моя. Программа для работы с электронными таблицами Microsoft Office Excel 2007. Полученные результаты были наглядно представлены в качестве таблиц и гистограмм
Скачать 70.55 Kb.
|
симметричные и несимметричные методы шифрования. Симметричный метод шифрования состоит в том, что партнер создает ключ шифрования, который передает другому партнеру. Сообщение шифруется и дешифруется одним ключом. Этот алгоритм трудно напрямую использовать, например, в электронной коммерции, так как возникает проблема идентификации удаленного партнера. Несимметричная (асимметричная) криптография использует специальные математические методы. В результате применения этих методов создается пара ключей: то, что зашифровано одним ключом, может быть дешифровано другим, и наоборот. Владелец ключей один оставляет у себя, а другой может распространить, например, прямой рассылкой через Интернет. Ключ, оставленный у владельца, называется закрытым или личным, другой – открытым или публичным. Закрытый ключ электронной цифровой подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи (ст. 3 Закона об ЭЦП). Открытый ключ электронной цифровой подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе (ст. 3 Закона об ЭЦП). Закрытый ключ может быть скомпрометирован различными способами: · хищение ключа путем копирования в результате несанкционированного доступа к оборудованию (прямого или удаленного), на котором он хранится; · получение ключа путем ответа на запрос, использованный с признаками мошенничества или подлога; · хищение ключа в результате хищения оборудования, на котором он хранится; · хищение ключа в результате сговора с лицами, имеющими право на его использование (даже рядовой факт увольнения сотрудника, имевшего доступ к закрытому ключу организации, рассматривается как компрометация ключа). Незаконность данных традиционных методов компрометации обеспечивает законодательство. Это не относится к нетрадиционным методам реконструкции закрытого ключа по исходным данным, полученным вполне легально, в частности по открытому ключу. Возможность реконструкции определяется тем, что открытый и закрытый ключи связаны определенными математическими соотношениями. Теоретически знание открытого ключа дает возможность восстановить закрытый ключ. Однако на практике это связано с наличием специальных программных и аппаратных средств и огромными затратами вычислительного времени. Существует специальная отрасль науки, называемая криптоанализом, которая позволяет воспроизводить зашифрованную информацию и оценивать степень защиты информации. Поскольку от алгоритмов, на основе которых действует средство ЭЦП, зависят надежность и устойчивость документооборота, к средствам ЭЦП предъявляются специальные требования. Средства электронной цифровой подписи – аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей. При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи (п. 2 ст. 5). Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается (п. 3 ст. 5). В России деятельность по разработке средств ЭЦП относится к лицензируемым видам деятельности (Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности». Открытый ключ потому и называется открытым, что он доступен каждому из партнеров владельца закрытого ключа. Есть очень простой прием подмены открытого ключа с целью создания ложного канала связи. Допустим, сторона C желает перехватить чужие данные. В этом случае она может с помощью средств ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера B. Тогда все сообщения от партнера А к партнеру B будут легко перехватываться и читаться стороной C, причем ни A, ни B не будут даже догадываться о том, что C участвует в «договорных» отношениях. Эта форма злоупотребления основана на том, что хотя в открытом ключе и приводятся данные о его владельце, в нем нет средств, удостоверяющих, что эти данные подлинные. Без разрешения этого вопроса механизм ЭЦП не может быть использован ни в электронной коммерции, ни в электронном документообороте. Таким образом, одним из основополагающих моментов использования электронной цифровой подписи для установления подлинности, целостности и аутентичности документов, хранимых, обрабатываемых и передаваемых с помощью информационных и телекоммуникационных систем, является подтверждение принадлежности открытого ключа ЭЦП конкретному лицу посредством выдачи сертификата ключа подписи. Поэтому значительная часть Федерального закона «Об электронной цифровой подписи» посвящена механизму удостоверения личности владельца открытого ключа. Во всех случаях этот механизм основан на том, что вводится (назначается) дополнительная сторона, удостоверяющая принадлежность открытого ключа конкретному юридическому или физическому лицу. Вопросы: кто именно имеет право удостоверять открытые ключи, когда и как – в законодательстве различных государств решаются по-разному. В частности, это может быть государственный орган или организация, уполномоченная государством для ведения данной деятельности. Возможно, что для внутреннего документооборота предприятия эту функцию можно поручить лицу, назначенному руководством, а для документооборота внутри ведомства – уполномоченному подразделению. На практике сертификация открытых ключей выполняется следующим образом. 1. Лицо (юридическое или физическое), создавшее себе пару ключей (открытый и закрытый) с помощью средства ЭЦП, должно обратиться в орган, уполномоченный выполнить сертификацию. Этот орган называется удостоверяющим центром (Закон об ЭЦП). 2. Удостоверяющий центр проверяет принадлежность открытого ключа заявителю и удостоверяет этот факт добавлением к открытому ключу своей подписи, завизированной собственным закрытым ключом. 3. Любой партнер, желающий вступить в контакт с владельцем открытого ключа, может прочитать удостоверяющую запись с помощью открытого ключа удостоверяющего центра. Если целостность этой записи не нарушена, то он может использовать открытый ключ партнера для связи с ним. Следует четко понимать, что удостоверяющий центр заверяет только факт принадлежности открытого ключа конкретному лицу или организации. Наличие полноценного сертификата открытого ключа говорит о том, что ключ можно использовать для удостоверения личности партнера в договорных отношениях. Но законность этих отношений удостоверяющим центром не подтверждается. К удостоверяющим центрам предъявляются особые требования. Это обусловлено тем, что участники электронного документооборота не могут проверить корректность осуществления подобными организациями своих функций. Поэтому в целях защиты прав участников электронного документооборота государство берет на себя регулирование деятельности этих центров посредством выдачи лицензии на их работу со стороны соответствующего уполномоченного государственного органа. Так, Закон об ЭЦП устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая организация, осуществляющая свою деятельность на основании лицензии. При оформлении лицензии организация, претендующая на ее получение, должна представить обоснование своей способности нести гражданскую ответственность (ст. 8). В настоящее время, в соответствии с рекомендациями Европейского Совета, национальное законодательство стран Европы в части требований к удостоверяющим центрам должно содержать требования одобрения или лицензирования деятельности удостоверяющих центров, проверку соблюдения этими центрами необходимых для их деятельности условий, а также требование к уровню надежности технических и программных средств, используемых этими центрами, и т. д. В части экономического обоснования возможности удостоверяющего центра нести гражданскую ответственность за ненадлежащее исполнение своих обязанностей необходимо выделить три критерия: 1) наличие собственного минимально установленного капитала, выраженного в абсолютной сумме; 2) подтверждение этой суммы банковской гарантией; 3) наличие страховки. Значительно более трудной представляется задача практического создания в нашей стране инфраструктуры открытых ключей (PKI – Public Key Infrastructure) в системах электронного документооборота и электронной торговли. Термин «инфраструктура открытых ключей» включает в себя полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования открытых ключей. Основным компонентом инфраструктуры является собственно система удостоверяющих центров. Для создания целостной системы удостоверяющих центров необходимо определить модель и общую структуру системы, степень участия в ее построении различных государственных органов и коммерческих структур; используемые при создании информационные технологии. Иерархический принцип построения государственного управления подразумевает достаточно естественную структуру построения в перспективе системы удостоверяющих центров системы электронного документооборота: от федерального уровня, через региональные центры и до ведомственных структур и конечных пользователей. В данной модели определяющую роль выполняет совокупность удостоверяющих центров верхнего уровня, которые должны удовлетворять самым высоким требованиям по информационной безопасности. От надежности защиты этого уровня и доверия к нему в большой мере зависит надежность всей системы в целом и степень доверия к ней. В настоящее время распространение получили две структурные модели системы сертификации – централизованная и децентрализованная. Централизованная модель имеет иерархический характер и наиболее соответствует потребностям служебного документооборота. Децентрализованная модель имеет сетевой характер и может использоваться, например, в гражданском электронном документообороте. В основе централизованной модели сертификации находится один уполномоченный орган сертификации. Такой орган называется корневым удостоверяющим центром (корневым центром сертификации). Если чисто технически корневой центр не может обеспечить все запросы на выдачу и проверку сертификатов, поступающие от юридических и физических лиц, то он может сертифицировать другие дополнительные органы, называемые доверенными удостоверяющими центрами (доверенными центрами сертификации). Доверенные центры тоже могут удостоверять чужие открытые ключи своими открытыми ключами, но при этом их открытые ключи тоже нуждаются в удостоверении. Их удостоверяет своим закрытым ключом вышестоящий центр сертификации. Таким образом, участник электронного документооборота, получивший откуда-то открытый ключ неизвестного партнера, может: · установить наличие сертификата, удостоверенного электронной подписью удостоверяющего центра; · проверить действительность подписи центра сертификации в вышестоящем удостоверяющем центре; · если вышестоящий центр тоже является не корневым, а доверенным, то и его подпись можно проверить в вышестоящем центре, и так далее, пока проверка не дойдет до корневого удостоверяющего центра. Такую проверку надо выполнить только один раз. Убедившись в правомочности корневого удостоверяющего центра, можно настроить свое программное обеспечение так, чтобы в дальнейшем доверие ему выражалось автоматически. И лишь в случаях, когда цепочку сертификатов не удается проследить до ранее проверенного доверенного центра (или до корневого центра), программное обеспечение выдаст предупреждение о том, что открытый ключ не имеет удостоверенного сертификата и пользоваться им нельзя. Сетевая модель сертификации основана на взаимных договоренностях сторон (в последнем случае они будут иметь правовое значение, только если прямо отражены в двусторонних договорах). Так, например, при отсутствии централизованной структуры доверенных удостоверяющих центров (или параллельно с ней, если законодательство это допускает) могут существовать сетевые модели сертификации. Такие модели охватывают группы юридических и физических лиц, например, по ведомственной принадлежности. Два юридических или физических лица, вступающих в электронные коммерческие взаимоотношения, могут сами взаимно заверить друг другу открытые ключи, если обменяются ими при личной встрече с предъявлением друг другу учредительных документов или удостоверений личности (для физических лиц). В этом случае у них нет оснований сомневаться в истинной принадлежности открытых ключей. Однако, например, электронная коммерция строится исходя из того факта, что участники не нуждаются в очной встрече. В этом случае две стороны могут договориться о том, что им взаимно заверит ключи третья сторона, которую они выберут сами. Так же могут договориться и прочие участники рынка. В результате возникает сложная структура, в которой все участники связаны, с одной стороны, двусторонними договорными отношениями, а с другой стороны, еще и выполняют функции заверителей для своих традиционных партнеров. С точки зрения отдельного коммерсанта, доверие к его открытому ключу будет тем выше, чем большее количество сертификатов он получит от прочих участников рынка. За последние годы в Российской Федерации реализован комплекс практических мер по совершенствованию информационной безопасности. Начато формирование нормативно-правового обеспечения информационной безопасности. Приняты законы Российской Федерации «О государственной тайне», «Об информации, информатизации и защите информации», развернуты работы по созданию механизмов их реализации, завершена подготовка ряда законопроектов, регламентирующих деятельность субъектов в информационной сфере. Осуществлен ряд практических мероприятий по совершенствованию информационной безопасности в органах государственной власти и управления и на предприятиях. Успешному решению ряда вопросов информационной безопасности способствует создание Государственной системы защиты информации и системы лицензирования деятельности предприятий в области защиты информации. Вместе с тем анализ современного состояния информационной безопасности в России показывает, что уровень информационной безопасности в настоящее время не соответствует жизненно важным потребностям личности, общества и государства. Сегодняшние условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных ограничений на ее распространение. Отсутствие действенных механизмов регулирования информационных отношений в обществе и государстве приводит ко многим негативным последствиям. Слабое обеспечение органов государственной власти и управления полной, достоверной и своевременной информацией затрудняет принятие обоснованных решений. Неразвитость информационных отношений в сфере предпринимательства тормозит становление цивилизованного рынка. Отсутствие механизма включения информационного ресурса в хозяйственный оборот приводит к серьезным экономическим потерям. Недостаточная защищенность государственного информационного ресурса приводит к утрате важной политической, экономической и научно-технической информации, в том числе о новых и высокоэффективных технологиях военного и двойного назначения. Необеспеченность прав граждан на информацию, манипулирование информацией вызывают неадекватную реакцию населения и в ряде случаев ведут к политической нестабильности в обществе. Потерям важной информации способствуют бессистемность защиты данных и слабая координация мер по защите информации в общегосударственном масштабе, ведомственная разобщенность в обеспечении целостности и конфиденциальности информации, слабый контроль за экспортом отечественных наукоемких технологий, образцов вооружения и военной техники. Неблагоприятно обстоят дела с охраной государственной тайны. Серьезно ослаблены меры по обеспечению сохранности государственных секретов, коммерческой и служебной тайны в органах государственной власти и управления и на предприятиях оборонного комплекса. Гарантированные Конституцией Российской Федерации основные права и свободы, такие как право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, практически не имеют правового, организационного и технического обеспечения. Неудовлетворительно организована защита персональных данных, налоговой, таможенной, имущественной и другой информации. Продолжается спад производства на государственных предприятиях, в том числе специализирующихся на выпуске защищенной техники, предназначенной для обработки секретной информации. Разрушаются научные и производственные коллективы, наблюдается массовый уход в коммерческие структуры наиболее квалифицированных кадров. Отставание отечественных информационных технологий вынуждает массового потребителя идти по пути закупок незащищенной импортной техники, в результате чего повышается вероятность несанкционированного доступа к базам и банкам данных, а также возрастает зависимость страны от иностранных производителей компьютерной и телекоммуникационной техники и информационной продукции. Такое положение дел в области обеспечения информационной безопасности не позволяет России на равноправной основе включиться в мировую информационную систему и требует безотлагательного решения следующих ключевых проблем: 1) развития научно-практических основ информационной безопасности, отвечающей современной геополитической ситуации и условиям политического и социально-экономического развития Российской Федерации; 2) формирования законодательной и нормативно-правовой базы обеспечения информационной безопасности, в том числе разработки реестра информационного ресурса, регламента информационного обмена для органов государственной власти и управления, предприятий, нормативного закрепления ответственности должностных лиц и граждан за соблюдение требований информационной безопасности; 3) разработки механизмов реализации прав граждан на информацию; 4) формирования системы информационной безопасности, обеспечивающей реализацию государственной политики в области информационной безопасности; 5) разработки современных методов и технических средств, обеспечивающих комплексное решение задач защиты информации; 6) разработки критериев и методов оценки эффективности систем и средств информационной безопасности и их сертификации; 7) исследований форм и способов цивилизованного воздействия государства на формирование общественного сознания; 8) комплексного исследования деятельности персонала информационных систем, в том числе методов повышения мотивации, морально-психологической устойчивости и социальной защищенности людей, работающих с секретной и конфиденциальной информацией. Москва. 21 января. INTERFAX.RU – Президент России Владимир Путин поручил Федеральной службе безопасности создать госсистему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. «Возложить на ФСБ РФ полномочия по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ – информационные системы и информационно-телекоммуникационные сети, находящиеся на территории РФ и в дипломатических представительствах и консульских учреждениях РФ за рубежом», – говорится в указе главы государства, опубликованном в понедельник на официальном интернет-портале правовой информации. По заданию президента создаваемая госсистема также займется прогнозированием ситуации в области обеспечения информационной безопасности РФ; обеспечением взаимодействия владельцев информационных ресурсов, операторов связи при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак.На систему также собираются возложить функцию «осуществления контроля степени защищенности критической информационной инфраструктуры РФ от компьютерных атак» и установления причин компьютерных инцидентов. Указ подписан 15 января этого года и вступает в силу со дня подписания. Отметим, что в середине января ФСБ передала в суд уголовное дело на жителя Красноярского края, атаковавшего официальный сайт президента РФ в мае прошлого года. В результате этой акции веб-ресурс был недоступен в течение часа. По информации пресс-службы ФСБ, атака была совершена в поддержку оппозиционного «Марша миллионов», выступавшего за отмену результатов президентских выборов в России в 2012 году. Красноярец своей вины не признает. По словам обвиняемого, он не знал, что использованная программа является вредоносной и может привести к блокировке сайта. Однако следствие установило, что мужчина понимал последствия использования этой программы, говорится в сообщении ФСБ. Уголовное дело было возбуждено по ч. 1 ст. 273 УК РФ («Создание, использование и распространение вредоносной компьютерной программы»). Обвиняемому грозит до 4 лет лишения свободы. Ужесточение регулирования российского сегмента Интернета, начатое властями в 2012 г., в этом году, скорее всего, продолжится. В декабре депутат Госдумы Роберт Шлегель сообщил, что депутаты планируют к апрелю 2013 г. подготовить проект комплексного закона о деятельности в Интернете или его концепцию. «В законодательстве есть много дырок, которые надо закрывать, – заявлял Шлегель «Интерфаксу». – Но мы не хотим делать множество заплаток – лучше будет создать цельное полотно, охватывающее все аспекты деятельности в Интернете». По словам депутата, проект задуман как комплексная платформа для регулирования российского сегмента сети. В документе, в частности, планируется обозначить интернет-юрисдикцию России на международном уровне, прописать правила работы с контентом, регламентировать взаимодействие участников, определить уровни ответственности за те или иные действия и так далее. |