- •Южно-уральский государственный университет
- •Курс лекций
- •Информационная безопасность.
- •Челябинск
- •5.3 Система информационной безопасности предприятия. 16
- •Введение
- •5. Система информационной безопасности предприятия.
- •5.1 Основные определения. Информация1 и ее свойства.
- •5.2 Стандарты обеспечения информационной безопасности.
- •5.2.1 Роль стандартов информационной безопасности.
- •5.2.2 Документирование деятельности по обеспечению иб предприятия.11
- •Документы второго уровня
- •Документы третьего уровня
- •Документы четвертого уровня
- •5.3 Система информационной безопасности предприятия.
- •5.3.1 Основные положения.
- •5.3.2 Защита коммерческой тайны на предприятии.
- •5.3.3 Защита персональных данных на предприятии.
- •Глава 14 (ст. 85 - 90). Защита персональных данных работника.
- •5.3.4 Электронный документооборот. Электронная подпись.
- •Преследуемые цели39
- •Сущность цифровой подписи.
- •Удостоверяющий центр
- •Формирование и проверка эп
- •Секретные и открытые ключи
- •Средства эп
- •Криптографические хэш-функции
- •Комплексная защита сообщений
- •5.3.5 Ответственность за нарушения правил обращения с конфиденциальной информацией.
- •5.4 Создание системы информационной безопасности предприятия.
- •5.4.1 Основные цели, методы и принципы.
- •5.4.2 Методическое направление работ по созданию ксзи
- •5.4.3 Организационное направление работ по созданию ксзи
- •Регламент обеспечения безопасности.
- •Общие документы
- •Документы по работе с кадрами
- •Документы по защите ас и свт
- •5.4.4 Техническое направление работ по созданию ксзи
- •5.4.5 Выводы. Как построить защищенную информационную систему?
- •5.5 Современные технологии защиты данных.43
- •5.5.1 Технология криптографической защиты информации.
- •5.5.2 Технологии аутентификации.
- •Приложение
- •Положение о коммерческой тайне
5.3.4 Электронный документооборот. Электронная подпись.
Современное общество невозможно представить без развитой системы управления. Процесс принятия управленческих решений тесно связан с таким понятием, как документ (от латинского documentum – «свидетельство, доказательство»), т.е. это письменная фиксация принятого управленческого решения или какого-либо значимого факта.
С развитием информационных технологий стали широко применяться так называемые электронные документы34, использование которых дает ряд преимуществ для пользователей:
ускорение процессов документооборота;
способность передавать документ по цифровым каналам связи;
легко изменяемое содержание (редактирование);
неограниченность экземпляров, имеющих юридическую силу и т.д.
Однако использование электронных документов порождает и ряд определенных сложностей. Одной из главных проблем использования электронных документов является обеспечение его юридической силы. Для решения этой проблемы предусмотрен специальный реквизит электронного документа - электронная подпись (ЭП).
В России для использования электронной подписи установлена нейтральная с точки зрения технологий правовая политика, при которой признаются все технологии ЭП (от простейшей в виде электронного кода, до использования криптографических алгоритмов).
К омментарий …
Одним из первых фундаментальных правовых актов, характеризующих международные правовые условия использования ЭП, является Директива 1999/93/EС Европейского Парламента и Совета от 13 декабря 1999 года.
10 января 2002 года Президент РФ утвердил Федеральный закон № 1-ФЗ «Об электронной цифровой подписи», который ввел понятие «электронная цифровая подпись». В 2011 году ГД РФ принят новый Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи». Положения нового закона призваны дополнить старые нормы и реализовать основные принципы международного права в области правового регулирования электронных подписей. Федеральным законом «Об электронной подписи» взамен термина электронная цифровая подпись вводится термин «электронная подпись». В связи с техническими особенностями согласно ч. 2 ст. 20 ФЗ № 63-ФЗ термин ЭЦП, как и правовые нормы морально устаревшего ФЗ «Об ЭЦП» продолжают действовать до 1 июля 2012 года.
электронная цифровая подпись (ЭЦП)35 - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Такой широкий спектр технических возможностей ЭЦП согласно ст. 19 ФЗ «Об электронной подписи» сопоставим с потенциалом квалифицированных ЭП и нецелесообразен для всеобщего применения, в том числе из-за сложности и дороговизны.
электронная подпись (ЭП)36 - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
- простая электронная подпись – это ЭП, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Таким образом, в качестве простой ЭП могут выступать, например, ввод пароля, активация соответствующей позиции (кнопки) на мониторе, в подпрограмме или на клавиатуре программного устройства, набор простым текстом имени в конце электронного сообщения и т.п. Следует отметить, что электронные документы, подписанные простой ЭП имеют слабую юридическую силу (представить их в качестве доказательства в суде, несмотря на действие ч.2 ст.9 Закона, будет сложно). Поэтому согласно ч.4 ст.9 комментируемого Закона использование простой ЭП для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается. Однако целесообразно отметить, что применение простых ЭП: практично в электронном обороте документов локальной корпоративной информационной сети; является самим дешевым видом ЭП, так как не требует наличия специальных технических средств ЭП, приобретения соответствующего Сертификата ключа проверки (СКП) и обращения в удостоверяющий центр; должно отражаться в соглашении между участниками электронного оборота документов или нормативном правовом акте.37
- усиленная электронная подпись:
- неквалифицированная электронная подпись - электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
- квалифицированная электронная подпись - электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате38;
2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Правовое регулирование отношений в области использования электронной цифровой подписи осуществляется в соответствии с настоящим Федеральным законом, Гражданским кодексом РФ, Федеральным законом «Об информации, информационных технологиях и защите информации», Федеральным законом «О связи», другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, а также осуществляется соглашением сторон.
……….
В конце бумажного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие преследует две цели:
получатель имеет возможность убедиться в истинности письма, сличив подпись с имеющимся у него образцом;
личная подпись является юридическим гарантом авторства документа.
Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д. Те же самые цели преследует и ЭП, только документы (письма) и сама подпись в данном случае предполагаются в электронном виде.
Принятие закона обеспечило правовые условия использования ЭП в электронных документах, при соблюдении которых ЭП в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе, и заложило основы для создания юридически значимого электронного документооборота.