Добавлен: 06.07.2023
Просмотров: 110
Скачиваний: 1
СОДЕРЖАНИЕ
1.1. Зачем нужна электронная подпись
2. Новые формы ЭП. Формы и Виды
3. ЭП в системах электронного документооборота. Подпись для электронного документооборота (ЭДО)
4. Принципы формирования ЭП. Формирование ЭП
5.Правовые аспекты применения ЭП.
6. Законодательство в сфере защиты информации.
7.1. Что представляют собой ключи ЭЦП
9. Носители ключей электронной подписи
9.1. Варианты носителей ЭП И ЭЦП
10. Процедура проверки электронной подписи.
12. Конфиденциальное делопроизводство
13. Защищенный электронный документооборот.
13.1. Электронный документооборот
14. Использование электронной подписи в договорном процессе.
Введение
Курс "Введение в защиту информации от внутренних ИТ-угроз" посвящен постановке задач по предотвращению реализации внутренних ИТ-угроз – изменению, уничтожению и хищению информации легальными пользователями. В этом курсе слушатель научится определять "болевые точки" информационных систем и оценивать необходимость сочетания различных технологических решений и организационных методов борьбы с внутренними ИТ-угрозами.
Статистический анализ показывает, что внутренние ИТ-угрозы находятся в лидерах информационных угроз, отодвинув на второй план традиционных лидеров – хакерские атаки и вирусы. Это связано с несколькими причинами. Первая – успех производителей средств защиты от внешних угроз и повсеместное распространение их продуктов. Антивирусные компании и производители межсетевых экранов и систем обнаружения вторжений предлагают продукты, на которых можно построить гибкую многоуровневую защиту информационных систем. Успехи в биометрии и других системах аутентификации позволяют построить удобную и эффективную систему защиты от несанкционированного доступа, включающую единую точку входа и контроль над учетными записями. Вся концепция информационной безопасности строится на разделении прав доступа к ИТ-ресурсам на "санкционированные" и "не санкционированные".
Приблизившись к решению проблемы защиты периметра информационной системы снаружи, производители средств информационной безопасности оставили без внимания то, что делает пользователь с "санкционированным" доступом. Вендоры программного и аппаратного обеспечения, словно сговорившись, увеличивают количество каналов, портов и протоколов, по которым легальный пользователь может похитить информацию – системы становятся все более дружелюбными к пользователю. Беспроводные протоколы IrDA, Bluetooth и WiFi, сменные носители (от традиционных flash-носителей до медиа-плееров и фотокамер), программы синхронизации мобильных телефонов и PDA, позволяют достаточно легко передавать огромные объемы информации. Доступ к высокоскоростным каналам Интернет, постоянно растущий объем файлов, которые возможно присоединять к почтовым и IM сообщениям позволяют пересылать большие объемы информации.
1. Электронная подпись
Электронная подпись (ЭП) — это специальный реквизит, который превращает обычный файл с информацией в юридически значимый документ. Такая подпись — полный аналог собственноручно поставленного автографа.
Согласно закону № 64-ФЗ от 6 апреля 2011 года «Об электронной подписи», заверенные ею электронные документы становятся равнозначными подписанным бумагам. Они используются внутри компании, передаются контрагентам и направляются в контролирующие органы. При этом представление аналогичного документа «на бумаге» не требуется.
1.1. Зачем нужна электронная подпись
Назначение электронной подписи в следующем:
- удостоверить личность подписанта;
- подтвердить, что документ является юридически значимым;
- гарантировать, что после подписания документ не был изменен.
Сейчас очень популярно регистрировать онлайн: процедура требует наличия ЭЦП. Также обычный пример использования электронной подписи — подача налоговой декларации. При направлении в бумажном виде ее нужно распечатать в двух экземплярах, заверить подписью директора и отвезти в ИФНС.
Это долго, трудоемко и неэффективно. Чтобы упростить процесс, можно выпустить ЭП и заключить договор с оператором электронного документооборота. И тогда подача декларации займет не более пары минут. Ее даже не нужно печатать — достаточно подписать при помощи ЭП и отправить в налоговую.
1.2. Как работает ЭП
С виду то, что принято называть электронной подписью, выглядит как обычный USB-накопитель. В действительности это не сама ЭП, а лишь инструмент для ее формирования. Этакий современный аналог обычной ручки. На накопителе содержится набор файлов:
- Программа для шифрования.
- Уникальный закрытый ключ шифрования.
- Сертификат, подтверждающий личность владельца ЭП, с открытым ключом, который применяется для расшифровки подписи.
Устройство подключается к компьютеру, затем производится несложная настройка рабочего места. После этого подпись готова к использованию. Обычно документы подписываются ЭП в приложении, через которое осуществляется их отправка. Например, в сервисе электронного документооборота, личном кабинете на сайте государственного органа или же бухгалтерской программе, через которую направляются отчеты.
Процесс постановки электронной подписи кажется со стороны непонятным и сложным. В действительности же его можно описать в нескольких строках. В момент «подписания» документа ЭП происходит следующее:
- файл документа преобразуется в длинный набор символов — хеш;
- хеш шифруется при помощи закрытого ключа — это и есть электронная подпись;
- ЭП прикрепляется к документу, а вместе с ней — сертификат, в котором «зашита» информация о владельце подписи и ключ для расшифровки хеша.
На стороне получателя происходит следующее:
- проверяется владелец сертификата — так можно быть уверенным, что подпись принадлежит уполномоченному лицу;
- происходит подсчет хеша того электронного документа, который получен;
- при помощи открытого ключа происходит расшифровка ЭП — теперь известно, каков был хеш у отправленного файла;
- хеши сравниваются — они должны быть одинаковы.
Для чего нужна такая проверка? Она покажет, что документ целостный и подлинный. Если же злоумышленник решит исправить его уже после подписания, хеш файла изменится. При проверке он не сойдется с тем, который зашифрован в электронной подписи.
Это будет означать, что файл не является подлинным. Поэтому подписанные ЭП документы считаются защищенными от несанкционированного доступа. Надежный алгоритм шифрования позволяет передавать информацию через интернет без опасений.
Ведь даже если документ будет перехвачен, незаметно внести в него изменения не выйдет.
2. Новые формы ЭП. Формы и Виды
Простая подпись – это комбинации символов, коды и пароли, которые позволяют установить факт формирования электронной подписи определенным лицом. Такую подпись достаточно легко взломать.
Усиленная подпись (неквалифицированная и квалифицированная) формируется с помощью внешнего носителя – флэшки или дискеты. Дополнительная защита усиленной квалифицированной подписи – это ключ проверки ЭП, указанный в квалифицированном сертификате. Отчетность и юридически значимые документы должны подписываться только усиленной квалифицированной подписью.
Удостоверяющие центры предлагают разные электронные подписи в зависимости от возможности доступа к различным ресурсам. Так, ЭП для обычного физического лица всего за 450 рублей позволяет вести защищенный юридически значимый документооборот, получать государственные и муниципальные услуги онлайн, платить налоги через личный кабинет.
3. ЭП в системах электронного документооборота. Подпись для электронного документооборота (ЭДО)
Именно электронная подпись для ЭДО один из необходимых элементов, которые обеспечивают ему юридическую значимость. Электронная подпись в Диадоке — это только КЭП. Так удобнее для пользователей.
Электронный документооборот и электронная подпись тесно взаимосвязаны. Именно электронная подпись для ЭДО один из необходимых элементов, которые обеспечивают ему юридическую значимость.
Термин «электронная цифровая подпись» стал неактуальным с тех пор, как прекратил действовать Закон «Об электронной цифровой подписи» и вступил в силу 63-ФЗ «Об электронной подписи». Сейчас корректно употреблять по отношению к электронным документам и документообороту словосочетание «электронная подпись». Она бывает разных типов.
Квалифицированная электронная подпись (КЭП) самодостаточна: документ, которым она подписана, по умолчанию обладает юридической силой.
Неквалифицированной электронной подписью (НЭП) также можно визировать документы, но потребуются еще гарантии в виде дополнительного соглашения между контрагентами. В нем должно быть оговорено, что стороны считают оригиналами документы, подписанные НЭП.
В любом из этих случаев подпись должна соответствовать требованиям 63-ФЗ «Об электронной подписи».
В ряде случаев электронные документы можно подписать только КЭП, иначе они не будут обладать юридической силой. Это счета-фактуры, универсальные передаточные документы, их исправленные и корректировочные пары.
Электронная подпись в Диадоке — это только КЭП. Так удобнее для пользователей. Во-первых, у подавляющего числа из них она уже имеется, так, как только ею можно подписывать электронную отчетность в ФНС. Во-вторых, с КЭП не нужно тратить время на заключение дополнительного соглашения об ЭДО с контрагентом.
Электронная подпись в системе электронного документооборота — необходимое условие для его законности и юридической значимости.
4. Принципы формирования ЭП. Формирование ЭП
Для успешного создания и использования ЭП электронного документа в современных условиях обмена электронными сообщениями и документами, в том числе в сетях общего пользования, необходимо, чтобы открытый ключ (в том числе и закрытый ключ) был соотнесен с лицом, создающим ЭП, а для его создания использовалось сертифицированное средство (специальное программное обеспечение).
Для выполнения первого условия необходимо обратиться в центр сертификации.
Удостоверяющий центр или центр сертификации - это организация или подразделение организации, которая выпускает сертификаты ключей электронной подписи.
Сертификат открытого ключа удостоверяет принадлежность открытого ключа некоторому лицу. Сертификат открытого ключа содержит имя субъекта, открытый ключ, имя удостоверяющего центра (или центра сертификации), политику использования, соответствующего удостоверяемому открытому ключу закрытого ключа и другие параметры, заверенные подписью уполномоченного лица удостоверяющего центра.
Сертификат открытого ключа используется для идентификации субъекта и уточнения операций, которые субъекту разрешается совершать с использованием закрытого ключа, соответствующего открытому ключу, удостоверяемому данным сертификатом. Структура цифровых сертификатов, а также списков отозванных сертификатов (CRL), определяется стандартом X.509.
Заявитель обращается в удостоверяющий центр и представляет документы, необходимые для его идентификации (например, паспорт). Уполномоченный сотрудник УЦ выполняет проверку документов, после чего формируется пара ключей. Достоверность первого удостоверяется сертификатом, заверенным ЭП сотрудника УЦ. Секретный ключ на съемном носителе передается заявителю, который, расписываясь в получении сертификата и секретного ключа, обязуется никому не передавать секретный ключ, а в случае его утраты, обратиться в удостоверяющий центр для отзыва сертификата.
После получения закрытого ключа и сертификата открытого ключа, необходимо установить сертификат на компьютер, где будет создаваться электронная подпись. Процедура установки корневого сертификата удостоверяющего центра, а также личного сертификата с привязкой к секретному ключу, производиться с помощью средств операционной системы и специального программного обеспечения, обеспечивающего работу с сертификатом и закрытым ключом при выполнении операций шифрования и создания ЭП.
В операционных системах Microsoft Windows такое программное обеспечение получило название - криптопровайдер (Cryptography Service Provider, CSP). Криптопровайдер - это независимый модуль, позволяющий осуществлять криптографические операции, управление которым происходит с помощью функций CryptoAPI . Проще говоря, криптопровайдер – это посредник между операционной системой и клиентской программой, предназначенной для выполнения уже вполне конкретных действий, например, шифрования данных или создания ЭП документа. Крипто-провайдер обычно устанавливается в систему в момент установки клиентской программы, поэтому этот сложный процесс не заметен для пользователя.