Файл: Защита информации в процессах управления контентом.pdf

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 06.07.2023

Просмотров: 116

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

1. Электронная подпись

1.1. Зачем нужна электронная подпись

1.2. Как работает ЭП

2. Новые формы ЭП. Формы и Виды

3. ЭП в системах электронного документооборота. Подпись для электронного документооборота (ЭДО)

4. Принципы формирования ЭП. Формирование ЭП

5.Правовые аспекты применения ЭП. 

6. Законодательство в сфере защиты информации. 

6.1. Защита информации

7. Ключи электронной подписи

7.1. Что представляют собой ключи ЭЦП

7.2. Открытый ключ

7.3. Закрытый ключ ЭЦП

8. Основные сведения

9. Носители ключей электронной подписи 

9.1. Варианты носителей ЭП И ЭЦП

10. Процедура проверки электронной подписи. 

11. Применение хеш-функций

12. Конфиденциальное делопроизводство 

13. Защищенный электронный документооборот. 

13.1. Электронный документооборот 

13.2. КриптоСвязь

14. Использование электронной подписи в договорном процессе. 

15. Социальные сети, движение и защита контента

15.1. Социальная сеть 

15.2. Защита контента

15.3. Датчик движения 

Литература

Важным является определение факта подтверждения подлинности ЭЦП в электронном документе - как «положительного результата проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сер- тификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе».

Законом определены условия признания равнозначности электронной цифровой подписи и собственноручной подписи (ст. 4). ЭЦП в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: •

сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; •

подтверждена подлинность ЭЦП в электронном документе; •

ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Поскольку основным документом, подтверждающим подлинность ЭЦП и идентификацию владельца, является сертификат ключа подписи, в законе достаточно подробно определены сведения, которые он содержит, а также сроки и порядок его хранения в удостоверяющем центре.

Отдельно рассмотрена деятельность удостоверяющих центров, их статус и взаимоотношения между этими центрами и владельцами сертификатов ключа подписи.

В заключение необходимо отметить важность узаконивания техни- ко-математических решений, применяемых при использовании ЭЦП. Это вызвано тем, что в настоящее время существует множество алгоритмов шифрования информации, ЭЦП, способов их программной реализации. В математике также существует довольно большой набор различных функций хеширования. Чтобы обеспечить возможность обмена информацией между абонентами, необходимо закрепление единого алгоритма ЭЦП и функции хеширования, достаточно полно удовлетворяющих требованиям безопасности и достоверности информации. В наиболее развитых странах существует практика задания алгоритма ЭЦП и функции хеширования в виде государственных стандартов. Такие стандарты существуют и в РФ. Первым отечественным стандартом ЭЦП является принятый в 1994 г. и действующий в настоящее время ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».


В целях повышения криптографических качеств ЭЦП, гарантирующих при сохранении в тайне закрытого ключа подписи невозможность её подделки в течение нескольких десятков лет даже с учётом развития вычислительной техники и соответствующих математических алгоритмов, с 2000 г. специалисты ФАПСИ начали разработку нового стандарта. Постановлением Госстандарта России № 380-СТ от 12 сентября 2001 г. разработанный ФАПСИ проект стандарта ЭЦП утвержден в качестве государственного стандарта ГОСТ Р34.10-2001 и введен в действие с 1 июля 2002 г.

Таким образом, в РФ в настоящее время имеется благоприятная возможность получить взаимоувязанное решение как юридических и организационных вопросов, связанных с применением ЭЦП в документообороте, гак и технических вопросов, и вопросов качества, связанных с криптографическими свойствами процедур ЭЦП.

В соответствии с «Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» средства ЭЦП относятся к криптографическим. Порядок их разработки и использования будет рассмотрен ниже.

6. Законодательство в сфере защиты информации. 

Одной из наиболее сложных проблем, в определенной мере, сдерживающей темпы информатизации общества, является необходимость приоритетного обеспечения вопросов национальной безопасности (социальной, экономической, политической и т.д.) в условиях широкого применения средств вычислительной техники и связи для обработки конфиденциальной и биржевой инфраструктурах. Социально-экономические последствия широкого внедрения компьютеров в жизнь современного общества привели к появлению ряда проблем информационной безопасности.

      В связи с возрастающим числом компьютерных преступлений проблема защиты информации является приоритетной в настоящих условиях. Защита информации должна носить комплексный характер.

  Комплексный характер защиты достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:

ГОСТ 28147-89

Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования

ГОСТ Р 34.10-94

Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.


ГОСТ Р 34.11-94

Информационная технология. Криптографическая защита информации. Функция хэширования.

ГОСТ Р 50739-95

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

      Алгоритмы реализованы в виде единого комплекса средств криптографической защиты информации (СКЗИ), сертифицированных ФАПСИ, а также единых ключевых систем.

      Свою деятельность ЗАО МО ПНИЭИ строит в соответствии с законодательством РФ в области криптографической защиты информации.

6.1. Защита информации

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;


6) постоянный контроль за обеспечением уровня защищенности информации;

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

(п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

7. Ключи электронной подписи

7.1. Что представляют собой ключи ЭЦП

Электронно-цифровая подпись — это информация в электронной форме (п. 1 ст. 2 закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ), которая может дополнять тот или иной файл в целях удостоверения его авторства, а также подтверждения факта отсутствия изменений в данном файле после его подписания. Программная оболочка, посредством которой генерируется соответствующая информация, формирует электронный ключ.

При этом данный ключ классифицируется на 2 разновидности:

  • открытый;
  • закрытый.

Изучим их специфику.

7.2. Открытый ключ

Под открытым ключом ЭЦП понимается уникальная последовательность символов (п. 5 ст. 2 закона № 63-ФЗ), которая доступна всем пользователям, желающим проверить подписанный с помощью ЭЦП документ на предмет авторства и целостности. Обычно открытый ключ находится в распоряжении получателя файлов, подписанных ЭЦП.


7.3. Закрытый ключ ЭЦП

Под закрытым ключом электронной подписи понимается, в свою очередь, последовательность символов, посредством которых осуществляется непосредственно подписание файла и удостоверение его авторства и целостности (п. 6 ст. 2 закона № 63-ФЗ). Доступ к закрытому ключу имеет только автор файла (или уполномоченное на работу с данным файлом лицо).

Открытые и закрытые ключи электронной подписи связаны между собой: проверить корректность ЭЦП, сформированной с помощью закрытого ключа, можно только с помощью соответствующего ему открытого ключа. То есть у них должен быть общий производитель (таковым может быть удостоверяющий центр).

Что представляет собой носитель ключа электронной подписи:

Открытый и закрытый ключи создаются с помощью специальных криптографических приложений. Располагаются они на особом носителе — хорошо защищенном от несанкционированного копирования данных аппаратном модуле (например, устройстве типа eToken). Пользоваться им может только человек, имеющий правомочия в части подписания тех или иных файлов.

8. Основные сведения

Центр сертификации — это компонент, отвечающий за управление криптографическими ключами пользователей.

Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:

  • серийный номер сертификата;
  • объектный идентификатор алгоритма электронной подписи;
  • имя удостоверяющего центра;
  • срок действия сертификата;
  • имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
  • открытые ключи владельца сертификата (ключей может быть несколько);
  • объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
  • электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хеширования всей информации, хранящейся в сертификате).

Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом, аккредитованный центр получает «техническое право» работы и наследует «доверие» от организации, выполнившей аккредитацию.