Главная страница
Навигация по странице:

  • Этап анализа и оценки существующих рисков в организации

  • Этап внедрения системы безопасности

  • Этап поддержки

  • моя. Программа для работы с электронными таблицами Microsoft Office Excel 2007. Полученные результаты были наглядно представлены в качестве таблиц и гистограмм


    Скачать 70.55 Kb.
    НазваниеПрограмма для работы с электронными таблицами Microsoft Office Excel 2007. Полученные результаты были наглядно представлены в качестве таблиц и гистограмм
    Дата08.06.2020
    Размер70.55 Kb.
    Формат файлаdocx
    Имя файламоя.docx
    ТипПрограмма
    #128751
    страница4 из 5
    1   2   3   4   5

    Несанкционированный доступ

    Проблема несанкционированного доступа к информации обострилась и приобрела особую значимость в связи с развитием компьютерных сетей, прежде всего глобальной сети Интернет.

    Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа. Перечислим основные типовые пути несанкционированного получения информации:

    · хищение носителей информации и производственных отходов;

    · копирование носителей информации с преодолением мер защиты;

    · маскировка под зарегистрированного пользователя;

    · мистификация (маскировка под запросы системы);

    · использование недостатков операционных систем и языков программирования;

    · использование программных закладок и программных блоков типа «троянский конь»;

    · перехват электронных излучений;

    · перехват акустических излучений;

    · дистанционное фотографирование;

    · применение подслушивающих устройств;

    · злоумышленный вывод из строя механизмов защиты и т. д.

    Для защиты информации от несанкционированного доступа применяются: организационные мероприятия, технические средства, программные средства, криптография. Организационные мероприятия включают:

    · пропускной режим;

    · хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т. д.);

    · ограничение доступа лиц в компьютерные помещения и т. д.

    Технические средства включают различные аппаратные способы защиты информации:

    · фильтры, экраны на аппаратуру;

    · ключ для блокировки клавиатуры;

    · устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т. д.;

    · электронные ключи на микросхемах и т. д.

    Программные средства защиты информации создаются в результате разработки специального программного обеспечения, которое бы не позволяло постороннему человеку, не знакомому с этим видом защиты, получать информацию из системы. Программные средства включают:

    · парольный доступ – задание полномочий пользователя;

    · блокировка экрана и клавиатуры, например, с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites;

    · использование средств парольной защиты BIOS на самом BIOS и на ПК в целом и т. д.

    Под криптографическим способом защиты информации подразумевается ее шифрование при вводе в компьютерную систему.

    На практике обычно используются комбинированные способы защиты информации от несанкционированного доступа. Среди механизмов безопасности сетей обычно выделяют следующие основные:

    1) шифрование;

    2) контроль доступа;

    3) цифровая подпись.

    Шифрование применяется для реализации служб засекречивания и используется в ряде других служб. Механизмы контроля доступа обеспечивают реализацию одноименной службы безопасности, осуществляют проверку полномочий объектов сети, то есть программ и пользователей, на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется в точке инициализации связи, в промежуточных точках, а также в конечной точке. Механизмы контроля доступа делятся на две основные группы – аутентификацию объектов, требующих ресурса, с последующей проверкой допустимости доступа, для которой используется специальная информационная база контроля доступа, и использование меток безопасности, т. е. наличие у объекта соответствующего мандата на доступ к ресурсу.

    Самым распространенным и одновременно самым ненадежным методом аутентификации является парольный доступ. Более совершенными являются пластиковые карточки и электронные жетоны. Наиболее надежными считаются методы аутентификации по особым параметрам личности, так называемые биометрические методы. Цифровая подпись, по своей сути, призвана служить электронным аналогом ручной подписи, используемой на бумажных документах.

    Дополнительными механизмами безопасности являются следующие:

    - обеспечение целостности данных;

    - аутентификация;

    - подстановка трафика;

    - управление маршрутизацией;

    - арбитраж.

    Механизмы обеспечения целостности данных применимы как к отдельному блоку данных, так и к потоку данных. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Возможны и более простые методы контроля целостности потока данных, например нумерация блоков, дополнение их меткой имени. В механизме обеспечения аутентификации различают постороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих объектов одного уровня проверяет подлинность другого, во втором – проверка является взаимной. На практике часто механизмы аутентификации совмещаются с контролем доступа, шифрованием, цифровой подписью и арбитражем. В общем случае для реализации одной службы безопасности может использоваться комбинация нескольких механизмов безопасности.

    Перед современными предприятиями все острее встает проблема обеспечения информационной безопасности. Информация становится продуктом, имеющим вполне реальную, даже в денежном выражении, ценность, а потери компаний от взломов информационных систем оцениваются сотнями миллионов долларов. Для эффективного противодействия попыткам взлома корпоративных систем необходим комплексный подход, включающий анализ существующего уровня защищенности системы, выработку рекомендаций по повышению этого уровня, разработку корпоративной политики безопасности, установку и настройку средств защиты, контроль защищенности.

    Во всем многообразии продуктов по защите информации практически невозможно выделить такой, чтобы удовлетворял всем требованиям и подходил в любых ситуациях. Поэтому существует необходимость группировать применяемые средства по направлениям, методам и функциональным возможностям. Контур безопасности предназначен для обеспечения защиты внешнего периметра КИС. Контур безопасности реализует защиту периметров как центрального, так и всех дополнительных офисов, и информационных потоков между этими офисами, КИС и клиентами.

    Направление «Внутрикорпоративная безопасность» предназначено для обеспечения информационной безопасности внутри компании и предполагает необходимость построения и поддержания системы, обеспечивающей разделение пользователей на группы в соответствии с их статусом и правами, а также разделение ресурсов по уровню их конфиденциальности или секретности. Кроме того, большое значение уделяется постоянному контролю несанкционированных вторжений и антивирусной защите.

    Управление корпоративной безопасностью позволяет постоянно контролировать выполнение требований политики безопасности и оперативно вносить необходимые корректировки. В рамках комплексного подхода к информационной безопасности соответствующие компании предоставляют широкий спектр консалтинговых услуг: проведение обследования, аудита и тестирования безопасности информационных систем; анализ и управление рисками; разработка концепции, политики и планов информационной безопасности; проектирование и подготовка к аттестации систем информационной безопасности.

    Потребности бизнеса в защите IT-инфраструктуры, конфиденциальной информации и бизнеса в целом растут пропорционально росту угроз безопасности и киберпреступности. Понимая исключительную важность инновационных решений и передовых продуктов в обеспечении информационной безопасности бизнеса, разработчики предлагают своим клиентам услуги по проектированию, внедрению, интеграции и обслуживанию решений безопасности любой сложности и стремятся к постоянному качественному расширению своего портфеля решений. Комплексный подход к проектам в области информационной безопасности – это прежде всего многоэтапность их реализации.

    Этап анализа и оценки существующих рисков в организации

    На этом этапе предлагаются следующие услуги:

    1. Проведение аудита и выявление уязвимых мест информационной системы организации.

    2. Разработка концепции информационной безопасности организации.

    3. Внедрение и централизованное управление политикой безопасности и информационными рисками в организации.

    Этап внедрения системы безопасности

    На этапе внедрения предлагаются следующие решения:

    1. Защищенный доступ в Интернет.

    2. Защита корпоративного интернет-портала и сайта e-Commerce.

    3. Подсистема антивирусной защиты и защиты от спама.

    4. Решение для сокрытия и защиты конфиденциальной информации от несанкционированного доступа.

    5. Защищенное взаимодействие с мобильными сотрудниками, находящимися вне офиса.

    6. Защищенный доступ партнеров к корпоративным ресурсам.

    7. Защищенное взаимодействие с клиентами.

    8. Защита и шифрование корпоративной почты.

    9. Защита беспроводных сетей.

    10.  Защита IP-телефонии.

    11.  Обнаружение и предотвращение вторжений и сетевых атак на информационные и сетевые ресурсы предприятия.

    12.  Сертификаты и ЭЦП на предприятии.

    13.  Решение для расширенной («строгой») аутентификации пользователей в сети. Смарт-карты.

    Этап поддержки

    1. Система мониторинга и составления отчетности пользования информационными ресурсами в организации.

    2. Техническая поддержка и сопровождение систем информационной безопасности.

    3. Обучение специалистов заказчика.

    4. Внедрение и сопровождение высоконадежной, комплексной системы информационной безопасности требует – внимательного и профессионального подхода.

    5. Кроме технических и других средств защиты должны быть тщательно разработаны внутренние документы компании по обеспечению информационной безопасности.

    Обеспечение безопасности при работе в сети одинаково актуально как для отдельных пользователей, так и для целых корпораций. И те и другие существенно страдают от атак злоумышленников. Только если в случае частных пользователей объектом атаки являются пароли электронной почты, сетевых мессенджеров и домашние компьютеры, то применительно к организациям под угрозой оказываются целые локальные сети и автоматизированные системы. Для предприятий подобные угрозы составляют большую проблему, поскольку на настоящий момент автоматизированные системы выполняют ключевую роль в обеспечении успешной реализации бизнес-процессов и любое вмешательство в систему или утечка коммерческих данных могут поставить под удар все предприятие. При этом, по наблюдениям специалистов, в последние годы количество информационных атак постоянно увеличивается как в России, так и в зарубежных странах. Информационную атаку можно определить как комплекс действий некоего злоумышленника, направленный на нарушение какого-либо из трех основных свойств информации – целостности, доступности, конфиденциальности.

    Как показывает практика, информационные атаки могут подразделяться на внешние и внутренние.

    Внешние атаки осуществляются извне локальной сети, с узла, не являющегося ее частью. К этой разновидности относятся все виды информационных атак, которые проводятся в отношении той или иной корпоративной сети из Интернета.

    Внутренними называются информационные атаки, которые проводятся с одного из серверов или рабочих станций самой локальной сети. Как пример можно взять утечку конфиденциальной информации.

    В качестве метода атаки обычно используется поиск уязвимости автоматизированной системы, позволяющей проникнуть в нее злоумышленнику. Причем уязвимостью, слабым местом системы могут быть самые разные факторы: некорректные настройки и конфигурация сетевых служб, отсутствие необходимых средств защиты, не установленные вовремя модули обновлений, нестойкие пароли и тому подобное. В качестве средств защиты выступают обычные виды технических приемов:

    1) межсетевые экраны;

    2) средства криптографической защиты;

    3) антивирусные программы;

    4) средства от спама;

    5) программные средства обнаружения атак;

    6) разграничение прав доступа для пользователей.

    Межсетевой или сетевой экран – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача – не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

    Средства криптографической защиты предназначены для реализации в прикладном программном обеспечении функций криптографической защиты информации – применения электронной подписи и шифрования. Криптографические методы защиты информации – это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.

    Современная криптография включает в себя четыре крупных раздела:

    1. Симметричные криптосистемы. В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. Шифрование – преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом; дешифрование – обратный шифрованию процесс: на основе ключа шифрованный текст преобразуется в исходный;

    2. Криптосистемы с открытым ключом. В системах с открытым ключом используются два ключа – открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения. Ключ – информация, необходимая для беспрепятственного шифрования и дешифрования текстов;

    3. Электронная подпись. Системой электронной подписи называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

    4. Управление ключами. Это процесс системы обработки информации, содержанием которого являются составление и распределение ключей между пользователями.

    Антивирусная программа (антивирус) – любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

    Антиспам, спам-фильтр – это совокупность настроек программного обеспечения сервера электронной почты для интерактивного анализа полученных писем и определения оных писем в категорию «спам». Программное обеспечение такого типа, как правило, реализует защиту от нежелательной корреспонденции двумя способами. Первый заключается в том, что анализируется содержание письма и делается вывод, спам – это или нет. Письмо, классифицированное как спам, отделяется от прочей корреспонденции: оно может быть помечено, перемещено в другую папку, удалено. Такое ПО может работать как на сервере, так и на компьютере клиента.

    Второй подход заключается в том, чтобы, применяя различные методы, опознать отправителя как спамера, не заглядывая в текст письма. Это ПО может работать только на сервере, который непосредственно принимает письма. При таком подходе дополнительный трафик тратится сервером только на общение со спамерскими почтовыми программами (т. е. на отказы принимать письма) и обращения к другим серверам (если таковые нужны) при проверке. Большинство программного обеспечения, ориентированного на работу с электронной почтой, имеет свои собственные спам-фильтры. Критерием эффективности антиспама является прежде всего процентное соотношение выявленного и пропущенного спама.

    Система обнаружения вторжений (СОВ) – программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими, в основном через Интернет. Соответствующий английский термин – Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем. Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей). Обычно архитектура СОВ включает:

    – сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;

    – подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;

    – хранилище, обеспечивающее накопление первичных событий и результатов анализа;

    – консоль управления, позволяющую конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

    Существует несколько способов классифицировать СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства. Разграничение прав доступа для пользователей также является важным механизмом по предотвращению несанкционированного доступа к конфиденциальным данным. Разграничение прав доступа позволяет разграничить права доступа к информации для разных людей. Таким образом, конфиденциальная информация никогда не попадет в руки пользователя, который не имеет доступа к этой информации. В свою очередь, отдельные пользователи имеют все полномочия и могут назначать или убирать их для других.

    В случае успешно реализованной информационной атаки многое зависит от того, как быстро ее успели обнаружить и как быстро перекрыт доступ для злоумышленника в систему. Так или иначе, в данном случае потребуется полная проверка системы на уязвимость, смена паролей, выявление источника атаки и способа его проникновения в систему.

    Информационные системы, компьютерные сети, электронная почта – вот далеко не полный перечень тех средств, с помощью которых происходит обмен данными в электронном виде. В последнее десятилетие появились и получили распространение новые инструментальные средства эффективного обеспечения управленческих процессов. В том числе речь идет о программном обеспечении, предназначенном для обработки управленческих документов. Здесь, прежде всего, следует упомянуть программное обеспечение классов «системы управления документами» и «системы управления деловыми процессами»sub_99112. Такие системы представляют собой программные комплексы, применимые для решения ряда задач, в том числе и для построения корпоративных систем электронного документооборота. В рамках автоматизации процесса обработки документа в организации с момента его создания или получения до момента отправки корреспонденту или завершения исполнения и списания в дело должно быть обеспечено решение следующих функций:

    · регистрация входящих в организацию документов, исходящих из организации документов и внутренних документов;

    · учет резолюций, выданных по документам руководством организации, и постановка документов на контроль;

    · централизованный контроль исполнения документов;

    · списание документов в дело;

    · ведение информационно-справочной работы;

    · формирование делопроизводственных отчетов по организации в целом.

    Использование системы электронного документооборота позволяет организовать передачу данных о ходе исполнения документов в электронном виде, что качественно меняет организацию контроля исполнения документов. Карточки централизованно зарегистрированных документов с резолюциями руководства рассылаются в электронном виде сотрудникам соответствующих подразделений. Они дополняют их резолюциями по исполнению документов, выдаваемыми руководителями структурных подразделений. По мере появления данных о ходе исполнения документов эти данные вносятся в систему. При этом система автоматически отслеживает наступление даты предварительного уведомления о приближении срока исполнения и наступление самого этого срока. Заинтересованные пользователи системы информируются о названных сроках. Также значительно видоизменяется процесс согласования проектов документов, в рамках которого сотрудники, участвующие в процессе согласования, получают возможность обмениваться электронными версиями согласуемых проектов. Такая технология позволяет сократить время, затрачиваемое на передачу проектов в бумажном виде.

    Система электронного документооборота обязательно включает текущий электронный архив, который решает проблемы оперативного доступа к информации и наличия возможности одновременного использования документа несколькими сотрудниками. Такая форма организации хранения значительно снижает вероятность потери информации и повышает оперативность работы за счет сокращения времени поиска нужного документа. Хранение текстов документов в электронном виде позволяет реализовать полнотекстовый поиск, что открывает принципиально новые возможности при ведении информационно-справочной работы, например, позволяет делать тематические подборки документов по их содержанию. Использование электронного архива избавляет от необходимости создавать фонд пользования архивными документами, так как по запросу в любой момент может быть выдана электронная копия документа.

    С юридической точки зрения, понятие электронного документооборота отличается от понятия электронного обмена данными. В основе первого лежит легитимность (процессуальная допустимость и доказательственная сила) электронных документов. Поэтому наряду с совершенствованием информационных технологий важную роль в процессе создания инфраструктуры электронного документооборота должна сыграть его законодательная поддержка, суть которой состоит в придании данным, создаваемым и передаваемым электронным способом, юридического статуса документаsub_99113.

    Основной функцией традиционного документа является удостоверение некоторой информации. При составлении и использовании документа присутствуют два аспекта: во-первых, некоторая информация, а во-вторых, сам документ как материальная вещь, которую можно предъявить или передать. Наличие этой материальной вещи позволяет подтвердить истинность информации, содержащейся в документе. Возможно, для подтверждения истинности необходимо проделать некую процедуру – экспертизу по проверке подлинности документа. Саму информацию, содержащуюся в документе, тоже можно разделить на две части. Первая часть – непосредственно содержание, вторая – вспомогательная информация, которая дает возможность установить его аутентичность (подлинность). К ней относятся реквизиты типа исходящего номера, подписей и печатей.

    В состав информации, как содержательной, так и о носителе, могут входить и данные о времени, условиях и месте составления документа.

    Необходимо также отметить, что в случае бумажного документа оригинал существует в ограниченном, известном заранее количестве экземпляров. Например, может быть указано, что договор совершен в трех экземплярах, имеющих равную силу. Любой дополнительный экземпляр явится копией, что в принципе, может быть проверено путем проведения соответствующей экспертизы. В ряде случаев существенно наличие именно оригинала документа. Например, продажа акции, выпущенной в документарной форме, вовсе не равносильна продаже копии ее сертификата, даже заверенной нотариально.

    Таким образом, документ выполняет следующие функции:

    – фиксация некоторой (содержательной) информации;

    – фиксация лица, подписавшего документ;

    – фиксация условий составления документа;

    – доказательство в судебном разбирательстве;

    – функция оригинала, обеспечиваемая его уникальностью.

    В России 10 января 2002 г. принят Закон об ЭЦП (электронной цифровой подписи). Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. В Законе дано определение электронного документа как документа, в котором информация представлена в электронно-цифровой форме (ст. 3).

    В законодательстве определены условия, при соблюдении которых электронный документ приобретает статус письменного документа и может служить доказательством в судебном разбирательстве. Так, ГК РФ связывает признание за электронным документом статуса письменного документа с наличием электронной цифровой подписи. В п. 2 ст. 160 ГК РФ электронная цифровая подпись упоминается наряду с факсимильным воспроизведением подписи как один из аналогов собственноручной подписи. В ст. 75 АПК РФ указано, что наличие электронной цифровой подписи позволяет закрепить за электронным документом статус письменного доказательства. В Законе об информации электронная цифровая подпись (ЭЦП) называется реквизитом, закрепляющим за данным видом документа правовой статус документа.

    Таким образом, данные законодательные акты связывали материально-правовое значение ЭЦП с приданием информации, представленной в электронно-цифровой форме, правового статуса документа или письменного документа (доказательства). Несмотря на то, что ГК РФ и АПК РФ рассматривают ЭЦП как аналог собственноручной подписи, они не допускали юридического отождествления ЭЦП с собственноручной (физической) подписью человека на бумажном документе. Акцент делался на закреплении одинакового правового статуса электронного документа и традиционного письменного документа с использованием для данной цели различных правовых и технических средствsub_99114.

    Электронная цифровая подпись – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. Закона об ЭЦП). С юридической точки зрения, электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при соблюдении определенных условий.

    Рассмотрим основные отличия этих двух видов подписи. Рукописная подпись подтверждает факт взаимосвязи между сведениями, содержащимися в документе, и лицом, подписавшим документ, то есть является одним из средств идентификации личности. В основу использования рукописной подписи как средства идентификации положена гипотеза об уникальности личных биометрических параметров человека. Механизм выполнения физической подписи непосредственно обусловлен психофизиологическими характеристиками организма человека, и в силу этого подпись неразрывно связана с личностью подписывающего. Поэтому и возможна идентификация лица по его подписи.

    Характерной особенностью рукописной подписи является ее неразрывная физическая связь с носителем информации. То есть рукописная подпись возможна только на документах, имеющих материальную природу. Электронные документы, имеющие логическую природу, к этой категории не относятся. Таким образом, при совершении сделок, факт которых удостоверяется рукописной подписью, стороны-участники должны находиться либо в непосредственном контакте, либо в опосредованном – через материальный носитель и услуги сторонних организаций. Другой недостаток рукописной подписи является функциональным. Он связан с тем, что рукописная подпись обеспечивает только идентификацию документа, то есть подтверждает его отношение к лицу, поставившему подпись, но ни в коей мере не обеспечивает аутентификации документа, то есть его целостности и неизменности. Без специальных дополнительных мер защиты рукописная подпись не гарантирует тот факт, что документ не подвергся содержательным изменениям в ходе хранения или транспортировки.

    В отличие от рукописной подписи, электронная цифровая подпись имеет не физическую, а логическую природу – это просто последовательность символов, которая позволяет однозначно связать лицо, подписавшее документ, содержание документа и владельца ЭЦП. Логический характер электронной подписи делает ее независимой от материальной природы документа. С ее помощью можно подписывать документы, имеющие электронную природу (исполненные на магнитных, оптических, кристаллических и иных носителях, распределенные в компьютерных сетях и т. п.).

    Согласно Закону, ЭЦП должна решать следующие задачи: защиту электронного документа от подделки, установление отсутствия искажений информации в электронном документе, идентификацию владельца сертификата ключа подписи (ст. 3).

    Таким образом, ЭЦП должна обеспечить идентификацию (документ подписан определенным лицом) и аутентификацию (содержание не претерпело изменений с момента его подписания) электронного документа. Однако следует отметить, что сущность же ЭЦП такова, что она не может непосредственно характеризовать владельца ЭЦП как личность. Связь же между ЭЦП и человеком, ее проставившим, носит не биологический, а социальный характер. Возникновение, существование и прекращение данной связи обусловлены совокупностью различных правовых, организационных и технических факторов. Определение подлинности ЭЦП свидетельствует только о знании лицом, ее проставившим, закрытого ключа ЭЦП. Для того чтобы выяснить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо установить помимо факта подлинности ЭЦП и идентификацию человека, ее поставившего. Идентификация человека в традиционном понимании, как это происходит по личной подписи, непосредственно по ЭЦП невозможна. Независимость ЭЦП от носителя позволяет использовать ее в электронном документообороте. При использовании ЭЦП возможны договорные отношения между удаленными юридическими и физическими лицами без прямого или опосредованного физического контакта. Это свойство ЭЦП лежит в основе электронной коммерции.

    Логическая природа ЭЦП позволяет не различать копии одного документа и сделать их равнозначными. Снимается естественное различие между оригиналом документа и его копиями, полученными в результате тиражирования (размножения). Механизм обслуживания ЭЦП основан на программных и аппаратных средствах вычислительной техники, поэтому он хорошо автоматизируется. Все стадии обслуживания (создание, применение, удостоверение и проверка ЭЦП) автоматизированы, что значительно повышает эффективность документооборота. Вместе с тем автоматизация хоть и способствует повышению производительности труда, она выводит механизм подписи из-под контроля естественными методами (например, визуальными) и может создавать иллюзию благополучия. Поэтому для использования ЭЦП необходимо специальное техническое, организационное и правовое обеспечение.

    Техническое обеспечение электронной цифровой подписи основано на использовании методов криптографии. Любой документ можно рассматривать как уникальную последовательность символов. Изменение хотя бы одного символа в последовательности будет означать, что в результате получится уже совсем другой документ, отличный от исходного. Чтобы последовательность символов, представляющих документ, могла, во-первых, идентифицировать ее отправителя, а во-вторых, подтвердить ее неизменность с момента отправления, она должна обладать уникальными признаками, известными только отправителю и получателю сообщения. Для этого используются различные средства шифрования, создаваемые и изучаемые наукой криптографией.

    Для шифрования и дешифрования информации необходимо знать метод и ключ шифрования. Метод шифрования – это формальный алгоритм, описывающий порядок преобразования исходного сообщения в результирующее. Ключ шифрования – это набор параметров (данных), необходимых для применения метода. Так, например, буквы любой последовательности символов можно заменить на соответствующую комбинацию цифр – это метод шифрования. А конкретное указание, какую букву заменить на какую последовательность цифр, является ключом.

    Существуют 
    1   2   3   4   5


    написать администратору сайта