Защита информационной системы ООО 'ГК Русэнерго' при помощи электронной цифровой подписи
Содержание
Введение
. Виды информационных систем и защита информации в них
.1 Информационная система и ее виды
.2 Структура ИС и принципы ее функционирования
.2 Обработка информации в ИС
.3 Проблемы, возникающие в процессе защиты ИС различных видов. Характеристики,
влияющие на безопасность информации в ИС
. Электронная цифровая подпись (ЭЦП) и ее применение для защиты
информационной системы предприятия
.1 Понятие электронной цифровой подписи и возможности ее применения
.2 Организационные мероприятия необходимые для получения ЭЦП и настройка
рабочего места
. Разработка мер по усовершенствованию информационной системы ООО «ГК
Русэнерго» на основе применения ЭЦП.
.1 Организационно-экономическая характеристика предприятия
.2 Анализ защищенности хозяйствующего субъекта ООО «ГК Русэнерго»,
применение ЭЦП в его информационной системе
.3 Выработка практических рекомендаций по усовершенствованию
информационной системы ООО «ГК Русэнерго» на основе применения ЭЦП
Заключение
Библиографический список
Приложение
Введение
Актуальность. В современных условиях быстрота принятия
решений и их оперативная реализация выступают решающими факторами успешной
работы и достижения поставленных целей, а наличие и широкое использование
информационно-телекоммуникационных систем является залогом эффективной работы
любого предприятия, в условиях быстрого роста объемов обрабатываемой
информации, требуемой для обеспечения эффективной коммерческой деятельности.
Помимо этого без применения информационных систем не возможно осуществление перехода
предприятия к электронным формам управления и электронному документообороту.
Объектом исследования в нашей работе является
информационная система защиты ООО «ГК Русэнерго».
Предметом исследования в данной работе станет
применение электронной цифровой подписи для защиты информационной системы
хозяйствующего субъекта (на примере ООО «ГК Русэнерго»).
Целью нашей выпускной квалификационной работы является
исследования защиты информационной системы ООО «ГК Русэнерго» при помощи
электронной цифровой подписи и выработка практической рекомендации по ее
усовершенствованию.
Основные задачи, поставленные при
выполнении данной работы:
- разобрать роль информационной системы
в управлении хозяйствующим субъектом.
- выяснить роль электронной цифровой
подписи в информационной системе;
- дать оценку состоянию защищенности
хозяйствующего субъекта ООО «ГК Русэнерго» и его информационной системе;
- рассмотреть использование ЭЦП для
защиты информационной системы ООО «ГК Русэнерго»;
- выработать практические рекомендации
по усовершенствованию информационной системы ООО «ГК Русэнерго» на основе
применения ЭЦП.
В условиях необходимости быстроты принятия управляющих
решений и большого объема обрабатываемой для этих целей информации,
информационная система становится фактором позволяющим получить следующий ряд
преимуществ:
- повысить эффективность управления
бизнес-процессами за счет улучшения исполнительской дисциплины;
- оптимизировать контроль выполнения
поставленных задач;
- увеличить быстроту и качество анализа
организационно-распорядительной деятельности;
- повысить оперативность и качество
управленческих решений;
- повысить эффективность работы и
надежность функционирования предприятия;
- сократить излишнее количество
сотрудников в организации;
- обеспечить надежность учета и хранения
документов;
- существенно снизить
непроизводительные затраты рабочего времени;
- создать единое информационное
пространство предприятия;
- организовать эффективный контроль
различных направлений деятельности предприятия (организации) и др.
Информационные ресурсы и информационные системы
относятся к ряду основных защищаемых элементов во всех сферах жизнедеятельности
современных предприятий. Сегодня активно развиваются средства негативного
информационного воздействия на эти элементы, противодействие которым требует
системного (комплексного) подхода для обеспечения информационной безопасности.
Системность такого подхода заключается в совместном использовании правовых,
инженерно-технических, программно-аппаратных и организационных методов защиты
информации, действующего на протяжении всего времени существования организации,
в непосредственном контакте (сотрудничестве) с органами правопорядка и местного
самоуправления.
Создание и организация функционирования любых
современных структур и систем, прежде всего, требует обеспечения их
информационного взаимодействия не только внутри системы, но и с внешней средой.
Это взаимодействие должно быть максимально надежно и безопасно, что в условиях
постоянно возрастающих атак злоумышленников на данные системы без применения
комплексного подхода к данной проблеме и применения новейших информационных
технологий осуществить практически не возможно.
В настоящее время для повышения надежности и
безопасности информационных систем от воздействия внешних и внутренних угроз,
направленных на уничтожение, хищение, изменение и блокировку информации
циркулирующей по каналам связи ИС и хранящейся в ее базах данных, а также для
существенного расширения рамок использования ИС широкое применение получило
применение электронной цифровой подписи.
В этой работе для выполнения поставленных задач мы
будем опираться на следующие методы исследований:
- Наблюдение - это метод научного
познания, состоящий из действий, направленных на восприятие явлений
действительности. При использовании наблюдения получают информацию о свойствах
и отношениях исследуемых объектов (используется при исследовании защищенности
исследуемой организации).
- Метод прогнозирования представляет
собой заключение о тенденциях развития исследуемого объекта (используется при
выработке практических рекомендаций).
- Анализ представляет собой расчленение
явления или процесса на составные части (некоторые свойства, признаки и т.д.) и
их разностороннее изучение (используется при переработке используемей
литературы и материалов).
- Аналогия - это метод научного
познания, который основан на сходстве объектов исследования по некоторым
признакам. При этом на основании признаков одного объекта выводится заключение
о сходстве по другому объекту (используется при определении категории исследуемого
объекта).
Крупный вклад в развитие теории и практики
безопасности сложных информационных технических, систем, их информационного
взаимодействия, защиты программных и информационных ресурсов внесли
отечественные ученые, в их числе академики Н. А. Кузнецов, В, А. Садовничий, К.
В. Фролов, а также такие известные ученые, как В. А. Герасименко, А. А. Грушо,
П. Д. Зегжда, В. А. Конявский, Г. О. Крылов, А. А. Малюк, Б. А. Погорелов, П.
Расторгуев, В. Н. Саблин, А. А. Стрельцов, М. П. Сычев, А. Ю. Щербаков и
другие. Ими была сформирована теоретическая и практическая база для разработки
теоретических положений и практического использования средств защиты
информации, электронных документов и информационных технологий электронного
документооборота.
В научных исследованиях в области информационной
безопасности вышеперечисленных ученых выделяются два качественно разных
направления. Первое это защита информации в форме сведений на традиционном
носителе (бумажном, магнитном, оптическом). Второе защита процессов преобразования
информации с помощью информационных технологий. Результатами исследований обоих
направлений в полной мере пользуются при организации защиты информационных
систем организаций от несанкционированного доступа к информации при ее сборе,
хранении, обработке и транспортировке (передаче файлов по каналам связи), в том
числе с использованием технологий криптозащиты с применением электронной
цифровой подписи (ЭЦП).
В нашей работе мы будем опираться на результаты
исследований обоих направлений, используя системный (комплексный подход) и
методы исследований приведенные выше, для оценки защищенности информационной
системы ООО «ГК Русэнерго» на основе применения электронной цифровой подписи и
выработке практических рекомендаций по ее усовершенствованию.
1. Виды информационных систем и
защита информации в них
.1 Информационная система и ее виды
В условиях современного динамично меняющегося рынка,
наличия жесточайшей конкуренции, непрерывного воздействия других негативных
факторов (как внешних, так и внутренних) на стабильность организации любой
формы возникает множество проблем, связанных с повышением эффективности и
качества управления этой организацией.
В такой ситуации, когда обстановка постоянно
изменятся, число принимаемых решений растет, их последствия все сложнее
прогнозировать, а цена ошибки с каждым днем повышается, очевидно, что без
достаточного информационного обеспечения, невозможно принимать правильные
взвешенные решения, которые непосредственно влияют на судьбу предприятия
(организации) на его развитие и жизнеспособность.
Одним словом, информация представляет собой
незаменимое сырьё для выработки и принятия любого решения, такое же сырьё, как
и любое другое, которое необходимо добыть, переработать и поставить до
истечения срока годности тому, кому оно необходимо. Все это определяет
необходимость внедрения сложных систем сбора, обработки, анализа, хранения и
передачи информации - информационных систем.
Информационня система (ИС) - это организационно-
техническая система, реализующая информационные технологии и предусматривающая
аппаратное, программное и другие виды обеспечения, а также персонал предприятия
имеющий соответствующую подготовку (квалификацию).
Под информационной системой можно также понимать
автоматизированную систему, предназначенную для организации хранения,
пополнения, обработки, поддержки и предоставления пользователю (сотрудникам)
информации в соответствии с их запросами и уровням допуска к данной информации.
Другими словами информационная система - это сложная
распределенная в пространстве система, состоящая из множества сосредоточенных
(локальных) подсистем (информационных узлов), располагающих
программно-аппаратными средствами реализации информационных технологий, и
множества средств, обеспечивающих соединение и взаимодействие этих подсистем с
целью предоставления территориально удаленным пользователям широкого набора
услуг из сферы информационного обслуживания.
Целью любой информационной системы, не зависимо от
области ее применения, программного и аппаратного обеспечения, является
предоставление полной, достоверной и своевременной информации.
Информационные системы можно разделить на две основные
группы:
- системы информационного обеспечения;
- системы, имеющие самостоятельное
целевое назначение и область применения.
Системы (или подсистемы) информационного обеспечения
входят в состав любой ИС. Они - важнейшие компоненты интенсивно развиваемых в
настоящее время систем, систем автоматизированного проектирования,
автоматизированных систем научных исследований, систем автоматизированного
управления предприятием, электронного документооборота и др.
К числу ИС самостоятельного назначения относятся
информационно-поисковые системы (ИПС), информационно-справочные (ИСС) и
информационно-управляющие (ИУС). Информационно-поисковые и информационно-справочные
системы предназначены для хранения и предоставления пользователю информации
(данных, фактографических записей, текстов, документов, и т.п.) в соответствии
с некоторыми формально задаваемыми характеристиками.
Для ИПС и ИСС характерны два этапа функционирования:
- сбор и хранение информации;
- поиск и выдача информации
пользователю.
Движение информации в таких системах осуществляется по
замкнутому контуру от источника к потребителю. При этом ИСС и ИПС выступают
лишь как средство ускорения поиска данных.
Наиболее сложный процесс с точки зрения его реализации
- поиск информации, осуществляемый в соответствии со специально задаваемым
поисковым образом документа, текста и т.п. Для оценки смысловой релевантности
вводятся критерии смыслового соответствия, а для оценки соответствия поисковых
признаков (формальной релевантности) критерии формального соответствия текстов,
по которым осуществляется сравнение и определение соответствия найденных
текстов запросам пользователей.
В зависимости от режима организации поиска ИПС и ИСС
могут быть разделены на: документальные, библиографические, библиотечные,
фактографические.
Документальными называют информационно-поисковые
системы, в которых реализуется поиск в информационном фонде ИПС документов или
текстов в соответствии с полученным запросом с последующим предоставлением
пользователю этих документов или их копий. Вся обработка информации в
документальных ИПС осуществляется пользователем.
В зависимости от того, по каким хранимым документам
или по их описаниям (вторичным документам) осуществляется поиск, документальные
ИПС делят на системы с библиотечным или с библиографическим поиском. В первом
случае поиск ведется в информационном фонде, содержащем первичные документы, во
втором в информационном фонде вторичных документов.
Заметим, что наибольшее практическое значение имеют
документальные ИПС, поиск в которых организован по двум контурам:
библиографическому, с определением основных характеристик первичного документа
и предоставлением пользователю возможности оценить, может ли данный документ
удовлетворить его информационные потребности, и библиотечному, когда в
информационном фонде осуществляется нахождение требуемого документа с
последующей его (или копии) выдачей пользователю.
Фактографические информационно-поисковые системы
реализуют поиск и выдачу фактов, текстов, документов, содержащих сведения,
которые могут удовлетворить поступивший запрос пользователя. В этом случае
осуществляется поиск не какого-то конкретного документа, а совокупности
сведений по данному запросу, хранящихся в информационном фонде ИПС или ИСС.
Отметим, что основным отличием фактографических информационно-поисковых систем
от документальных является то, что эти системы выдают пользователю не
какой-либо ранее введенный документ, а уже в той или иной степени обработанную
информацию.
Широкое применение в таких системах находят
персональные компьютеры, локальные и распределенные сети, средства передачи
данных и многие другие технические устройства. Они пронизали структуры ИС на
всех уровнях и являются их неотъемлемой частью.
ИС общего пользования предназначены для различных сфер
применения независимо от конкретного содержания данных, обрабатываемых в ИС.
Средства, структура и функциональные возможности таких ИС оказываются
одинаковыми для многих случаев применения и обеспечивают широкий диапазон
услуг. Это, как правило, большие системы, использующие в качестве базовых
коммуникационных подсетей государственные системы передачи данных. Практика
использования сетей общего пользования привела к необходимости разработки
программно-аппаратных средств, реализующих принципы открытости, универсальности
сетей и типизации технических решений [20, с.41].
ИС специального назначения предназначены для решения
задач в определенной предметной или ведомственной области.
Качество ИС можно оценить по следующим показателям:
- общее число связей ИС - определяет
потенциальную способность устанавливать взаимодействия между пользователями и
распределенными ресурсами;
- временные характеристики качества ИС
- оценивают скорость обслуживания пользователя по следующим показателям:
среднее время доступа, зависимое от размеров системы, удаленности
пользователей, загрузки системы запросами, поступающими от других
пользователей;
- среднее время обслуживания,
показывающее время, затрачиваемое на обработку запроса пользователя в том или
ином режиме и др.;
- надежность обслуживания -
характеризуется вероятностью безотказной работы ИС при взаимодействии с ней
пользователя, удобством доступа в обслуживании, а также наличием средств
диагностики и резервирования, применяемых для улучшения качества обслуживания и
повышения надежности;
- достоверность передачи - сохранность
и целостность информации;
- возможность доступа к информационным
и вычислительным ресурсам; обеспечивается математическими средствами и
протоколами, гарантирующими функции вызова и активизации запрашиваемых ресурсов
с учетом полномочий пользователя.
Не мене важно чтобы ИС специального назначения
обеспечивала выполнение следующих принципов.
Целостность - свойство информации, состоящее в ее
существовании в неискаженном виде, неизменном по отношению к некоторому
фиксированному ее состоянию.
Конфиденциальность свойство информации, состоящее в
том, что она не может быть обнаружена и стать доступной без разрешения
отдельным лицам, модулям или процессам.
Доступность информации свойство системы (среды,
средств и технологии ее обработки), в которой циркулирует информация,
характеризуемое способностью обеспечивать своевременный беспрепятственный
доступ к интересующей информации, когда в этом возникает необходимость, не
нарушая при этом существующую систему допуска к соответствующей информации [20,
с.42].
Информационные системы способствуют значительному
повышению эффективности и скорости информационного обеспечения, однако при этом
резко возрастает угроза сохранности информации. В недалеком будущем ИС могут
стать составной частью жизни общества. Их неправильное функционирование может
вызвать гибельные последствия для правительств, общества, бизнеса и отдельного
гражданина (стоит лишь задуматься о последствиях неправильного функционирования
электронной почты или банковской службы). Поэтому дальновидные руководители не
жалеют средств на защиту нужной информации.
Основой для изучения теории ИС являются исходные
положения теории информационных процессов. Под информационным процессом в
технике понимают совокупность взаимосвязанных и взаимообусловленных процессов
выявления, анализа, ввода и отбора информации, ее передачи и обработки,
хранения, поиска, выдачи, принятия решений и т.д.
Кроме того, ИС характеризуют:
- наличие прямых, обратных,
многоканальных и разветвленных связей, а также процессов управления;
- сложность, понимаемая как
принципиальная невозможность в полной мере, без дополнительных условий и
ограничений, иметь адекватное формализованное описание;
- обилие разнообразных составляющих
информационного процесса, распределенных в пространстве, непрерывно сменяющих
друг друга во времени.
Информация - сведения о фактах, событиях, процессах и
явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой
предметной области, используемые (необходимые) для оптимизации принимаемых
решений в процессе управления данными объектами. Информация может существовать
в различных формах в виде совокупностей некоторых знаков (символов, сигналов и
т.п.) на носителях различных типов [18].
.2 Структура ИС и принципы ее
функционирования
информационный электронный цифровой
подпись
Основой современных ИС, как правило, являются
территориально распределенные компьютерные системы (вычислительные сети)
интенсивно взаимодействующие. Основу аппаратных (технических) средств таких
систем составляют ЭВМ (группы ЭВМ), периферийные, вспомогательные устройства и
средства связи, сопрягаемые с ЭВМ. Состав программных средств определяется
возможностями ЭВМ и характером задач, решаемых при обработке информации.
Структурная схема ИС представлена на Рис. 1.
Из множества компонентов ИС для рассмотренных в данной
работе выделим следующие объекты, которые в свою очередь могут быть разбиты на
соответствующие составные элементы:
- локальная сеть;
- каналы и средства связи (КС);
- узлы коммутации;
- условный кабинет руководителя (либо
любое другое помещение, где для обработки информации используются различные
технические средства);
- рабочее место удаленного (легального)
пользователя системы; рабочее место постороннего пользователя (потенциального
злоумышленника);
- носители информации (магнитные,
оптические и др.);
- печатающая и множительная техника;
- отдельные ПК и рабочие станции
(терминалы);
- и наконец, непосредственно пользователи
(обыкновенные люди).
Из множества компонентов ИС, для рассмотренных в
данной работе выделим следующие объекты, которые в свою очередь могут быть
разбиты на соответствующие составные элементы:
- локальная сеть;
- каналы и средства связи (КС);
- узлы коммутации;
- условный кабинет руководителя (либо
любое другое помещение, где для обработки информации используются различные
технические средства);
- рабочее место удаленного (легального)
пользователя системы; рабочее место постороннего пользователя (потенциального
злоумышленника);
- носители информации (магнитные,
оптические и др.);
- печатающая и множительная техника;
- отдельные ПК и рабочие станции
(терминалы);
- и наконец, непосредственно
пользователи (обыкновенные люди).
Такую схему можно расширить, добавив другие
устройства, например рабочее место специального назначения, каналы цифровой
связи и т.п.
Основу технических средств ИС составляет обычно ЭВМ
высокой производительности. Комплекс средств, сбора и выдачи информации
выполняет функции связи и общения между ИС и внешней средой отдельными
пользователями, технологическими процессами, другими ИС и т.д.
При значительном удалении абонентов ИС от
вычислительных средств информация принимается и выдается по телефонным,
телеграфным или широкополосным каналам связи. Комплекс сбора и выдачи
информационно связан с внешними запоминающими устройствами ИС, управление
которыми обычно осуществляется специализированной ЭВМ, распределяющей потоки
данных и каналы памяти в соответствии с приоритетом источников заявок. Центральные
процессоры выполняют обработку информации в ИС, а быстродействующая основная
память обеспечивает хранение программ и данных решаемых задач.
Рис.1Структурная схема ИС [20, с.44]
Связь и передачу информации в ИС обеспечивает
устройство коммутации (коммутационный центр).
Определяющее значение для организации эффективного
функционирования ИС имеет ее программное обеспечение.
Основными особенностями распределенных ИС являются:
- территориальная удаленность
компонентов системы друг от друга и интенсивный обмен информацией между ними;
- широкий спектр используемых
информационных технологий;
- интеграция данных различного
назначения, принадлежащих разным субъектам, в рамках единых баз данных и,
наоборот, размещение необходимых некоторым субъектам данных в удаленных узлах
сети;
- абстрагирование пользователей и
владельцев данных от физических структур и места размещения данных;
- использование режимов распределенной
обработки данных;
- участие в процессе функционирования
ИС большого количества пользователей и персонала;
- одновременный доступ к ресурсам ИС
большого числа пользователей (субъектов) различных категорий;
- высокая степень разнородности
используемых средств вычислительной техники и связи, а также их программного
обеспечения;
- отсутствие специальной аппаратной
поддержки средств защиты в большинстве типов технических средств, широко
используемых в ИС [20, с.45].
В зависимости от форм и способов организации ИС можно
выделить основные типовые компоненты, позволяющие описать любую ИС.
Можно выделить следующие типы рабочих мест:
- пользователя дисплейного
(непрограммируемого) типа с визуальным отображением информации;
- пользователя (программируемый ПК),
который может функционировать в режиме обмена информации с сопряженной
ЭВМ и в автономном режиме;
- оператора, предназначенное для
обслуживания серверов;
- программиста, предназначенное для
отладки программы;
- администратора, предназначенное для
управления и контроля за использованием каких-либо ресурсов ИС, например
администраторы сети, базы данных, службы безопасности.
Связные компоненты:
- межсетевые мосты (шлюзы, центры
коммутации пакетов, коммуникационные ЭВМ) элементы, обеспечивающие соединение
нескольких сетей передачи данных, либо нескольких сегментов одной и той же
сети, имеющих различные протоколы взаимодействия;
- каналы связи с узлами коммутации;
- аппаратура связи типа модем
(модулятор-демодулятор), осуществляющая преобразование цифровых данных в
электрические сигналы для передачи по линиям связи и обратное преобразование на
приеме при обмене между удаленными друг от друга ЭВМ;
- аппаратура связи типа мультиплексор
передачи данных (МПД), обеспечивающая сопряжение нескольких источников
(например, нескольких ЭВМ) для передачи информации по одному каналу связи;
- каналы связи, выделенные и
коммутируемые.
Вспомогательные элементы ИС:
- помещения, в которых размещены
внешние запоминающие устройства больших ЭВМ;
- помещения, в которых размещены
устройства предварительной подготовки данных;
- хранилище машинных носителей
информации;
- хранилища документов на бумажных
носителях;
- служебные помещения пользователей и
персонала ИС.
С точки зрения защиты информации типовые компоненты ИС
рассматриваются как объекты защиты.
В состав информационных систем могут входить ЭВМ
различного функционального назначения:
- центральная ЭВМ, которая осуществляет
основные процедуры обработки информации в ИС;
- сервер или Host машина -
высокопроизводительная ЭВМ, предназначенная для реализации функций хранения,
печати данных, обслуживания рабочих станций сети и т.п.;
- ЭВМ с функциями связной машины,
шлюза, моста между сетевыми структурами [20, с.45-46].
.2 Обработка информации в ИС
Обработка информации в ИС - любая совокупность
операций (прием, сбор, накопление, хранение, преобразование, отображение,
выдача и т.п.), осуществляемых над информацией (сведениями, данными) с
использованием средств и технологий ИС.
Специфичным для ИС является понятие структуры, которое
раскрывает схему связей (физическая структура или структурная схема) и
взаимодействия между элементами (логическая структура или принципиальная
схема). Остановимся поподробнее на этих понятиях для лучшего понимания принципа
работы системы.
Физическая структура ИС - это схема связей таких
физических элементов, как технологические, аппаратура узлов, собственно узлы и
вычислительная техника, устанавливаемая в них. К основным компонентам
физической структуры можно отнести узлы каналы и линии связи.
Логическая структура ИС определяет принципы
установления связей, алгоритмы организации процессов и управления ими, логику
функционирования программных средств. В общем виде она представляет собой
соединение и взаимодействие двух принципиально различных по назначению и
функциям составных частей архитектуры ИС: множества автономных информационных
подсистем (узлов) и множества средств их связи и взаимодействия (физических
средств и соединений). Обобщенная геометрическая модель физической структуры ИС
определяет топологическую структуру ИС.
Более конкретный состав аппаратно-программных средств
и схема их связей называются также конфигурацией ИС.
Под архитектурой ИС будем понимать согласованность
всевозможных структур ИС. Так, при некоторой логической структуре,
соответствующей принятой архитектуре ИС, может быть построено множество
физических структур, влияющих на свойство и возможности системы. В свою очередь
логическая структура ИС в достаточной мере определяет свойства ИС в целом.
Информационный узел - это техническая или
организационно-техническая система определённой сложности, осуществляющая те
или иные заданные процессы (например, обработка и накопление поступающей
информации, распределение её по каналам связи для доставки конечному
пользователю и т.п.).
Узлы, в которых в которых информация выходит за
пределы системы или поступает в систему, называют конечными пунктами. Здесь
устанавливаются технические средства называемые терминалами. Внутренние сетевые
узлы - это обычно транзитные или в общем случае коммуникационные связные узлы.
Соединение отдельных информационных узлов осуществляется с помощью различных
каналов связи (проводных, беспроводных, комбинированных). Группы людей или
отдельные лица, пользующиеся услугами ИС для получения нужной информации,
ведения деловой переписки, управления организацией и т.п. называются
пользователями.
Уровень развития ИС определяют особенности сетевой
архитектуры. К таковым относятся:
- применяемые в ИС методы распределения
информации и установления связей между взаимодействующими системами;
- виды предоставляемых услуг;
- способы управления процессами;
- наличие средств защиты и обеспечения
целостности данных и сохранности ресурсов;
- возможность организации связи с
другими сетями и осуществления межсетевых переходов;
- возможность модификации и расширения
существующей ИС,
Известны два основных метода распределения информации
коммутация и селекция.
Коммутация осуществляется тремя способами: коммутацией
каналов, сообщений или пакетов.
Селекция основывается на выбранном методе доступа
взаимодействующих систем к передающей физической среде связи, в которой
одновременно распространяется множество сигналов, формируемых несколькими
взаимодействующими терминальными системами.
Виды услуг, предоставляемых ИС:
- установление связи наиболее простой
вид услуг, реализуемый средствами коммуникационной системы с помощью любого
способа коммутации;
- передача данных. (Сеть оснащается
аппаратурой и каналами передачи данных. Обеспечивает высокие скорости передачи
и имеет лучшие качественные характеристики, чем коммуникационные системы других
типов);
- телеобработка;
- передача файлов;
- доступ к распределенным базам данных
и др.
Развитая архитектура ИС связана с наличием в ней
сложной системы управления взаимодействующими процессами. Эта система
обеспечивает необходимую эффективность функционирования ИС, управляет
информационными потоками, предохраняет сеть от перегрузок, восстанавливает
нормальные режимы функционирования в случаях возможных отклонений их от
допустимых нормативных показателей системы.
Ресурсы ИС - это все компоненты ИС, ее аппаратное и
программное обеспечение. Понятие ресурса может быть распространено и на другие
компоненты ИС процедуры, протоколы, управляющие структуры и т.п. Следовательно,
понятие ресурса определяется в широком смысле.
Пользователи ИС это в первую очередь определение лица,
имеющие соответствующий доступ в систему и использующие ресурсы ИС. Кроме того,
в понятие пользователь можно включать и процессы, выполняемые на различных
ресурсах ИС. Понятно, что поведение такого пользователя существенно отличается
от поведения человека, но есть и некоторое сходство, если считать их активными
компонентами сети.
В зависимости от вида средств, методов и алгоритмов
управления можно выделить ИС с централизованным и распределенным управлением.
При этом могут выполняться как жесткие (фиксированные), так и гибкие
(адаптивные) алгоритмы управления ИС, учитывающие многочисленные факторы.
Средства защиты и обеспечения целостности данных и
сохранности ресурсов являются важным аспектом функционирования системы. Вопросы
защиты информации и ресурсов в ИС будут
Объединение сетей осуществляется либо через общий
узел, либо путем создания специальных каналов, соединяющих узлы одной системы с
узлами другой. Если сеть может быть соединена с другими, то она называется
открытой, если не может или не должна соединяться, то закрытой. Закрытость
системы (или ее части) для некоторой категории пользователей является одним из
способов защиты информационных и вычислительных ресурсов системы. По
функционально-целевому и прикладному назначению существующие ИС можно разделить
на две группы: общего пользования и специального назначения [20, с.39-41].
1.3 Проблемы, возникающие в процессе защиты ИС
различных видов. Характеристики, влияющие на безопасность информации в ИС
Следует признать, что в качестве базового уровня ИС
применяются обычные (бытовые) ПК, которые в последующем объединяют с помощью
дополнительного оборудования в локальные и распределенные вычислительные сети.
С точки зрения защиты информации при таком подходе
приходится тратить неоправданно большие средства на организацию защиты ценной
информации, обрабатываемой с помощью дешевой техники. И поскольку в условиях,
когда пользователи имеют доступ к нескольким серверам и базам данных и даже
обладают правами удаленной регистрации, защита настолько усложняется, что ее
создание становится не по карману даже мощным фирмам; однако в силу мнимой
экономии денежных средств по такому пути идут как коммерческие, так и
государственные организации.
Современная политика в области развития информационных
технологий, делающая ставку на открытость систем, крайне затрудняет выполнение
поставленной задачи.
По мнению многих специалистов, будущее систем защиты
это централизованное управление и единственные «точки выхода» для
пользователей. Сервер санкционирования или единый сервер паролей содержит не
только БД паролей, но и правила ограничения прав и доступа. В таких
централизованных системах администратор может управлять доступом и проверкой
полномочий из одного пункта.
Таким образом, единственный способ обеспечить
безопасность компьютерных сетей это заставить все средства защиты работать как
единое целое. Такой подход позволит сотрудникам, отвечающим за защиту
информации, сосредоточить все средства на одной рабочей станции, которую можно
будет предоставлять для доступа под жестким контролем. Программа контроля
должна содержать общий набор средств, для защиты распределенных ресурсов и
одновременно позволять работать с прежней системой.
В ИС можно скрыто получить доступ к информационным
архивам, которые концентрируются в одном месте в больших объемах. Кроме того,
появилась возможность дистанционного получения информации через терминалы,
расположенные в удалении от мест хранения данных. Поэтому для защиты информации
требуются принципиально новые методы и средства, разработанные с учетом
ценности информации, условий работы, технических и программных возможностей ИС
и других средств, сбора, передачи и обработки данных. Особые мероприятия защиты
необходимы, когда ресурсы ИС используются несколькими абонентами через терминалы
в многопрограммном режиме и в режиме разделения времени. В этом случае
возникает ряд правовых проблем, связанных с массивами информации,
представляющих собой общественную и национальную ценность. Использование такой
информации не по назначению наносит значительный ущерб как обществу в целом,
какой либо организации, так и отдельной личности.
В ИС принято устанавливать и строго соблюдать
регламент доступа в различные служебные помещения для разных категорий
сотрудников.
Степень защиты информации от неправомерного доступа и
противозаконных действий зависит от качества разработки организационных мер,
направленных на исключение:
- доступа к аппаратуре обработки
информации;
- бесконтрольного выноса персоналом
различных носителей информации;
- несанкционированного введения данных
в память, изменения или стирания хранящейся в ней информации;
- незаконного пользования системами
обработки информации и полученными данными;
- доступа в системы обработки
информации посредством самодельных устройств;
- неправомочной передачи данных по
каналам связи из информационно-вычислительного центра;
- бесконтрольный ввод данных в систему;
- обработка данных по заказу без
соответствующего требования заказчика;
- неправомочное считывание, изменение
или стирание данных в процессе их передачи или транспортировки носителей
информации.
Основными проблемами в процессе защиты информации в ИС
является:
- предотвращение утечки, хищения,
утраты, искажения, подделки информации;
- предотвращение угроз безопасности
личности, общества, государства;
- предотвращение несанкционированных
действий по уничтожению, модификации, искажению, копированию, блокированию
информации;
- предотвращение других форм
незаконного вмешательства в информационные ресурсы и информационные системы;
- обеспечение правового режима
документированной информации как объекта собственности;
- защита конституционных прав граждан
на сохранение личной тайны и конфиденциальности персональных данных, имеющихся
в информационных системах;
- сохранение государственной тайны,
конфиденциальности документированной информации в соответствии с
законодательством;
- гарантия прав субъектов в
информационных процессах и при разработке, производстве и применении
информационных систем, технологий и средств их обеспечения. Некоторые
проблемы защиты информации представлены на рис. 2 [20, с.47].
Рис.2 Проблемы защиты информации [20, с.47]
Открытые системы клиент/сервер подкупают
администраторов ИС исключительно простым доступом к корпоративной информации,
но обескураживают сложностью решения задач защиты данных в связи с
разнородностью вычислительных компонентов аппаратных платформ, операционных
систем, СУБД и прикладного ПО.
Проблема не только в том, чтобы добиться согласованной
работы средств защиты различных звеньев, но и упростить жизнь рядовых
пользователей, дабы не заставлять их в поисках нужных данных продираться через
множество заградительных кордонов.
Сторонники архитектуры клиент/сервер получили
возможность исключительно простого доступа к корпоративным данным. Однако это
осложнило проблему безопасности, что в полной мере почувствовали администраторы
информационных систем на больших машинах. Для них понятия открытая система и
безопасность казались вообще несовместимыми.
На серверах обеспечение безопасности данных всегда
стояло на первом месте и проблемы защиты информации фактически были решены:
имелись эффективные программы защиты и в каждом вычислительном центре, был
специально выделенный персонал, который с помощью этих средств и поддерживал
безопасность системы.
Пользователи локальных сетей вспоминали о
существовании средств защиты редко в момент ввода сетевых паролей. При столь
неразвитых инструментах защиты администраторы ЛС, естественно, не очень
серьезно относились и к проблеме компьютерной защиты.
Когда закрытая хост-система интегрируется с локальными
сетями и серверами баз данных, ее пользователи страдают не столько от
недостатка средств защиты, сколько от их избытка и несовместимости. В
дополнение к собственным средствам защиты для серверов появляются системы
защиты мониторов транзакций, локальных сетей и серверов БД. Созданные разными
производителями, как правило, они не приспособлены для кооперативной работы.
Таким образом, возникает необходимость
синхронизировать работу средств безопасности всех платформ. При этом возникает
фрагментация ответственности, когда для ухода за каждой платформой назначается
отдельный администратор, а система в целом остается беззащитной.
Распределенная система имеет несколько точек входа,
через которые осуществляется доступ к данным. Это могут быть файл-серверы
локальной сети, рабочие станции и серверы БД. Чем больше в системе таких
входов, тем острее проблема безопасности.
Уровень защиты всей системы определяется степенью
защиты ее самого уязвимого звена, которым, как правило, являются включенные в
сеть персональные компьютеры. Многие производители СУБД, стараясь облегчить
жизнь конечных пользователей, перекладывают функции контроля доступа к данным
на операционные системы. Возникающей лазейкой охотно пользуются хакеры,
маскируясь под клиентов [20, с.48].
Рассматривая ИС как объект защиты, полезно обратить
внимание на следующие характеристики:
- категории обрабатываемой в ИС
информации, высший гриф секретности информации;
- общая структурная схема и состав ИС
(перечень и состав оборудования, технических и программных средств,
пользователей, данных и их связей, особенности конфигурации и архитектуры и
т.п.);
- тип ИС (одно - либо
многопользовательская система, открытая сеть, одно - либо многоуровневая
система и т.п.);
- объемы основных информационных
массивов и потоков, скорость обмена информацией и производительность системы
при решении функциональных задач, продолжительность процедуры восстановления
работоспособности после сбоев, наличие средств повышения надежности и живучести
и т.п.;
- технические характеристики используемых
каналов связи (пропускная способность, типы кабельных линий, виды связи с
удаленными сегментами ИС и пользователями и т.п.);
- территориальное расположение
компонентов ИС, их физические параметры и т.п.;
- наличие особых условий эксплуатации и
др.
Большое число различных компонентов, операций,
ресурсов и объектов ИС создает весьма привлекательную среду для различного рода
вторжений и не санкционированных операций.
Необходимость защиты ресурсов, программ и информации в
компьютерной информационной системе от несанкционированного доступа и
использования определяется наличием следующих угроз:
- Оператор - может заменить защищенный
монитор на незащищенный или имеющий только входы.
- Системный программист - нарушает
защиту. Обеспечивает себе право входа в систему. Выявляет механизмы защиты.
- Программное обеспечение - попытки
преодолеть защиту. Управление доступом. Идентификация пользователя. Управление
ограничениями.
- Инженер по эксплуатации нарушает
защиту технических средств. Использует автономные утилиты для доступа к файлам
и входа в систему.
- Доступ. Попытки получить копию
(пишущая лента, валик принтера и т.п.). Неточности, вызванные действиями
пользователей с низким уровнем полномочий.
- Пользователь. Идентификация.
Подтверждение подлинности. Искусная модификация программного обеспечения.
Рабочие станции наиболее доступные компоненты сетей и
именно с них могут быть предприняты наиболее многочисленные попытки
несанкционированных действий. С рабочих станций осуществляется управление
процессами обработки информации, запуск программ, ввод и корректировка данных,
на дисках рабочих станций могут размещаться важные данные и программы
обработки. На видеомониторы и печатающие устройства рабочих станций выводится
информация при работе пользователей (операторов), выполняющих различные функции
и имеющих разные полномочия по доступу к данным и другим ресурсам системы.
Именно поэтому рабочие станции должны быть надежно защищены от доступа
посторонних лиц и содержать средства разграничения доступа к ресурсам со стороны
законных пользователей, имеющих разные полномочия.
Серверы. Нуждаются в особой защите. Одни как
концентраторы больших объемов информации, другие как элементы, в которых
осуществляется преобразование данных при согласовании протоколов обмена в
различных участках сети. Здесь злоумышленники, прежде всего, будут искать
возможности повлиять на работу различных подсистем, используя недостатки
протоколов обмена и средств разграничения удаленного доступа к ресурсам и
системным таблицам. При этом используются все возможности и средства, вплоть до
специальных программных закладок для преодоления системы защиты, которые могут
быть внедрены как с удаленных станций (посредством вирусов или иным способом),
так и непосредственно в аппаратуру и программы серверов при их ремонте,
обслуживании, модернизации, переходе на новые версии программного обеспечения,
смене оборудования.
Каналы и средства связи. В силу большой
пространственной протяженности линий связи через неконтролируемую территорию
практически всегда имеется возможность подключения к ним, либо вмешательства в
процесс передачи данных со стороны злоумышленников.
Ввод информации. Возможно случайное или преднамеренное
нарушение целостности и истинности вводимой или хранящейся информации.
Обработка информации. Возможна утечка, нарушение
целостности, истинности и сохранности информации. Перечисленные нарушения
происходят в результате случайных или преднамеренных неправильных
(неразрешенных) действий пользователя (санкционированного или
несанкционированного для работы в данной ИС). Указанные нарушения могут
возникать в результате воздействия компьютерных вирусов, занесенных в систему
ее пользователями с непроверенным программным обеспечением;
Можно привести и другие угрозы, и другие каналы утечки
информации, имеющие место в процессе функционирования ИС.
Абсолютной защиты быть не может. Распространено
мнение, что установил защиту и можно ни о чем не беспокоиться. Использование
постоянных, не развивающихся механизмов защиты опасно, и для этого есть
несколько причин.
Защитные свойства систем безопасности во многом
зависят от конфигурации сети и используемых в ней программ. Даже если не менять
топологию сети, то все равно придется когда-нибудь использовать новые версии
ранее установленных продуктов. Однако может случиться так, что новые
возможности этого продукта пробьют брешь в защите.
Кроме того, не следует забывать о развитии и
совершенствовании средств нападения. Техника так быстро меняется, что трудно
определить, какое новое устройство или программное обеспечение, используемое
для нападения, может обмануть вашу защиту. Современные интегрированные системы
защиты осуществляют полный спектр управления всеми процессами, происходящими в
структуре ИС [20, с.51-52].
2. Электронная цифровая подпись (ЭЦП) и ее применение
для защиты информационной системы предприятия
.1 Понятие электронной цифровой
подписи и возможности ее применения
Для обеспечения устойчивого функционирования
информационной системы любого предприятия в условиях воздействия внешних и
внутренних угроз, при передаче, накоплении, хранении и обработке информации
обеспечить сохранность последней от незаконного (несанкционированного)
использования, хищения, искажения и уничтожения необходимо организовать и
внедрить на предприятии комплекс мер по предотвращению доступа к информационной
системе посторонних лиц (не допущенных к использованию системы по соображениям
безопасности) по средствам использования СКУД (системы контроля и управления
доступом), а также жесткого разделения лиц допущенных к работе с информационной
системой по уровню допуска к соответствующей информации (каждый владеет
информацией в размере необходимом для выполнения должностных инструкций).
Организовать такой доступ можно по средствам
идентификации и аутентификции личности пользователя информационной системы.
Идентификация (identification) - это процесс
распознания объекта или субъекта по его идентификатору.
Аутентификация (authentication) - это процедура
верификации принадлежности идентификатора пользователю. Эта проверка позволяет
определить, что пользователь является именно тем, кем себя объявляет. В случае
успешного прохождения, аутентификации, идентификатор пользователя используется
для предоставления этому пользователю определенного уровня доступа и полномочий
при пользовании информационной системой [10, с.30].
В последнее время широкое распространение получили
средства электронной идентификации. К технологиям, применяемым в мире
автоматической идентификации, относятся:
- штрих-кодовая идентификация;
- биометрическая идентификация;
- радиочастотная идентификация;
- карточные технологии идентификации
(на базе карт с магнитной полосой и смарт-карт) [10, с.33].
Надежное обеспечение информационной безопасности
смарт-карт и средств радиочастотной идентификации возможно благодаря
использованию в этих средствах криптографичесих методов защиты информации.
Криптография представляет собой совокупность методов
преобразования данных, направленных на то, чтобы защитить эти данные сделав их
бесполезными для незаконного использования. Такие преобразования обеспечивают
решение двух главных проблем защиты данных: проблемы конфиденциальности (путем
лишения противника возможности извлечь информацию из информационных ресурсов) и
проблемы целостности (путем лишения противника возможности трансформировать
сообщение так, чтобы изменился его смысл или ввести ложную информацию).
Криптография позволяет реализовать следующие механизмы
защиты информации:
- шифрование данных, передаваемых по
каналам связи или хранимым в памяти смарт-карты или компьютера;
- идентификацию и аутентификацию
пользователя, смарт-карты или объекта системы (сети);
- контроль (разграничение) доступа к
ресурсам системы (сети);
- управление криптографическими
ключами;
- контроль целостности [10, с.407].
Используя возможности защиты циркулирующей в сети
информации по средствам криптографии, и необходимости разграничения доступа к
ней, а также идентификации пользователя этой информацией была создана
электронная цифровая подпись.
Электронная цифровая подпись (ЭЦП) - реквизит
электронного документа, предназначенный для защиты данного электронного
документа от подделки, полученный в результате криптографического
преобразования информации с использованием закрытого ключа электронной цифровой
подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а
также установить отсутствие искажения информации в электронном документе
(Федеральный Закон «Об электронно-цифровой подписи»).
Функционально электронная цифровая подпись аналогична
обычной рукописной подписи и обладает ее основными достоинствами:
- гарантирует целостность подписанного
текста (документа);
- удостоверяет, что подписанный текст
(документ) исходит от объекта поставившего подпись;
- не дает этому объекту возможности
отказаться от обязательств, связанных с подписанием текста (документа).
Из чего следует, что электронно-цифровая подпись (ЭЦП)
является полноправным заменителем подписи человека и печати организации.
Начиная с этого момента, в Интернете стали появляться различного рода ресурсы,
помогающие человеку быстро и просто, а главное, эффективно вести деловые
отношения через глобальную сеть.
Электронную цифровую подпись (ЭЦП) можно применять для
подтверждения своей личности и своих намерений при осуществлении:
- обмена документами электронного вида
между организациями, ведомствами, предприятиями, а также между их
подразделениями;
- предоставления отчетности физических
и юридических лиц в органы контроля;
- декларирования деятельности,
связанной с розничной продажей алкогольной продукции;
- передачи в электронном виде
бухгалтерской и налоговой отчетности всех форм в налоговую инспекцию без
необходимости дублирования на бумажном носителе;
- передачи данных в органы
статистического учета и Пенсионный фонд России;
- участия в электронного вида аукционах
и торгах по размещению государственных заказов;
- достоверной аутентификации
пользователей;
- авторизации для получения доступа к
специализированным ресурсам информации;
- шифрования электронных документов при
передаче их по каналам связи открытого типа;
- обеспечения документам электронного
документооборота юридической значимости;
- защиты сообщений, получаемых и
отправляемых посредством электронной почты;
- создания защищенности канала связи
при передаче электронных сообщений и документов [18].
Так почему же на ЭЦП возлагают такие надежды? Для того
чтобы это понять следует рассмотреть, что такое электронная цифровая подпись с
точки зрения криптографии.
При передаче по каналам информационной системы любого
документа (файла) необходимо проверять его на целостность (использовать
дефективные файлы не безопасно для системы), да и использование искаженной
информации (будь то преднамеренно или случайно) может привести к плачевным
последствиям при управлении организацией.
Как проверить, был ли файл дефектным изначально, или
же произошли какие-то проблемы при скачивании (передаче)? Для этого
используется контрольная сумма файла (Рис.3).
Контрольная сумма файла (хеш) - это определенное
значение, которое рассчитывается по набору данных присутствующих в файле с
использованием определенного алгоритма криптографического преобразования
именуемого функцией хеширования (хеш-функция). Она (хеш) помогает проверить
целостность данных при их хранении и передаче [10, с.425].
Рис.3 Контрольная сумма файла (хеш).
Следует также определить, что такое криптографическое
преобразование. Криптографическое преобразование - это преобразование
информации, основанное на некотором алгоритме, зависящем от изменяемого
параметра (обычно называемого секретным ключом), и обладающее свойством
невозможности восстановления исходной информации по преобразованной, без знания
действующего ключа, с трудоемкостью меньше заранее заданной. Другими словами,
ЭЦП - это часть электронного документа, а фактически - обычный файл, полученный
в результате криптографического преобразования документа. Цифровая подпись
создается при помощи так называемого закрытого ключа. Проверяется же
отправленный документ открытым ключом - он общедоступен и вместе с документом
приходит получателю. То есть, ЭЦП использует т.н. асимметричное криптографическое
преобразование, в котором используется пара ключей - открытый (публичный) ключ
и секретный (личный, индивидуальный) ключ, известный только одной
взаимодействующей стороне. При использовании ЭЦП гарантируется следующее.
Во-первых, то, что документ не изменился в процессе пересылки. Если после
подписания цифровой подписью документ был искажен, это выяснится при проверке
открытым ключом. Во-вторых - гарантируется однозначная идентификация
отправителя. В случае с обычной подписью это можно сделать, например, сравнив с
подписью в паспорте. В случае с ЭЦП - специальные удостоверяющие центры,
выдающие сертификаты ключей.
Закрытый ключ электронной цифровой подписи -
уникальная последовательность символов, известная владельцу сертификата ключа
подписи и предназначенная для создания в электронных документах электронной
цифровой подписи с использованием средств электронной цифровой подписи;
Открытый ключ электронной цифровой подписи -
уникальная последовательность символов, соответствующая закрытому ключу электронной
цифровой подписи, доступная любому пользователю информационной системы и
предназначенная для подтверждения с использованием средств электронной цифровой
подписи подлинности электронной цифровой подписи в электронном документе;
Итак, электронная цифровая подпись представляет собой
уникальное число, зависящее от подписываемого документа и секретного ключа
абонента. В качестве подписываемого документа может быть использован любой
файл. Подписанный файл создается из неподписанного путем добавления в него
одной или нескольких ЭЦП.
Помещаемая в подписываемый файл (или в отдельный файл
электронной подписи) структура ЭЦП обычно содержит дополнительную информацию
однозначно идентифицирующую автора подписанного документа. Эта информация
добавляется к документу до вычисления ЭЦП, что обеспечивает и ее целостность.
Каждая подпись содержит следующую информацию:
- дату подписи;
- срок окончания действия ключа данной
подписи;
- информацию о лице подписавшим файл
(Ф.И.О., должность, краткое наименование организации);
- идентификатор подписавшего (имя
открытого ключа);
- собственно цифровую подпись [10, с.
435].
Однако истории известны случаи, когда злоумышленник,
имея доступ к открытому ключу шифрования, получал из отправленных файлов
идентификационную информацию о владельце закрытого ключа, затем генерировал
свою пару ключей и подменял открытый ключ. После чего злоумышленник мог
общаться от имени владельца закрытого ключа. А владелец открытого ключа об этом
и не подозревал, так как его новый открытый ключ определял контрагента как
владельца закрытого ключа.
Открытые ключи ЭЦП можно защитить от подмены с помощью
соответствующих цифровых сертификатов.
Сертификат ключа подписи - документ на бумажном
носителе или электронный документ с электронной цифровой подписью уполномоченного
лица удостоверяющего центра, которые включают в себя открытый ключ электронной
цифровой подписи и которые выдаются удостоверяющим центром участнику
информационной системы для подтверждения подлинности электронной цифровой
подписи и идентификации владельца сертификата ключа подписи [18].
.2 Организационные мероприятия
необходимые для получения ЭЦП и настройка рабочего места
Так как же организовать защиту информационных систем и
циркулирующей в них информации при помощи ЭЦП.
Электронно-цифровую подпись (ЭЦП) можно оформить как
на организацию или индивидуального предпринимателя, так и на частное лицо в
случае такой необходимости. Также не существует никаких ограничений касаемо
количества выданных электронных цифровых подписей на одного человека. Но только
не нужно забывать о том, что за каждое действие, подтвержденное Вашей
электронно-цифровой подписью, Вы несете полную ответственность. [18].
Итак, если Вы решили получить ЭЦП, то всю необходимую
для этого информацию можно получит на сайте «Ассоциации электронных торговых
площадок» (адрес сайта www.aetp.ru).
Для начала Вам предложат заполнить регистрационную
карту с указаниями личных данных, реквизитов организации и цели получения ЭЦП
(образец можно взять на том же сайте) и переходя поэтапно по ссылкам сразу
отправить в удостоверяющий центр.
В течение рабочего дня после получения регистрационной
карты ответственный сотрудник аккредитованного Ассоциацией Удостоверяющего
Центра связывается с организацией для выставления счета на ЭЦП и оформления
договора.
Для корректной работы ЭЦП на торговых площадках
выпущенный сертификат должен быть зарегистрирован в реестре Ассоциации
электронных торговых площадок. Для регистрации открытую часть сертификата
необходимо направить по адресу cert@aetp.ru.
Для изготовления сертификата ключа ЭЦП Заказчик
представляет Удостоверяющему центру документы, список которых представлен ниже.
Для юридических лиц:
- копия свидетельства о государственной
регистрации юридического лица, заверенная нотариально либо Удостоверяющим
центром при предъявлении оригинала указанного документа;
- копия свидетельства о постановке на
учет в налоговом органе, заверенная нотариально либо Удостоверяющим центром при
предъявлении оригинала указанного документа;
- оригинал или нотариально заверенную
копию выписки из Единого государственного реестра юридических лиц, полученную
не ранее чем за тридцать дней до ее представления;
- заявление в удостоверяющий центр о
выпуске сертификата ключа ЭЦП;
- если сертификат ключа ЭЦП
изготавливается на имя руководителя организации: копию документа о назначении
руководителя, заверенную подписью руководителя.
- если сертификат ключа ЭЦП
изготавливается на имя уполномоченного представителя организации: доверенность,
подтверждающую полномочия владельца сертификата ключа ЭЦП, заверенную подписью
руководителя и печатью организации;
- копия паспорта гражданина Российской
Федерации, на чье имя изготавливается сертификат ключа ЭЦП (владелец
сертификата), с предъявлением оригинала указанного документа;
- если документы для изготовления
сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а
его уполномоченный представитель: доверенность на представителя юридического
лица, уполномоченного на предоставление документов для изготовления сертификата
ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП, заверенную
подписью руководителя и печатью организации;
- если документы для изготовления
сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а
его уполномоченный представитель: копия паспорта гражданина Российской
Федерации - представителя юридического лица, уполномоченного на предоставление
документов для изготовления сертификата ключа ЭЦП и/или получение
изготовленного сертификата ключа ЭЦП, с предъявлением оригинала указанного
документа [19].
Для юридических лиц (в случае, если полномочия
единоличного исполнительного органа открытого/закрытого акционерного общества
переданы управляющей организации/управляющему):
- документы юридического лица,
предусмотренные абзацами 1- 3 п. 1 настоящего Перечня;
- документы управляющей
организации/управляющего, предусмотренные п. 1/п. 4 настоящего Перечня
соответственно;
- нотариально заверенную копию решения
общего собрания акционеров общества о передаче функций единоличного
исполнительного органа управляющей организации/управляющему [19].
Для юридических лиц (в случае, если полномочия
единоличного исполнительного органа общества с ограниченной ответственностью
переданы управляющей организации/управляющему)
- документы юридического лица,
предусмотренные абзацами 1 - 3 п. 1 настоящего Перечня;
- документы управляющей
организации/управляющего, предусмотренные п. 1/п. 5 настоящего Перечня
соответственно;
- нотариально заверенные копии первого,
второго листов устава общества, листа устава, где предусмотрена возможность
передачи полномочий единоличного исполнительного органа общества управляющей
организации/управляющему, а также последнего листа устава общества с отметкой
налогового органа [19].
Для представительств, филиалов, иных обособленных
подразделений (далее - отделения) иностранных юридических лиц:
- заявление в Удостоверяющий центр о
выпуске сертификата ключа ЭЦП;
- копия разрешения на открытие
представительства на территории Российской Федерации, заверенная нотариально
либо Удостоверяющим центром при предъявлении оригинала указанного документа;
- копия свидетельства о внесении в
сводный государственный реестр аккредитованных на территории Российской
Федерации представительств иностранных компаний, заверенная нотариально либо
Удостоверяющим центром при предъявлении оригинала указанного документа;
- копия Свидетельства о постановке на
учет в налоговом органе, заверенная нотариально либо Удостоверяющим центром при
предъявлении оригинала указанного документа;
- если сертификат ключа ЭЦП
изготавливается на имя руководителя отделения иностранного юридического лица:
доверенность, выданная иностранной организацией на главу (управляющего)
отделением;
- если сертификат ключа ЭЦП
изготавливается на имя уполномоченного представителя отделения иностранного
юридического лица: доверенность, подтверждающая полномочия владельца
сертификата ключа ЭЦП, заверенная подписью главы (управляющего) и печатью
отделения иностранной организации;
- паспорт или иной документ,
удостоверяющий личность, на чье имя изготавливается сертификат ключа ЭЦП
(владелец сертификата), а также его копия;
- если документы для изготовления
сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а
его уполномоченный представитель: доверенность на представителя отделения
иностранного юридического лица, уполномоченного на предоставление документов
для изготовления сертификата ключа ЭЦП и/или получение изготовленного
сертификата ключа ЭЦП, заверенная подписью главы (управляющего) и печатью
отделения иностранной организации;
- если документы для изготовления
сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а
его уполномоченный представитель: копия паспорта или иного документа,
удостоверяющий личность - представителя отделения иностранного юридического
лица, уполномоченного на предоставление документов для изготовления сертификата
ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП, с предъявлением
оригиналов указанных документов [19].
Для индивидуальных предпринимателей, имеющих печать:
- копия Свидетельства о государственной
регистрации физического лица в качестве индивидуального предпринимателя,
заверенная нотариально либо Удостоверяющим центром при предъявлении оригинала
указанного документа;
- копия Свидетельства о постановке на
учет в налоговом органе, заверенная нотариально либо Удостоверяющим центром при
предъявлении оригинала указанного документа;
- оригинал или нотариально заверенная
копия выписки из Единого государственного реестра индивидуальных
предпринимателей, полученная не ранее чем за тридцать дней до ее представления;
- заявление в удостоверяющий центр о
выпуске сертификата ключа ЭЦП;
- если сертификат ключа ЭЦП
изготавливается на имя уполномоченного представителя индивидуального
предпринимателя - работника индивидуального предпринимателя: доверенность,
подтверждающая полномочия владельца сертификата ключа ЭЦП, заверенная подписью
и печатью индивидуального предпринимателя;
- копия паспорта гражданина Российской
Федерации, на чье имя изготавливается сертификат ключа ЭЦП (владелец
сертификата), с предъявлением оригинала указанного документа;
- если документы для изготовления
сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а
его уполномоченный представитель: копия паспорта гражданина Российской
Федерации - представителя владельца сертификата, уполномоченного на
предоставление документов для изготовления сертификата ключа ЭЦП и/или
получение изготовленного сертификата ключа ЭЦП, с предъявлением оригинала
указанного документа [19].
Для индивидуальных предпринимателей, не имеющих
печать:
- документы индивидуального
предпринимателя, предусмотренные абзацами 1 - 4 п. 5 настоящего перечня;
- если сертификат ключа ЭЦП
изготавливается на имя уполномоченного представителя индивидуального
предпринимателя - работника индивидуального предпринимателя: нотариально
заверенная доверенность, подтверждающая полномочия владельца сертификата ключа
ЭЦП;
- копия паспорта гражданина Российской
Федерации, на чье имя изготавливается сертификат ключа ЭЦП (владелец
сертификата), а также его копия (копия 2-ой и 3-ей страниц, с предъявлением
оригинала указанного документа;
- если документы для изготовления
сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а
его уполномоченный представитель: нотариально заверенная доверенность на
представителя владельца сертификата, уполномоченного на предоставление
документов для изготовления сертификата ключа ЭЦП и/или получение
изготовленного сертификата ключа ЭЦП;
- если документы для изготовления
сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а
его уполномоченный представитель: копия паспорта гражданина Российской
Федерации - представителя владельца сертификата, уполномоченного на
предоставление документов для изготовления сертификата ключа ЭЦП и/или
получение изготовленного сертификата ключа ЭЦП, с предъявлением оригинала
указанного документа [19].
Для физических лиц:
- копия Свидетельства о постановке на
учет в налоговом органе, заверенная нотариально либо Удостоверяющим центром при
предъявлении оригинала указанного документа;
- копия паспорта гражданина Российской
Федерации, на чье имя изготавливается сертификат ключа ЭЦП (владелец
сертификата), с предъявлением оригинала указанного документа;
- заявление в Удостоверяющий центр о
выпуске сертификата ключа ЭЦП;
- если документы для изготовления
сертификата ключа ЭЦП предоставляет и/или получает изготовленный сертификат
ключа ЭЦП не владелец сертификата, а его уполномоченный представитель:
нотариально заверенная доверенность на представителя владельца сертификата,
уполномоченного на предоставление документов для изготовления сертификата ключа
ЭЦП и/или получение изготовленного сертификата ключа ЭЦП;
- если документы для изготовления
сертификата ключа ЭЦП предоставляет и/или получает изготовленный сертификат
ключа ЭЦП не владелец сертификата, а его уполномоченный представитель: копия
паспорта гражданина Российской Федерации - представителя владельца сертификата,
уполномоченного на предоставление документов для изготовления сертификата ключа
ЭЦП и/или получение изготовленного сертификата ключа ЭЦП, с предъявлением
оригинала указанного документа.
В случае отсутствия у лица, на чье имя изготовляется
сертификат ключа ЭЦП (владелец сертификата), паспорта гражданина Российской
Федерации, допускается предоставление иного документа, удостоверяющего личность
в соответствии с законодательством Российской Федерации.
В случае если владельцем сертификата ключа подписи
является иностранный гражданин, в Удостоверяющий центр предоставляется
нотариально заверенный перевод документа, удостоверяющего личность иностранного
гражданина.
Все иностранные документы должны быть апостилированы или
иметь подлинные отметки о консульской легализации. Иностранные документы
представляются с переводом на русский язык, который должен быть заверен
нотариально либо в консульском загранучреждении, за исключением случаев, когда
международным соглашением Российской Федерации и страны инкорпорации
предусмотрено освобождение отданной процедуры [19].
В приложении приведен список некоторых аккредитованных
удостоверяющих центров филиалы которых, расположен на территории г. Тула.
Одним из главных факторов успешного использования
электронной цифровой подписи (ЭЦП) является правильная настройка Вашего
рабочего компьютера.
Весь процесс настройки персонального компьютера можно
условно разбить на несколько этапов:
- установка программного продукта
криптопровайдера;
- установка драйверов для смарт-карты;
- установка личного сертификата и
корневого сертификата удостоверяющего центра;
- установка дополнительных библиотек
Capicom.dll и обновлений политик безопасности;
- настройка обозревателя Internet
Explorer;
- настройка дополнительных программных
средств (программы сдачи отчетности, электронной почты) [18].
3. Разработка мер по
усовершенствованию информационной системы ООО «ГК Русэнерго» на основе
применения ЭЦП.
.1 Организационно-экономическая
характеристика предприятия
Согласно Федеральному закону «Об обществах с
ограниченной ответственностью», принятого Государственной Думой 14января 1988г.
(с изменениями, внесенными Федеральным законом от 27.10.2008 N 175-ФЗ)
коммерческое предприятие ООО «ГК «РУСЭНЕРГО» признается обществом с
ограниченной ответственностью если оно создано одним или несколькими лицами
хозяйственное общество, уставный капитал которого разделен на доли; участники
общества не отвечают по его обязательствам и несут риск убытков, связанных с
деятельностью общества, в пределах стоимости принадлежащих им долей в уставном
капитале общества.
Участники общества, не полностью оплатившие доли,
несут солидарную ответственность по обязательствам общества в пределах
стоимости неоплаченной части принадлежащих им долей в уставном капитале
общества.
Общество имеет в собственности обособленное имущество,
учитываемое на его самостоятельном балансе, может от своего имени приобретать и
осуществлять имущественные и личные неимущественные права, нести обязанности,
быть истцом и ответчиком в суде.
Общество может иметь гражданские права и нести
гражданские обязанности, необходимые для осуществления любых видов
деятельности, не запрещенных федеральными законами, если это не противоречит
предмету и целям деятельности, определенно ограниченным уставом общества.
Отдельными видами деятельности, перечень которых
определяется федеральным законом, общество может заниматься только на основании
специального разрешения (лицензии). Если условиями предоставления специального
разрешения (лицензии) на осуществление определенного вида деятельности
предусмотрено требование осуществлять такую деятельность как исключительную,
общество в течение срока действия специального разрешения (лицензии) вправе
осуществлять только виды деятельности, предусмотренные специальным разрешением
(лицензией), и сопутствующие виды деятельности.
Общество считается созданным как юридическое лицо с
момента его государственной регистрации в порядке, установленном федеральным
законом о государственной регистрации юридических лиц.
Общество создается без ограничения срока, если иное не
установлено его уставом.
Общество вправе в установленном порядке открывать
банковские счета на территории Российской Федерации и за ее пределами.
Общество должно иметь круглую печать, содержащую его
полное фирменное наименование на русском языке и указание на место нахождения
общества. Печать общества может содержать также фирменное наименование общества
на любом языке народов Российской Федерации и (или) иностранном языке. Общество
вправе иметь штампы и бланки со своим фирменным наименованием, собственную
эмблему, а также зарегистрированный в установленном порядке товарный знак и
другие средства индивидуализации.
Общество с ограниченной ответственностью действует на
основании данного Федерального закона и собственного устава. Устав общества
является учредительным документом общества.
Устав общества должен содержать:
- полное и сокращенное фирменное
наименование общества;
- сведения о месте нахождения общества;
- сведения о составе и компетенции
органов общества, в том числе о вопросах, составляющих исключительную
компетенцию общего собрания участников общества, о порядке принятия органами
общества решений, в том числе о вопросах, решения по которым принимаются
единогласно или квалифицированным большинством голосов;
- сведения о размере уставного капитала
общества;
- права и обязанности участников
общества;
- сведения о порядке и последствиях
выхода участника общества из общества, если право на выход из общества
предусмотрено уставом общества;
- сведения о порядке перехода доли или
части доли в уставном капитале общества к другому лицу;
- сведения о порядке хранения
документов общества и о порядке предоставления обществом информации участникам
общества и другим лицам;
- иные сведения, предусмотренные настоящим
Федеральным законом.
- Устав общества может также содержать
иные положения, не противоречащие настоящему Федеральному закону и иным
федеральным законам [3].
Пользуясь Федеральным Законом «Об обществах с
ограниченной ответственностью» и уставом ООО «ГК «РУСЭНЕРГО» (сокращенное
название), составленным на его основании, дадим организационно-экономическую
характеристику предприятия (его организационно-правовая форма, виды
деятельности и хозяйственная направленность, организационная структура, его
ресурсное обеспечение и т.д.)
Из Устава общества с ограниченной ответственностью ООО
«ГК «РУСЭНЕРГО» видно:
.1. Общество с ограниченной ответственностью
"Группа Компаний РУСЭНЕРГО", именуемое в дальнейшем
"Общество", учреждено решением единственного учредителя от 01
сентября 2011г. и действует на основании настоящего Устава, Гражданского
кодекса Российской Федерации, Федерального закона "Об обществах с
ограниченной ответственностью", а также иного применимого
законодательства.
Общество считается созданным как юридическое лицо с
момента его государственной регистрации.
.2. Общество является хозяйственным обществом,
уставный капитал которого разделен на доли. Имущественная ответственность
Общества и его участников определяется по правилам раздела 3 настоящего Устава в
соответствии с законодательством.
.3. Полное фирменное наименование Общества на русском
языке:
Общество с ограниченной ответственностью "Группа
Компаний РУСЭНЕРГО".
Сокращенное фирменное наименование Общества на русском
языке:
ООО " ГК РУСЭНЕРГО ".
.4. Место нахождения Общества: 300046 г. Тула,
Новомосковское шоссе д. 46.
.5. Общество учреждено на неограниченный срок.
.1. Общество является коммерческой организацией,
преследующей в качестве основной цели своей предпринимательской деятельности
извлечение прибыли.
.2. Общество обладает общей гражданской
правоспособностью. Оно вправе иметь гражданские права и нести гражданские
обязанности для осуществления любых видов деятельности, не запрещенных законом.
.3. Осуществлению деятельности, отнесенной
законодательством к лицензируемой, предшествует получение Обществом
соответствующей лицензии (лицензий) в установленном порядке.
Если условиями предоставления специального разрешения
(лицензии) на осуществление определенного вида деятельности предусмотрено
требование осуществлять такую деятельность как исключительную, то Общество в
течение срока действия лицензии вправе осуществлять только виды деятельности,
предусмотренные лицензией, и сопутствующие виды деятельности.
.4. Предметом деятельности Общества являются:
- Оптовая торговля машинами и
оборудованием;
- Прочая оптовая торговля;
- Деятельность агентов по оптовой
торговле прочими видами машин и оборудования;
- Деятельность агентов по оптовой
торговле электротоварами и бытовыми электро-установочными изделиями;
- Оптовая торговля производственным
электрическим и электронным оборудованием, включая оборудование электросвязи;
- Производство электрической
распределительной и регулирующей аппаратуры, кроме ремонта;
- Предоставление услуг по монтажу,
ремонту и техническому обслуживанию электрической распределительной и
регулирующей аппаратуры;
- Иные виды деятельности, не
запрещенные действующим законодательством;
Высшим органом управления Общества является Общее
собрание участников Общества, которое может быть очередным или внеочередным.
Все участники Общества имеют право присутствовать на Общем собрании участников
Общества, принимать участие в обсуждении вопросов повестки дня и голосовать при
принятии решений.
Постоянно действующим органом управления и контроля за
деятельностью исполнительных органов Общества является Генеральный директор
Общества Руководство текущей деятельностью Общества осуществляется Генеральным
директором (единоличным исполнительным органом) и Правлением (коллегиальным
исполнительным органом).
Генеральный директор избирается Общим собранием
участников Общества из числа участников Общества или третьих лиц сроком на 5
(пять) лет.
Исполнительные органы Общества подотчетны Общему
собранию участников Общества, а в период между Общими собраниями - Генеральному
директору Общества [9].
Из вышеприведенных выдержек устава видно, что ООО «ГК
«РУСЭНЕРГО» может заниматься производственно-коммерческой деятельностью,
связанной с оптовой торговлей машинами и оборудованием. Прочей оптовой
торговлей, деятельностью агентов по оптовой торговле прочими видами машин и
оборудования, деятельностью агентов по оптовой торговле электротоварами и
бытовыми электро-установочными изделиями, оптовой торговлей производственным
электрическим и электронным оборудованием, включая оборудование электросвязи,
производством электрической распределительной и регулирующей аппаратуры, кроме
ремонта. Предоставлением услуг по монтажу, ремонту и техническому обслуживанию
электрической распределительной и регулирующей аппаратуры. Иными видами
деятельности, не запрещенными действующим законодательством.
Управляется оно генеральным директором, действующим на
основании устава. Основная цель деятельности извлечение коммерческой прибыли.
Анализ защищенности хозяйствующего
субъекта ООО «ГК Русэнерго», применение ЭЦП в его информационной системе
Для начала необходимо определиться с категорией
охраняемого объекта и рассмотреть его инженерно-техническую укрепленность. Из
«Руководящего документа РД 78.36.003-2002 МВД РОССИИ» следует что:
Категория охраняемого объекта: комплексная оценка
объекта, учитывающая его экономическую или иную (например, культурную)
значимость, в зависимости от характера и концентрации сосредоточенных
ценностей, последствий от возможных преступных посягательств на них, сложности
обеспечения требуемой охраны.
Инженерно-техническая укрепленность объекта:
совокупность мероприятий, направленных на усиление конструктивных элементов
зданий, помещений и охраняемых территорий, обеспечивающих необходимое
противодействие несанкционированному проникновению в охраняемую зону, взлому и
другим преступным посягательствам.
Объекты подгрупп БI и БII - это объекты, хищения на
которых в соответствии с уголовным законодательством Российской Федерации могут
привести к ущербу в размере до 500 минимальных размеров оплаты труда и свыше
500 соответственно.
Объекты подгруппы БI:
объекты с хранением или размещением изделий
технологического, санитарно-гигиенического и хозяйственного назначения,
нормативно-технической документации, инвентаря и другого имущества;
объекты мелкооптовой и розничной торговли (павильоны,
палатки, ларьки, киоски и другие аналогичные объекты).
Объекты подгруппы БII:
объекты с хранением или размещением товаров, предметов
повседневного спроса, продуктов питания, компьютерной техники, оргтехники,
видео- и аудиотехники, кино- и фотоаппаратуры, натуральных и искусственных
мехов, кожи, автомобилей и запасных частей к ним, алкогольной продукции с
содержанием этилового спирта свыше 13% объема готовой продукции и другого
аналогичного имущества. Объекты, не вошедшие в перечни, классифицируются по
ближайшему аналогу с учетом возможного риска и ущерба вследствие преступного
посягательства на них [8].
ООО «ГК «РУСЭНЕРГО» осуществляет свою деятельность по
адресу 300046 г. Тула, Новомосковское шоссе д. 46.в арендованных помещениях
общей площадью 750м2, начиная с 1 сентября 2011г. По приблизительным оценкам
оборот денежных средств в месяц в среднем составляет около 15-20млн. руб., а
складской запас товара около 15млн. руб..
Объект по внешнему периметру (территория складов и
вход в офисные помещения) охраняется силами внутренней охраны находящимся на
стационарном посту возле КПП оборудованным пультом видео-наблюдения и
«тревожной кнопкой» выведенной на пульт Вневедомственной охраны. Периметр
складов огорожен забором из оцинкованного профлиста по верхнему краю усиленному
колючей проволокой. В ночное время с установленной периодичностью производится
обход охраняемой территории.
Офисные помещения оборудованы системой видео
наблюдения. Здесь выбран вариант системы видео наблюдения для внутренних
помещений. Соответственно, камеры можно легко подключить к электрической сети,
из-за нежелания опутывать комнаты десятками метров сетевого провода,
используются устройства с беспроводным интерфейсом. Две камеры, должны быть с
поворотным устройством (например, для обзора территории офиса не перекрываемой
углом обзора стационарной камеры), и ещё три фиксированные.
Записывать звук необязательно, дополнительная
подсветка не нужна по причине яркого освещения офиса в рабочее время и постоянного
приглушенного освещения в нем при отсутствии сотрудников. Помимо этого
необходимо иметь детектор движения на камерах и получать тревожное сообщение со
снимком в случае обнаружения каких-либо перемещений в офисе в нерабочее время.
Наблюдение же осуществляется с одного из системных компьютеров, либо через
Интернет. Для такого варианта систему установили следующие устройства: 2
беспроводные IP-камеры TRENDnet TV-IP600W с поворотным механизмом, три
фиксированные беспроводные IP-камеры TRENDnet TV-IP110W, беспроводный
маршрутизатор TRENDnet TEW-652BRP. Все видеозаписи хранятся на Videosrv в
течении двух недель и автоматически перезаписываются. Схема размещения офисной
техники и камер видео наблюдения приведена ниже (Рис.4).
На окнах офиса выходящих на внешнюю территорию
установлены декоративные металлические решетки. Входные двери офиса при сдаче
под охрану опечатываются.
Кабинет директора предприятия (он же по
совместительству выделенное помещение для ведения переговоров) не имеет окон и
оснащен дверью со звукоизоляцией. Система вентиляции не имеет выходов в смежные
помещения (оснащена двумя канальными вентиляторами приток-отток выведенными за
внешние стены здания). Материал, из которого изготовлены воздуховоды затрудняет
снятие речевой информации при помощи статоскопов.
Рис.4 - Схема расположения офисной техники и камер
видео наблюдения.
Серверный шкаф расположен в помещении бухгалтерии, что
затрудняет доступ к нему посторонним лицам.
Для объекта категории БII к которой можно отнести ООО
«ГК «РУСЭНЕРГО» вполне приемлемый уровень инженерной защищенности.[7.]
Теперь непосредственно перейдем к оценке эффективности
управления ООО «ГК «РУСЭНЕРГО» при помощи ее информационной системы. Поскольку
основной зада чей возлагаемой на ИС фирмы является организация ее смешенного
документооборота, то оценив его эффективность, мы сможем определить
эффективности управления самой организацией (ее бизнес процессов), а также
степенью защищенности информации, которая в силу неизвестности ее третьим лицам
дает фирме некоторые конкурентные преимущества на рынке.
Для этого сначала разберем схему циркуляции документов
во внутренней и внешней средах организации.
Итак, основным видом документооборота в ООО «ГК
«РУСЭНЕРГО» является смешанный документооборот, так как примерно половина
документов циркулируют на бумажных носителях, а половина хранится и передается
в электронном виде. Помимо этого для удобства вся бухгалтерская отчетность,
наличие товаров на складах и его циркуляция, ведется посредствам программы «1С
Бухгалтерия 8.2» и «1С Торговли и склад 8.2»
Рассмотрим схему циркуляции документов в ООО «ГК
«РУСЭНЕРГО».
На первом этапе производится подготовка документа в
электронном виде (сканирование, печать, создание общедоступных файлов). На
втором - регистрация и печать документа. Третий включает в себя согласование в
бумажном виде. Четвертый - рассылку документа в электронном виде исполнителям.
Основной средой распространения документации внутри
организации является электронная почта с применением программы «MicrosoftOutlook»,
помимо этого локальная компьютерная сеть фирмы создана в виде «звезды» с
организацией работы в терминальном режиме, т.е. вся документация хранится и
обрабатывается на сервере, что существенно упрощает обмен документами между
сотрудниками. Обеспечивается это путем создания папок с файлами, хранящими
категорированную информацию и размещенными таким образом, чтобы обеспечивался
максимально быстрый и удобный доступ к нужной информации доступной
пользователю, согласно его обязанностям и занимаемой должности. Помимо этого
любое движение товара от поставщика на склад фирмы, внутри нее или к конечному
потребителю сопровождается оригиналом бумажного носителя. Также все приказы,
договора между контрагентами и документы бухгалтерской отчетности хранятся на бумажных
носителях на специально отведенных стеллажах в бухгалтерии.
На данный момент полностью электронным является
документооборот между ООО «ГК « РУСЭНЕРГО» и ОАО «Сбербанк России».
Осуществляется он согласно договору между
контрагентами по средствам системы «Сбербанк России ОнЛ@йн». Это система
дистанционного банковского обслуживания, представляющая по средствам
электронного документооборота через сеть «Интернет», возможность подготавливать
и отправлять платежные документы, получать информацию о движении денежных
средств по счетам, взаимодействовать с сотрудниками банка путем обмена
сообщения свободного формата, а также направлять заявки на рассмотрение банком
возможности предоставления клиенту системы тех или иных услуг банковских
продуктов.
Для работы в системе «Сбербанк России ОнЛ@йн»
необходимо соблюдать следующие условия и требования.
Требования к рабочему месту пользователя:
- Доступ в Интернет;
- Microsoft internet Explorer версии
6.0 SPI и выше или FireFox 3.0 и выше;
- OC Windows 2000 Professional SPA4 и
выше;
- Разрешение экрана от 1024*768.
Обмен документами в системе «Сбербанк России ОнЛ@йн»
происходит путем обмена сообщениями и документами подлинность которых
подтверждает ЭЦП.
Напоминаем, что электронная цифровая подпись (ЭЦП) -
реквизит электронного документа, предназначенный для защиты данного
электронного документа от подделки, полученный в результате криптографического
преобразования информации с использованием закрытого ключа электронной цифровой
подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а
также установить отсутствие искажения информации в электронном документе [1].
С целью обеспечения безопасности использования ЭЦП и
защиты открытого ключа от подлога (замены) соответствующим сертификационным
центром бал выдан сертификат ключа подписи.
Сертификат ключа подписи - документ на бумажном
носителе или электронный документ с электронной цифровой подписью
уполномоченного лица удостоверяющего центра, которые включают в себя открытый
ключ электронной цифровой подписи и которые выдаются удостоверяющим центром
участнику информационной системы для подтверждения подлинности электронной
цифровой подписи и идентификации владельца сертификата ключа подписи.
Сертификат в данном случае был выдан Удостоверяющим
центром ОАО «СБЕРБАНК РОСИИ», разработчик ООО Фирма «ИнфоКрипт».
Область действия сертификата ключа подписи - защита
документов в корпоративной системе ЭДО ОАО «СБЕРБАНК РОССИИ».
.3 Выработка практических
рекомендаций по усовершенствованию информационной системы ООО «ГК Русэнерго» на
основе применения ЭЦП
В ходе исследований проведенных нами в теоретической и
практической частях данной работы было выяснено следующее.
Степень защиты информации от неправомерного доступа и
противозаконных действий зависит от качества разработки организационных мер,
направленных на исключение:
- доступа к аппаратуре обработки
информации;
- бесконтрольного выноса персоналом
различных носителей информации;
- несанкционированного введения данных
в память, изменения или стирания хранящейся в ней информации;
- незаконного пользования системами
обработки информации и полученными данными;
- доступа в системы обработки
информации посредством самодельных устройств;
- неправомочной передачи данных по
каналам связи из информационно-вычислительного центра;
- бесконтрольный ввод данных в систему;
- обработка данных по заказу без
соответствующего требования заказчика;
- неправомочное считывание, изменение
или стирание данных в процессе их передачи или транспортировки носителей
информации.
Основными проблемами в процессе защиты информации в ИС
является:
- предотвращение утечки, хищения,
утраты, искажения, подделки информации;
- предотвращение угроз безопасности
личности, общества, государства;
- предотвращение несанкционированных
действий по уничтожению, модификации, искажению, копированию, блокированию
информации;
- предотвращение других форм
незаконного вмешательства в информационные ресурсы и информационные системы;
- обеспечение правового режима
документированной информации как объекта собственности;
- защита конституционных прав граждан
на сохранение личной тайны и конфиденциальности персональных данных, имеющихся
в информационных системах;
- сохранение государственной тайны,
конфиденциальности документированной информации в соответствии с
законодательством;
- гарантия прав субъектов в
информационных процессах и при разработке, производстве и применении
информационных систем, технологий и средств их обеспечения.
Необходимость защиты ресурсов, программ и информации в
компьютерной информационной системе от несанкционированного доступа и
использования определяется наличием следующих угроз:
- Оператор - может заменить защищенный
монитор на незащищенный или имеющий только входы.
- Системный программист - нарушает
защиту. Обеспечивает себе право входа в систему. Выявляет механизмы защиты.
- Программное обеспечение - попытки
преодолеть защиту. Управление доступом. Идентификация пользователя. Управление
ограничениями.
- Инженер по эксплуатации нарушает
защиту технических средств. Использует автономные утилиты для доступа к файлам
и входа в систему.
- Доступ. Попытки получить копию
(пишущая лента, валик принтера и т.п.). Неточности, вызванные действиями
пользователей с низким уровнем полномочий.
- Пользователь. Идентификация.
Подтверждение подлинности. Искусная модификация программного обеспечения.
Современные топологии и протоколы требуют, чтобы
сообщения были доступны большому числу узлов при передаче к желаемому
назначению. Это гораздо дешевле и легче, чем иметь прямой физический путь между
каждой парой машин. Вытекающие из этого возможные угрозы предусматривают как
активный, так и пассивный перехват сообщений, передаваемых в линии.
При пассивном перехвате происходит не только чтение
информации, но и анализ трафика (использование адресов, других данных
заголовка, длины сообщений и частоту сообщений).
При активном изменение потока сообщений (включая
модификацию, задержку, дублирование, удаление или неправомочное использование
реквизитов).
Службы Обмена сообщениями увеличивают риск для
информации, хранимой на сервере или передаваемой между источником и
отправителем. Неадекватно защищенная электронная почта может быть легко
перехвачена, изменена или повторно передана, что влияет как на
конфиденциальность, так и на целостность сообщения.
Прочие проблемы безопасности ИС:
- неадекватная политика управления и
безопасности ИС;
- отсутствие обучения особенностям
использования ИС и защиты;
- неадекватные механизмы защиты для
рабочих станций;
- неадекватная защита в ходе передачи
информации.
Для этих проблем необходимо осуществлять комплексную
политику безопасности, которая определяла бы правила использования ИС.
К сожалению необходимость комплексного обеспечения
безопасности информационной системы в данной организации не находит должного
понимания у руководства.
В настоящее время на предприятии существует смешанная
система документооборота, не позволяющая в полной мере реализовать на практике
возможности применения ЭЦП.
В исследуемой организации полностью отсутствует
нормативно-правовая база закрепляющая ответственность сотрудников допустивших
утечку, уничтожение, искажение или блокировку информации циркулирующей внутри
ИС.
При внедрении новых узлов и программных обеспечений в
информационную систему, обучение персонала пользованием этими новшествами
производиться несвоевременно, что приводит к дополнительным трудностям в
обеспечении защиты данной системы.
Каналы связи ИС по которым передается информация
абсолютно не защищены, что делает ее уязвимой к воздействию внешних и
внутренних угроз.
В связи с вышеперечисленными недостатками необходимо
внести ряд изменений для улучшения защищенности ИС.
Необходимо внедрить договор о неразглашении сведений
составляющих коммерческую тайну предприятия. Его внедрение должно
поспособствовать сокращению до минимума утечки полезной информации из фирмы, а
следовательно повысить в последующем ее рентабельность. Но для этого необходимо
внести соответствующие изменения в устав фирмы, где будут прописано наличие в
организации информации относящейся к категории коммерческая тайна и перечень
сведений относящихся к ней. Пример стандартного договора «О не разглашении
сведений составляющих коммерческую тайну» рассмотрен в приложение 1.
Помимо этого необходимо расширить сферу деятельности
фирмы, организовав выход на электронную торговую площадку. Это необходимо для
участия в электронных торгах, поскольку площадки, осуществляющие электронные
торги, связывают собой не только государственных заказчиков с поставщиками, но
и довольно обширный сектор коммерческих заказчиков, которые желают расширить
свои производства и сократить затраты на сбыт своей продукции за счет
оптимизации деятельности пользователей в сфере торговли и закупок за счет
понижения закупочных цен и роста количества продаж.
Наряду с расширением сферы коммерческой деятельности
организации следует акцентировать внимание на усовершенствовании системы
электронной отчетности:
- предоставления отчетности физических
и юридических лиц в органы контроля;
- передачи в электронном виде
бухгалтерской и налоговой отчетности всех форм в налоговую инспекцию без
необходимости дублирования на бумажном носителе;
- передачи данных в органы
статистического учета и Пенсионный фонд России;
Для этого надо:
- зарегистрировать и получит ЭЦП
область действия сертификата ключа которой будет распростроняться на
перечисленные сферы деятельности;
- произвести обучения персонала
(который будет отвечать за работу с предлагаемыми опциями);
- подготовить нормативно-правовую базу,
закрепляющую права и зоны ответственности персонала;
- модифицировать если возникнет такая
необходимость ИС и программное обеспечение.
При внедрении и последующим использовании предлагаемых
мероприятий следует помнить о том, что подход к их подготовке и реализации
должен быть комплексным - правовая, инженерно-техническая,
программно-аппаратная и организационная составляющие данного процесса должны
учитываться в равной мере, а пренебрежение хотя бы одной из них неизбежно
приведет к ослаблению защищенности ИС организации.
Заключение
В условиях необходимости быстроты принятия управляющих
решений и большого объема обрабатываемой для этих целей информации,
информационная система становится не заменимым инструментом, позволяющим
эффективно управлять организацией. Без применения информационных систем не
возможно осуществление перехода предприятия к электронным формам управления и
электронному документообороту.
Помимо этого информационная система позволяет получить
целый ряд преимуществ:
- повысить эффективность управления
бизнес-процессами за счет улучшения исполнительской дисциплины;
- оптимизировать контроль выполнения
поставленных задач;
- увеличить быстроту и качество анализа
организационно-распорядительной деятельности;
- повысить оперативность и качество
управленческих решений;
- повысить эффективность работы и
надежность функционирования предприятия;
- сократить излишнее количество
сотрудников в организации;
- обеспечить надежность учета и
хранения документов;
- существенно снизить
непроизводительные затраты рабочего времени;
- создать единое информационное
пространство предприятия;
- организовать эффективный контроль
различных направлений деятельности предприятия (организации) и др.
Защиту информационной системы организации от
воздействия внешних и внутренних угроз, направленных на хищение искажение,
уничтожение, модификацию и блокировку информации с высокой степенью эффективности
можно осуществить с применением электронной цифровой подписи.
Помимо этого ЭЦП дает возможность существенно
расширить сферу применения информационной системы хозяйствующего субъекта
позволив использовать ее для:
- обмена документами электронного вида
между организациями, ведомствами, предприятиями, а также между их
подразделениями;
- предоставления отчетности физических
и юридических лиц в органы контроля;
- декларирования деятельности,
связанной с розничной продажей алкогольной продукции;
- передачи в электронном виде
бухгалтерской и налоговой отчетности всех форм в налоговую инспекцию без
необходимости дублирования на бумажном носителе;
- передачи данных в органы
статистического учета и Пенсионный фонд России;
- участия в электронного вида аукционах
и торгах по размещению государственных заказов;
- достоверной аутентификации
пользователей;
- авторизации для получения доступа к
специализированным ресурсам информации;
- шифрования электронных документов при
передаче их по каналам связи открытого типа;
- обеспечения документам электронного
документооборота юридической значимости;
- защиты сообщений, получаемых и
отправляемых посредством электронной почты;
- создания защищенности канала связи
при передаче электронных сообщений и документов.
В ходе проведенных исследований мы выяснили, что ООО
«ГК «РУСЭНЕРГО» является небольшой фирмой со сравнительно маленьким
среднемесячным оборотом, и для объекта категории БII существующая
инженерно-техническая система защиты информации является приемлемой по соображениям
экономической целесообразности.
Система существующего смешанного документооборота хотя
и дает возможность достаточно эффективно управлять данной организацией
(учитывая ее небольшие размеры), но не позволяет в полной мере использовать все
возможности применения ЭЦП.
К сожалению необходимость комплексного обеспечения
безопасности информационной системы в данной организации не находит должного
понимания у руководства.
В связи с вышеперечисленными недостатками необходимо
внести ряд изменений для улучшения защищенности ИС.
Необходимо внедрить договор о неразглашении сведений
составляющих коммерческую тайну предприятия. Его внедрение должно
поспособствовать сокращению до минимума утечки полезной информации из фирмы, а
следовательно повысить в последующем ее рентабельность. Но для этого необходимо
внести соответствующие изменения в устав фирмы, где будут прописано наличие в
организации информации относящейся к категории коммерческая тайна и перечень
сведений относящихся к ней. Пример стандартного договора «О не разглашении
сведений составляющих коммерческую тайну» рассмотрен в приложение 1.
Помимо этого необходимо расширить сферу деятельности
фирмы, организовав выход на электронную торговую площадку. Это необходимо для
участия в электронных торгах, поскольку площадки, осуществляющие электронные
торги, связывают собой не только государственных заказчиков с поставщиками, но
и довольно обширный сектор коммерческих заказчиков, которые желают расширить
свои производства и сократить затраты на сбыт своей продукции за счет
оптимизации деятельности пользователей в сфере торговли и закупок за счет
понижения закупочных цен и роста количества продаж.
Наряду с расширением сферы коммерческой деятельности
организации следует акцентировать внимание на усовершенствовании системы электронной
отчетности:
- предоставления отчетности физических
и юридических лиц в органы контроля;
- передачи в электронном виде
бухгалтерской и налоговой отчетности всех форм в налоговую инспекцию без
необходимости дублирования на бумажном носителе;
- передачи данных в органы
статистического учета и Пенсионный фонд России;
Для этого надо:
- зарегистрировать и получит еще одну
ЭЦП область действия сертификата ключа которой будет распростроняться на
перечисленные сферы деятельности;
- произвести обучения персонала
(который будет отвечать за работу с предлагаемыми опциями);
- подготовить нормативно-правовую базу,
закрепляющую права и зоны ответственности персонала;
- модифицировать если возникнет такая
необходимость ИС и программное обеспечение.
Данные нововведения позволят существенно увеличить
ежемесячный оборот капитала организации (при сравнительно небольших затратах на
их внедрение), следовательно и прибыль. Сократить время на выполнение
сотрудниками отчетности различного рода (бухгалтерская, налоговая, пенсионный
фонд), высвободив тем самым у них время на выполнение других задач. Переместить
на выполнение других обязанностей сотрудников в услугах которых после внедрения
предлагаемых мероприятий фирма не будет нуждаться (часть менеджеров по продажам
- после внедрения коммерческих электронных торговых площадок).
При внедрении и последующим использовании предлагаемых
мероприятий следует помнить о том, что подход к их подготовке и реализации
должен быть комплексным - правовая, инженерно-техническая, программно-аппаратная
и организационная составляющие данного процесса должны учитываться в равной
мере, а пренебрежение хотя бы одной из них неизбежно приведет к ослаблению
защищенности ИС организации.
По окончании выполнения работу можно сделать вывод,
что цели, поставленные в работе достигнуты, задачи решены.
Библиографический список
1. Российская Федерация. Федеральный закон №1-ФЗ от 10 января 2002г. (в
редакции от 8.11.2007). Об электронной цифровой подписи. Российская газета
. Российская Федерация. Федеральный закон № 94-ФЗ от 21 июля 2005г.(с
изменениями от 27.07.2010 N 240-ФЗ). О размещении заказов на поставку товаров,
выполнение работ, оказание услуг для государственных и муниципальных нужд.
Российская газета.
.Российская Федерация. Федеральный закон № 14-ФЗ от 8 февраля 1988.(с
изменениями внесенными Федеральным законом от 27.10.2088 №175-ФЗ). Об обществах
с ограниченной ответственностью. Российская газета.
. Российская Федерация. Федеральный закон №135-ФЗ от 26 июля 2006г. О
защите конкуренции. Российская газета.
. Российская Федерация. Федеральный закон №1-ФЗ от 10 января 2002г. (в
редакции Федерального закона № 258-ФЗ от 08 ноября 2007г). Правовое
регулирование электронного обмена данными и заключения сделок в электронной
форме.
. Российская Федерация. Федеральный закон № 98-ФЗ от 29 июля 2004г. (в
редакции Федерального закона № 200 - ФЗ от 11 июля 2001г) О коммерческой тайне.
Российская газета.
. Распоряжение правительства Российской Федерации от 20 февраля 2006г. №
229-р. Об официальном сайте Российской Федерации для размещения информации для
размещения заказов.
.Руководящий документ. РД 78.36.003-2002. Инженерно-техническая
укрепленность. Технические средства охраны. Требования и нормы проектирования
по защите объектов от преступных посягательств. Введен с 01 января 2003 г.
взамен РД 78.143-92 и РД 78.147-93.
. Устав общества с ограниченной ответственностью «Группа компаний
РУСЭНЕРГО» утвержден решением №1 от 1сентября 2011.
. Дшхунян В.Л., Шангин В.Ф. Электронная идентификация. Бесконтактные
электронные идентификаторы и смарт-карты. - М.: НТ Пресс, 2006.
. Кузнецов А.А. Защита деловой переписки. Секреты безопасности. - М.:
издательство «Экзамен» 2008.
. Кузнецов Н.Н. Документационное обеспечение управления и
делопроизводство: - М.: ООО ИД Юрайт, 2006.
. Крылов Г.О. Информационные операции Современности. - ВАГШ. 2007.
. Крылов Г.О. Правовое обеспечение информационной безопасности. -Киев,
2008..
. Малюк А.А. Информационная безопасность. Концептуальные и
методологические основы защиты информации. - Горячая линия - Телеком, 2006.
. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в
автоматизированных системах: учебное пособие. - Горячая линия - Телеком, 2007.
.Киселев А.В. Разработка комплексной системы защиты электронного
документооборота предприятия. - диссертация кандидата технических наук 05.13.19
защищена Москва, 2006 - 169 c.
. www.ecp-torgi.ru - дата обращения 15 апреля 2012.
. www.aetp.ru -
дата обращения 23 апреля 2012.
. www.bezpeka.com -
дата обращения 10 апреля 2012.
Приложение
Приложение 1
ДОГОВОР №_______
«О НЕРАЗГЛАШЕНИИ СВЕДЕНИЙ,
СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ ТАЙНУ».
Г.Тула «___»________201__г.
ООО «ГК «РУСЭНЕРГО», именуемое в дальнейшем
РАБОТОДАТЕЛЬ в лице генерального директора Полякова Александра Петровича,
действующего на основании устава с одной стороны
и________________________________________________, именуемый(ая)
(фамилия, имя, отчество)
в дальнейшем РАБОТНИК с другой стороны, заключили
договор о нижеследующем:
I. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ
В ДАННОМ ДОГОВОРЕ.
Коммерческая тайна - конфиденциальность информации,
позволяющая, ее обладателю при существующих или возможных обстоятельствах
увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке
товаров, работ, услуг или получить иную коммерческую выгоду.
Перечень информации отнесенной к категории
коммерческая тайна.
.1.ДЕЛОВАЯ ИНФОРМАЦИЯ:
сведения о контрагентах;
сведения о конкурентах;
сведения о потребителях;
сведения о деловых переговорах;
коммерческая переписка;
сведения о заключенных и планируемых контрактах.
.2. ОРГАНИЗАЦИОННО-УПРАВЛЕНЧЕСКАЯ ИНФОРМАЦИЯ:
сведения о структуре управления фирмой не содержащиеся
в уставе;
оригинальные методы организации управления;
система организации труда.
.3. МАРКЕТИНГОВАЯ ИНФОРМАЦИЯ:
рыночная стратегия;
планы рекламной деятельности;
планы обеспечения конкурентных преимуществ по
сравнению с продукцией других фирм;
методы работы на рынке;
планы сбыта продукции.
.4. ФИНАНСОВАЯ ИНФОРМАЦИЯ:
планирование прибыли, себестоимости;
ценообразование - методы расчета, структура цен
скидки;
возможные источники финансирования;
финансовые прогнозы.
.5. Программное обеспечение:
программы;
пороли, коды доступа к конфиденциальной информации,
расположенных на электронных носителях.
II. ПРЕДМЕТ ДОГОВОРА.
Я _________________________________________________
(фамилия, имя, отчество)
в период трудовых (служебных) отношений с
работодателем, (его
правопреемником) и в течение _____________________
после их окончания обязуюсь:
) не разглашать сведения, составляющие коммерческую
тайну работодателя, которые мне будут доверены или станут известны по работе
(службе);
) не передавать третьим лицам и не раскрывать публично
сведения, составляющие коммерческую тайну работодателя, без согласия
работодателя;
) выполнять относящиеся ко мне требования приказов,
инструкций и положений по обеспечению сохранности коммерческой тайны
работодателя;
) в случае попытки посторонних лиц получить от меня
сведения о коммерческой тайне работодателя немедленно сообщить
_____________________________________________________________
(должностное лицо или подразделение предприятия)
) сохранять коммерческую тайну тех предприятий, с
которыми имеются деловые отношения у работодателя;
) не использовать знание коммерческой тайны
предприятия для занятий любой деятельностью, которая в качестве конкурентного
действия может нанести ущерб работодателю;
) об утрате или недостаче: удостоверений, пропусков,
ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных
печатей и о других фактах, которые могут привести к разглашению коммерческой
тайны работодателя, а также о причинах и условиях возможной утечки сведений,
немедленно сообщать
__________________________________________________________________
(должностное лицо или подразделение предприятия)
) в случае моего увольнения все носители, содержащие
информацию составляющую коммерческую тайну работодателя (рукописи, черновики,
чертежи, магнитные ленты, перфокарты, перфоленты, диски, дискеты, распечатки на
принтерах, кино фото негативы и позитивы, модели, материалы, изделия и пр.),
которые находились в моем распоряжении в связи с выполнением мною служебных
обязанностей во время работы на предприятии, передать
__________________________________________________________________
(должностное лицо или подразделение предприятия)
Я, предупрежден, что, в случае, невыполнения любого из
пунктов 1, 2, 3, 4, 5, 6, 8 настоящего обязательства, могу быть уволен с
предприятия. До моего сведения также доведены с разъяснениями соответствующие
положения по обеспечению сохранности коммерческой тайны работодателя, и я
получил один экземпляр этих положений. Мне известно, что нарушения этих
положений может повлечь административную, уголовную, гражданско-правовую или
иную ответственность в соответствии с законодательством РФ: в виде лишения свободы,
денежного штрафа, обязанности по возмещению ущерба работодателю (убытков,
упущенной выгоды и морального ущерба) и других наказаний.
Приложение 2
ОАО «ИнфоТеКС Интернет Траст»://www.iitrust.ru/
Корневой сертификат:
· #"896410.files/image009.gif">
ООО «Электронный город»
http://www.elkursk.ru/
Адрес: 305000, г.Курск, ул. Можаевская, д. 2 Тел.: (471) 252-01-09
begin_of_the_skype_highlighting
(471) 252-01-09 end_of_the_skype_highlighting
Корневой сертификат:
- http://ra.elkursk.ru/ca-elgorod_ElektronniyGorod(1).crt
- http://ra.elkursk.ru/ca-elgorod_ElektronniyGorod.crt
Список отозванных сертификатов:
- http://elkursk.ucoz.ru/175173d2efbe9c19b0992b80a6ffa8773f8b9ee3.crl
- http://elkursk.narod2.ru/175173d2efbe9c19b0992b80a6ffa8773f8b9ee3.crl
- http://ra.elkursk.ru/ra/cdp/175173d2efbe9c19b0992b80a6ffa8773f8b9ee3.crl
- http://ra.elkursk.ru/ra/cdp/214919750C6B77643C932095B3D0C1A72FC4C9E9.crl
- http://elkursk.narod2.ru/214919750C6B77643C932095B3D0C1A72FC4C9E9.crl
Список официальных точек выдачи
|
№ ПП
|
Адрес
|
Телефон
|
|
1
|
305000, г. Курск, ул.
Можаевская, д. 2
|
(471) 252-01-09 begin_of_the_skype_highlighting (471) 252-01-09 end_of_the_skype_highlighting
|
|
2
|
300012, г.Тула, пр-т
Ленина, д.77, офис 501
|
(48-72) 30-80-81 begin_of_the_skype_highlighting (4872) 30-80-81 end_of_the_skype_highlighting
|
Приложение 3
Список сокращений и терминов
Аутентификация (authentication) - это процедура
верификации принадлежности идентификатора пользователю.
Биометрическая идентификация - это технология
идентификация пользователя, основанная на измерении уникальных, физиологических
характеристик человека (отпечатки пальцев, геометрическая форма кисти руки,
форма и размеры лица, узоры радужной оболочки и сетчатки глаза, особенности голоса).
Информационная безопасность предприятия - это
защищенность информации, которой располагает предприятие от
несанкционированного доступа, разглашения, модификации и задержках при
поступлении. Информационная безопасность включает в себя меры по защите процесса
создания данных, их ввода, обработки и вывода.
Информационня система (ИС) - это
организационно-техническая система, реализующая информационные технологии и
предусматривающая аппаратное, программное и другие виды обеспечения, а также
персонал предприятия имеющий соответствующую подготовку (квалификацию).
Информация - это сведения о фактах, событиях,
процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в
некоторой предметной области, зафиксированные в виде совокупностей некоторых знаков
(символов, сигналов и т.п.), на носителях различных типов.
ИСС - информационно-справочные системы.
ИПС - информационно-поисковые системы
ИУС - информационно-управляющие системы.
Идентификация (identification) - это процесс
распознания объекта или субъекта по его идентификатору.
СКУД - системы контроля и управления доступом.
Сертификат ключа подписи - документ на бумажном
носителе или электронный документ с электронной цифровой подписью
уполномоченного лица удостоверяющего центра, которые включают в себя открытый
ключ электронной цифровой подписи и которые выдаются удостоверяющим центром
участнику информационной системы для подтверждения подлинности электронной
цифровой подписи и идентификации владельца сертификата ключа подписи.
Смарт-карта - это пластиковая карта со встроенным
микропроцессором, выполняющим функции контроля доступа к памяти смарт-карты и
производящим также ряд специфических функций.
Штрих-код - это способ идентификации объекта по
нанесенному на нем чередованию ширины темных (штрихов) и белых (пробелов)
полос. Существует два вида штрих кодов линейные (одномерные) и двумерные коды.
Электронная цифровая подпись (ЭЦП) - реквизит
электронного документа, предназначенный для защиты данного электронного
документа от подделки, полученный в результате криптографического
преобразования информации с использованием закрытого ключа электронной цифровой
подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а
также установить отсутствие искажения информации в электронном документе.