Добавлен: 06.07.2023
Просмотров: 124
Скачиваний: 1
СОДЕРЖАНИЕ
1.1. Зачем нужна электронная подпись
2. Новые формы ЭП. Формы и Виды
3. ЭП в системах электронного документооборота. Подпись для электронного документооборота (ЭДО)
4. Принципы формирования ЭП. Формирование ЭП
5.Правовые аспекты применения ЭП.
6. Законодательство в сфере защиты информации.
7.1. Что представляют собой ключи ЭЦП
9. Носители ключей электронной подписи
9.1. Варианты носителей ЭП И ЭЦП
10. Процедура проверки электронной подписи.
12. Конфиденциальное делопроизводство
13. Защищенный электронный документооборот.
13.1. Электронный документооборот
14. Использование электронной подписи в договорном процессе.
Важным является определение факта подтверждения подлинности ЭЦП в электронном документе - как «положительного результата проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сер- тификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе».
Законом определены условия признания равнозначности электронной цифровой подписи и собственноручной подписи (ст. 4). ЭЦП в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: •
сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; •
подтверждена подлинность ЭЦП в электронном документе; •
ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Поскольку основным документом, подтверждающим подлинность ЭЦП и идентификацию владельца, является сертификат ключа подписи, в законе достаточно подробно определены сведения, которые он содержит, а также сроки и порядок его хранения в удостоверяющем центре.
Отдельно рассмотрена деятельность удостоверяющих центров, их статус и взаимоотношения между этими центрами и владельцами сертификатов ключа подписи.
В заключение необходимо отметить важность узаконивания техни- ко-математических решений, применяемых при использовании ЭЦП. Это вызвано тем, что в настоящее время существует множество алгоритмов шифрования информации, ЭЦП, способов их программной реализации. В математике также существует довольно большой набор различных функций хеширования. Чтобы обеспечить возможность обмена информацией между абонентами, необходимо закрепление единого алгоритма ЭЦП и функции хеширования, достаточно полно удовлетворяющих требованиям безопасности и достоверности информации. В наиболее развитых странах существует практика задания алгоритма ЭЦП и функции хеширования в виде государственных стандартов. Такие стандарты существуют и в РФ. Первым отечественным стандартом ЭЦП является принятый в 1994 г. и действующий в настоящее время ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».
В целях повышения криптографических качеств ЭЦП, гарантирующих при сохранении в тайне закрытого ключа подписи невозможность её подделки в течение нескольких десятков лет даже с учётом развития вычислительной техники и соответствующих математических алгоритмов, с 2000 г. специалисты ФАПСИ начали разработку нового стандарта. Постановлением Госстандарта России № 380-СТ от 12 сентября 2001 г. разработанный ФАПСИ проект стандарта ЭЦП утвержден в качестве государственного стандарта ГОСТ Р34.10-2001 и введен в действие с 1 июля 2002 г.
Таким образом, в РФ в настоящее время имеется благоприятная возможность получить взаимоувязанное решение как юридических и организационных вопросов, связанных с применением ЭЦП в документообороте, гак и технических вопросов, и вопросов качества, связанных с криптографическими свойствами процедур ЭЦП.
В соответствии с «Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» средства ЭЦП относятся к криптографическим. Порядок их разработки и использования будет рассмотрен ниже.
6. Законодательство в сфере защиты информации.
Одной из наиболее сложных проблем, в определенной мере, сдерживающей темпы информатизации общества, является необходимость приоритетного обеспечения вопросов национальной безопасности (социальной, экономической, политической и т.д.) в условиях широкого применения средств вычислительной техники и связи для обработки конфиденциальной и биржевой инфраструктурах. Социально-экономические последствия широкого внедрения компьютеров в жизнь современного общества привели к появлению ряда проблем информационной безопасности.
В связи с возрастающим числом компьютерных преступлений проблема защиты информации является приоритетной в настоящих условиях. Защита информации должна носить комплексный характер.
Комплексный характер защиты достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:
ГОСТ 28147-89
Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования
ГОСТ Р 34.10-94
Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.
ГОСТ Р 34.11-94
Информационная технология. Криптографическая защита информации. Функция хэширования.
ГОСТ Р 50739-95
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
Алгоритмы реализованы в виде единого комплекса средств криптографической защиты информации (СКЗИ), сертифицированных ФАПСИ, а также единых ключевых систем.
Свою деятельность ЗАО МО ПНИЭИ строит в соответствии с законодательством РФ в области криптографической защиты информации.
6.1. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации;
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
(п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)
5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
7. Ключи электронной подписи
7.1. Что представляют собой ключи ЭЦП
Электронно-цифровая подпись — это информация в электронной форме (п. 1 ст. 2 закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ), которая может дополнять тот или иной файл в целях удостоверения его авторства, а также подтверждения факта отсутствия изменений в данном файле после его подписания. Программная оболочка, посредством которой генерируется соответствующая информация, формирует электронный ключ.
При этом данный ключ классифицируется на 2 разновидности:
- открытый;
- закрытый.
Изучим их специфику.
7.2. Открытый ключ
Под открытым ключом ЭЦП понимается уникальная последовательность символов (п. 5 ст. 2 закона № 63-ФЗ), которая доступна всем пользователям, желающим проверить подписанный с помощью ЭЦП документ на предмет авторства и целостности. Обычно открытый ключ находится в распоряжении получателя файлов, подписанных ЭЦП.
7.3. Закрытый ключ ЭЦП
Под закрытым ключом электронной подписи понимается, в свою очередь, последовательность символов, посредством которых осуществляется непосредственно подписание файла и удостоверение его авторства и целостности (п. 6 ст. 2 закона № 63-ФЗ). Доступ к закрытому ключу имеет только автор файла (или уполномоченное на работу с данным файлом лицо).
Открытые и закрытые ключи электронной подписи связаны между собой: проверить корректность ЭЦП, сформированной с помощью закрытого ключа, можно только с помощью соответствующего ему открытого ключа. То есть у них должен быть общий производитель (таковым может быть удостоверяющий центр).
Что представляет собой носитель ключа электронной подписи:
Открытый и закрытый ключи создаются с помощью специальных криптографических приложений. Располагаются они на особом носителе — хорошо защищенном от несанкционированного копирования данных аппаратном модуле (например, устройстве типа eToken). Пользоваться им может только человек, имеющий правомочия в части подписания тех или иных файлов.
8. Основные сведения
Центр сертификации — это компонент, отвечающий за управление криптографическими ключами пользователей.
Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:
- серийный номер сертификата;
- объектный идентификатор алгоритма электронной подписи;
- имя удостоверяющего центра;
- срок действия сертификата;
- имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
- открытые ключи владельца сертификата (ключей может быть несколько);
- объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
- электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хеширования всей информации, хранящейся в сертификате).
Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом, аккредитованный центр получает «техническое право» работы и наследует «доверие» от организации, выполнившей аккредитацию.