проведено собственное ранжирование выявленных в таблице 2 рисков взаимодействия Специалиста и Клиента. В результате была получена дополнительно к количественной и качественная оценка рисков (табл. 3). Для этого была применена относительная шкала, в которой описательно была представлена возможная вероятность возникновения выявленных рисков со значениями от "маловероятно" и до "гарантированно".
В итоге, в первом приближении, была получена трехуровневая модель оценки рисков информационной безопасности для организации, оказающей ИТ-услуги населению. В модели для каждого из уровней (1,2,3) было поставлено взаимно-однозначное соответствие, полученное экспертным путем, отражающее интервал вероятности возникновения риска.
Также в модели дана оценка действий персонала организации при выявлении определенного уровня риска, его описание и возможность возникновения финансовых потерь.
Модель была апробирована в бизнес-процессе "Специалист-Клиент" при организации работ по формированию сертификатов.
Чтобы снизить уровень рисков, было предложено администрации ИТ-компании воспользоваться методикой, описанной в ГОСТ Р ИСО/МЭК 3200-2011. «Менеджмент риска. Методы оценки риска» [20]. Для этого была построена модель нарушителя, в данной статье не рассматриваемая.
В работах авторов [21-24] отражены особенности внедрения стандартов, в том числе, и по информационной безопасности в процессы производственной деятельности на различных уровнях взаимодействия.
Таблица 3 - Трехуровневая модель оценки рисков информационной безопасности
Уровень Интервал Оценка Словесное Значимость ущерба для
вероятности,% описание организации
1 1-14 Возможность оперативного контроля рисковой ситуации Маловероятно Незначительный
2 15-28 Актуализируются другие виды рисков Вероятно Допустимый ущерб, требующий внедрения мероприятий по снижению рисков
3 29-42 Необходим постоянный контроль Гарантированно Значительный
Таким образом, в статье показаны основные прикладные аспекты в области законодательства, регламентирующие действия пользователей инструментов цифровой экономики, в частности, отражающих защиту электронно-передаваемых данных. Рассмотрен подробно процесс взаимодействия Клиента и Специалиста компании, предоставляющей услуги по формированию электронной подписи.
Основные результаты и выводы На основании требований федеральных законов Российской Федерации о цифровой подписи, был изучен процесс формирования цифровой электронной подписи. Разработана модель данного процесса.
Важным достижением работы является предложенная классификация рисков и проведенный расчет рисков при формировании квалифицированной электронной
подписи. Такой подход позволяет провести в дальнейшем классификацию рисков рассмотренного бизнес-процесса, значительно снизить вероятность возникновения критичной ситуации.
Дальнейшее развитие работы может заключаться в разработке методики обучения персонала организации, которая может использоваться для сотрудников различной специализации, и в первую очередь для специалиста, непосредственно отвечающего за формирование квалифицированной электронной подписи.
Практическая ценность выполненного исследования заключается в его соответствие отдельным фрагментам направления и развития цифровой экономики, отраженных в "дорожной карте" Программы "Цифровая экономика РФ" [25, с.65-84], в разделе 5 "Информационная безопасность".
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ 09.09.2000 № Пр-1895), Указ Президента РФ от 12.05.2009 № 537 «О Стратегии национальной безопасности Российской Федерации до 2020 года».
2. Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ (ред. от 23.07.2013 г.) «О персональных данных» // Справочно-правовая информационная система «Консультант+».
3. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" // Российская газета. - 2012 г. - Федеральный выпуск №5929. - 7 ноября.
4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. № 21 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" // Российская газета - 2013 г.-Федеральный выпуск №6083. - 22 мая.
5. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. № 17 г. Москва "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных ин-
формационных системах" // Российская газета. - 2013 г. - Федеральный выпуск №6112. - 26 июня.
6. ФЗ "О государственной тайне" [Электронный ресурс]. - Режим доступа: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base (Дата обращения: 20.08.15).
7. ГОСТ Р ИСО/МЭК 13335-1-2006 «Национальный стандарт Российской Федерации / Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».
8. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
9. ГОСТ Р ИСО 31000-2010 «Менеджмент риска. Принципы и руководство».
10. ГОСТ Р ИСО/МЭК 3200-21011. Менеджмент риска. Методы оценки риска.
11. ФЗ «Об информации, информационных технологиях и защите информации» [Электронный ресурс]. - Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc (Дата обращения: 30.08.15).
12. ФЗ «О персональных данных» [Электронный ресурс]. - Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=144649 (Дата обращения: 30.08.15).
13. ФЗ «Об электронной подписи» [Электронный ресурс]. - Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=144685 (Дата обращения: 20.08.15).
14. Программа "Цифровая экономика РФ" [Электронный ресурс]. - Режим доступа: http: // static.govemment.rmmedia/files/.. ..pdf.
15. Глухова, Л.В. Концептуальные основы управления интеллектуальным потенциалом предприятия // Вестник Волжского университета имени В.Н. Татищева. - 2016. - Т. 2. - № 1. -С. 117-125.
16. Глухова, Л.В. Применение методов структурного анализа и синтеза для управления конкурентоспособностью предприятия // Финансовый журнал. - 2010. - № 3. - С. 97-106.
17. Глухова, Л.В., Губанова, С.Е. Корпоративный web-портал как инструмент менеджмента информационной безопасности современных промышленных комплексов // Информационные системы и технологии: управления и безопасность.- 2014. - №3. - С. 59-63.
18. Глухова, Л.В., Губанова, С.Е. Некоторые аспекты менеджмента информационной безопасности промышленных комплексов // Вестник Волжского университета имени В.Н. Татищева. - 2015. - № 3 (34). - С. 135-144.
19. Глухова, Л.В., Немцев, А.Д. Развитие конвергентных процессов в агентских институциональных формах // Вестник Саратовского социально-экономического института. -2011. - № 4. - С. 68-71.
20. Глухова, Л.В., Немцев, А.Д. Использование некоторых инструментов риск-менеджмента для управления проектной деятельностью // Вестник Волжского университета имени В.Н. Татищева. - 2015. - № 3 (34). - С. 145-155.
21. Глухова, Л.В., Шерстобитова, А.А. Государственный финансовый менеджмент: управление рисками в сфере финансового рынка // Школа университетской науки: парадигма развития. - 2013. - №1 [8]. - C. 7-13.
22. Горбатов, А.В., Мартынцев, А.С. Проектирование системы управления рисками информационной безопасности, связанных с применением электронно-цифровой подписи в Российской Федерации // Информатизация и управление: сборник статей / Отдельный выпуск Горного информационно-аналитического бюллетеня (научно-технического журнала) Mining Informational and analytical bulletin (scientific and tecnica journal). - М.: Горная книга, 2011. - С. 602-606.