Подготовка к экзамену Базовая часть




Скачать 230.64 Kb.
НазваниеПодготовка к экзамену Базовая часть
Дата публикации09.12.2013
Размер230.64 Kb.
ТипДокументы
zadocs.ru > Информатика > Документы
Подготовка к экзамену

Базовая часть

1 Основные термины и определения
2 Классификация информационных систем
3 Компоненты и свойства ИС
4 Архитектура ИС. Техническое обеспечение ИС
5 Архитектура ИС. Программное обеспечение ИС
6 Архитектура ИС. Математическое обеспечение ИС
7 Архитектура ИС. Информационное обеспечение ИС
8 Архитектура ИС. Организационное и правовое обеспечение ИС
9 Безопасность ИС. Угрозы автоматизированным системам
10 Безопасность ИС. Основные задачи систем защиты информации
11 Безопасность ИС. Электронная цифровая подпись
Специальная часть

Проверка ЛР.

^ БАЗОВАЯ ЧАСТЬ

К информационным технологиям относится совокупность методов и средств сбора, хранения, обработки, передачи и ввода/вывода информации. Целью информационных технологий является снижение трудоемкости процессов использования информационных ресурсов, повышение надёжности и оперативности выполнения информационных процессов.

^ Основные термины и определения, использующиеся в информационных технологиях

Информация – (от лат. informatio – разъяснение, изложение), первоначальное понятие – сведения, передаваемые людьми устным, письменным или другим способом с помощью сигналов, технических средств и т.д.; с середины ХХ века – общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом. Законодательно термин «информация» определен следующим образом: «Информация – сведения (сообщения, данные) независимо от формы их представления».

^ Документированная информация – зафиксированная на материальном носителе информация с реквизитами, позволяющими её идентифицировать.

Информационные процессы – процессы сбора, обработки, накопления, хранения, поиска и распространения информации.

^ Информационная система – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

^ Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

^ Информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

^ Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

^ Средства обеспечения автоматизированных информационных систем и их технологий – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин, средства вычислительной техники и связи, словари, тезаурусы и классификаторы, инструкции и методики, положения, уставы, должностные инструкции, схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.

Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами.

Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных Законом.

^ Пользователь (потребитель) информации – субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

^ Информационные системы

Для предоставления информационных услуг любого уровня необходимо на первом этапе обладать и уметь управлять необходимой информацией. Данная информация должна содержаться в информационных системах.
^ Информационная система (ИС). Под ИС организации следует понимать совокупность организационных, программных и технических средств, использующих автоматизированные информационные технологии для поддержки информационных методов управления, предоставления управленческому персоналу методов и средств работы с информацией для реализации функций управления.
ИС могут значительно различаться по типам объектов, характером и объемом решаемых задач и рядом других признаков.

Классификация ИС

по масштабам применения:

- изолированные ИС – информационная система установлена на компьютере, либо не включенном в локальную сеть, либо ИС в своей работе не взаимодействует с ресурсами сети;
- офисные ИС – информационная система установлена в локальной сети, может использовать выделенный сервер, технологии файл-сервер или «клиент-сервер»; для связи используется технология локальной сети;
- корпоративные ИС – информационная система установлена на предприятии, может быть размещена в нескольких зданиях, в том числе в разных городах; данные ИС для объединения удаленных компьютеров используют собственные выделенные линии связи или ресурсы Интернет;
- глобальные ИС – включают в себя корпоративные ИС, расположенные в нескольких странах; для объединения компьютеров используют ресурсы Интернет;

по квалификации персонала и уровням управления:

- стратегические (топ-менеджеров);
- функциональные (менеджеров среднего звена);
- оперативные (специалистов);

по характеру обработки информации:

- системы обработки данных;
- системы управления;
- системы поддержки принятия решений;

по оперативности обработки данных:

- пакетной обработки;
- оперативные;

по степени автоматизации:

- ручные;
- автоматические;
- автоматизированные;

по характеру использования информации:

- информационно-поисковые;
- информационно-справочные;
- информационно-решающие;
- управляющие;
- советующие и т.п.;

по степени централизации обработки информации:

- централизованные;
- децентрализованные;
- ИС коллективного использования;

по характеру использования вычислительных ресурсов:

- локальные;
- распределенные;

по сфере деятельности:

- государственные;
- территориальные (региональные);
- отраслевые;
- объединений;
- предприятий или учреждений;
- технологических процессов;

по классу реализуемых технологических операций:

- системы с текстовыми редакторами;
- системы с табличными редакторами;
- системы управления базами данных (СУБД);
- системы управления базами знаний (СУБЗ);
- системы с графикой, мультимедиа, гипертекстом;

по месту в процессе управления предприятием:

- автоматизированные рабочие места (АРМ) специалиста;
- ИС руководителя;
- ИС внешнего контролера;
- интегрированные системы, объединяющие в себе часть или все из этих функций;

по концепции построения:

- файловые;
- автоматизированные банки данных;
- банки знаний.

^ Общие представления об ИС, их компонентах и свойствах

ИС – это объект информатизации, который, с одной стороны, рассматривается как единое целое, а с другой – как множество взаимосвязанных и взаимодействующих между собой составных частей.

Понятие ИС охватывает комплекс взаимосвязанных элементов, действующих как единое целое. В систему входят следующие компоненты:
- структура – множество элементов ИС и взаимосвязей между ними;
- входы и выходы – потоки сообщений, поступающие в ИС и выводимые ею;
- закон поведения ИС – функция, связывающая изменения входа и выхода ИС;
- цель и ограничения на функционирование ИС.

Для ИС характерны такие свойства, как сложность, делимость, целостность и структурированность.
Сложность определяется множеством входящих в ИС компонентов, изменяющих внутренние и внешние связи и отношения.
Делимость предполагает, что ИС состоит из подсистем, выделенных по определенному признаку и отвечающих конкретным целям и задачам.
Целостность означает, что функционирование множества элементов ИС подчинено единой цели.
Структурированность предполагает распределение элементов ИС по уровням иерархии.

Создание автоматизированных информационных систем (АИС) - сложное и трудоемкое дело, требующее значительной подготовки и организации. Эффективность функционирования разработанной АИС в значительной мере зависит от научно-обоснованных методов ее создания.

Создание и функционирование ИС основывается на следующих принципах:

системность: позволяет четко определить цели создания АИС и общие свойства, присущие системе как единому целому; выявляет критерии декомпозиции системы и многообразные типы связей между ее элементами.

модульность: предусматривает построение АИС в виде взаимосвязанных и взаимно дополняемых модулей; причем замена одного модуля другим не нарушает целостность системы.

адаптируемость (гибкость): обеспечивает приспособление системы к новым условиям функционирования при сохранении ее работоспособности.

непрерывность развития (открытость): предопределяет АИС как систему, способную к развитию и совершенствованию при использовании новейших технологий процесса обработки данных.

стандартизация и унификация: для проектирования АИС следует использовать в разумной мере типовые решения.

«новые задачи»: предусматривает решение новых задач, которые ранее не рассматривались.

надежность: предполагает устойчивость работы системы в условиях сбоя отдельных ее элементов.

совместимость: заключается в способности взаимодействия различных АИС, имеющих информационное, техническое и технологическое сопряжение.

однократность ввода: предусматривает одноразовый ввод информации и многократное, многоцелевое ее использование.

«дружелюбность»: система должна быть простой и доступной для установки, изучения и эксплуатации.

эффективность (окупаемость): АИС не должна разорять пользователя и должна окупаться как материально, так и морально.

автоматизация: предполагает безбумажную технологию, состоящую в комплексном использовании технических средств на всех стадиях технологического процесса обработки информации.

безопасность: Это сохранность и целостность конфиденциальной информации в системе.

^ Архитектура информационной системы

Архитектура ИС определяется моделью автоматизируемых бизнес-процессов (и порождаемых этими процессами информационными потоками), территориальным расположением компонент ИС, а также предполагаемой совокупной стоимостью владения данной ИС. Именно последним фактором определяется выбор аппаратных средств, программного обеспечения и т.п.

В состав ИС входят следующие компоненты (подсистемы) (рис.1):

• техническое (аппаратное) обеспечение;

• математическое обеспечение;

• программное обеспечение;

• информационное обеспечение;

• организационное обеспечение;

• правовое обеспечение.



Рисунок 1.

^ Техническое обеспечение ИС

Техническое обеспечение ИС включает в себя:

• компьютерное оборудование (рабочие станции и серверы);

• периферийное оборудование (принтеры, сканеры) и средства оргтехника;

• телекоммуникационное и сетевое оборудование:

• устройства бесперебойного питания.

^ Компьютерное оборудование

В зависимости от производительности и функционального назначения выделяют суперкомпьютеры, мэйнфреймы, серверы и персональные компьютеры (ПК).

Суперкомпьютер - компьютер, предназначенный для высокоскоростного выполнения прикладных процессов. Поскольку большие скорости обработки данных можно получить лишь в многопроцессорных системах, увеличивается соответственно и число образующих суперкомпьютер процессоров, что позволяет повысить степень параллельности обработки данных. В системах обработки экономической информации суперкомпьютер чаще всего используется в качестве суперсервера - сервера высокой производительности, выполняющего обработку данных для большего числа клиентов.

^ Мэйнфреймы (mainframe) по производительности уступают суперкомпьютеру, но охватывают более широкий круг решаемых задач. Мэйнфрейм, как правило, выполняет роль главного компьютера в большой информационной сети и принимает на себя основные потоки данных в финансовой сфере и общих бизнес - расчетах. Мэйнфреймы обладают большим объемом памяти, высокой отказоустойчивостью и производительностью.

^ Персональные компьютеры (ПК) являются наиболее массовым средством обработки информации. Персональные компьютеры характеризуются высокой производительностью, небольшими размерами и массовым производством.

Компьютеры-серверы. Имеют принципиальное значение: быстродействие процессора, объем оперативной памяти и дисковой системы, надежность. Не имеют большого значения: характеристики видеосистемы, современный внешний вид. Для серверов используется набор винчестеров, организованных в дисковых массивов в специальный RAID-массив - набор жестких дисков, образующих единое запоминающее устройство. RAID представляет собой устройство, состоящее из недорогих и небольших жестких дисков со своими процессорами, соединенными скоростными каналами. Массив RAID (Re-dundant Array of Independent Disks - избыточный массив недорогих дисков) представляет собой набор дисков, воспринимаемых пользователем (или операционной системой) как единое целое. Дисковые массивы обладают высокой отказоустойчивостью. Восстановление данных на любом диске, утратившем работоспособность, происходит незаметно для пользователя. Массивы RAID обладают высокой скоростью обмена с оперативной памятью. Для управления ими используются алгоритмы, обеспечивающие чтение и запись данных сразу на нескольких дисках. Главное достоинство RAID - практически стопроцентная гарантия сохранности данных. Благодаря специализированному процессору, источнику питания и вентилятору эти массивы идеальны для внешнего хранения данных.

^ Компьютеры-рабочие станции. Имеют большое значение: быстродействие процессора, объем оперативной памяти и характеристики видеосистемы. Не имеют существенного значения: объем и надежность дисковой системы ввиду того, что все данные сохраняются на серверах, напомним, что в компьютерах – «тонких клиентах» дисковая подсистема отсутствует. Для компьютера – рабочей станции желательно иметь современный внешний вид, соответствующий общему интерьеру рабочего помещения.
^ Программное обеспечение ИС

Программное обеспечение ИС включает в себя:
• системное программное обеспечение;
• прикладные программы;
• офисные пакеты;
• прикладное ПО (предметно-ориентированные пакеты);
• инструментальное ПО (средства программирования и отладки);
• диагностическое ПО, в том числе антивирусные пакеты программ

^ Системное программное обеспечение
К системному программному обеспечению относятся операционные системы (ОС). Основные функции операционной системы:
• управление ресурсами компьютера или вычислительной системы, в том числе обеспечение многозадачности;
• поддержка файловой системы;
• обеспечение пользовательского интерфейса.

^ Прикладные программы

К прикладному ПО относятся практически все программные средства, которые использует пользователь компьютера и ИС в своей работе. К такого рода ПО, например, от-носятся:
• офисное программное обеспечение (Microsoft Office, Open Office);
• графические пакеты (для работы с растровой графикой – Adobe Photoshop, векторной – CorelDraw);

• ПО, предназначенное для автоматизации управления предприятием, автоматизации бухгалтерского, складского учета, кадрового менеджмента (Галактика, 1С:Предприятие, Парус и т.д.);

^ Инструментальные программы

К инструментальному ПО относятся инструментальные средства разработки собственных программ (приложений) – языки программирования (C, Pascal и т.д.). Вообще говоря, в средства прикладного программного обеспечения также входят достаточно мощные инструментальные средства. Например, в состав пакета Microsoft Office входит язык программирования Visual Basic, позволяющий создавать собственные макросы, функции и т.п. В состав 1С:Предприятия входит язык программирования, позволяющий осуществлять редактирование имеющихся информационных баз (конфигураций) и создавать новые.

^ Диагностические и антивирусные программы

К диагностическому ПО относятся многочисленные программы, предназначенные для проверки работоспособности (диагностики) составных частей компьютера и периферийного оборудования. К основным диагностическим программным средствам следует отнести программы для тестирования процессора, оперативной памяти, винчестера, мониторы. Данные программы позволяют определить, во-первых, исправность испытуемых устройств, и, во-вторых, получить их количественные характеристики (например, быстродействие винчестера в определенных режимах).

Антивирусное ПО, как следует из названия, призвано бороться с компьютерными вирусами, т.е. распознавать наличие вредоносного кода в файлах программ, почтовых со-общений, файлах Microsoft Office и т.п., а также удалять (деактивировать) этот вредоносный код. Все современные антивирусные программы в своей работе используют две технологии нахождения вредоносного кода (вирусов): сигнатурный и эвристический анализ.

^ Математическое обеспечение ИС

Математическое обеспечение ИС включает в себя совокупность математических методов, моделей и алгоритмов. Средства математического обеспечения – типовые задачи, средства моделирования, методы математического программирования, математической статистики, теории массового обслуживания и др.

^ Информационное обеспечение ИС

Информационное обеспечение ИС можно определить как совокупность единой системы классификации, унифицированной системы документации и информационной базы.

Информационное обеспечение ИС включает два комплекса: внешнее («внемашинное») информационное обеспечение (классификаторы технико-экономической информации, документы, методические инструктивные материалы) и внутреннее («внутримашинное») информационное обеспечение (макеты/экранные формы для ввода первичных данных в ПК или вывода результатной информации, структуры информационной базы: входных, выходных файлов, базы данных).

К информационному обеспечению предъявляются следующие общие требования:
• информационное обеспечение должно быть достаточным для поддержания всех автоматизируемых функций объекта;
• для кодирования информации должны использоваться принятые у заказчика классификаторы;
• для кодирования входной и выходной информации, которая используется на высшем уровне управления, должны быть использованы классификаторы этого уровня;
• должна быть обеспечена совместимость с информационным обеспечением систем, взаимодействующих с разрабатываемой системой;
• формы документов должны отвечать требованиям корпоративных стандартов заказчика (или унифицированной системы документации);
• структура документов и экранных форм должна соответствовать характеристиками терминалов на рабочих местах конечных пользователей;
• графики формирования и содержание информационных сообщений, а также используемые аббревиатуры должны быть общеприняты в этой предметной области и согласованы с заказчиком;
• в ИС должны быть предусмотрены средства контроля входной и результатной ин-формации, обновления данных в информационных массивах, контроля целостности информационной базы, защиты от несанкционированного доступа.
Фактически информационное обеспечение – это «наполнение» имеющихся баз данных в ИС. Представим себе, что создана информационная справочная система для туристической фирмы – типичный пример системы информационного сервиса. Решены вопросы архитектуры ИС, разработаны все необходимые системы управления базами данных, созданы формы заявок и т.п., но пока в эту систему не внесли всю необходимую информацию по континентам, странам, городам, отелям, расписаниям самолетов и поездов – системой пользоваться нельзя! Несмотря на прекрасно разработанное программное обеспечение. Аналогичный пример можно привести и с ИС бухгалтерского учета. Необходимо ввести сведения (заполнить классификаторы) по счетам, банкам и т.п.
^ Организационное и правовое обеспечение ИС

Организационное обеспечение ИС - совокупность мероприятий, регламентирующих функционирование и использование технического, программного и информационного обеспечения и определяющих порядок выполнения действий, приводящих к искомому результату.

^ Правовое обеспечение ИС - совокупность норм, выраженных в нормативных актах, устанавливающих и закрепляющих организацию ИС, их цели, задачи, структуру, функции и правовой статус.

В случае, если при обработке и передаче информации в ИС используются алгоритмы шифрования (криптографии), электронно-цифровые подписи (ЭЦП), то данные вопросы должны быть решены в полном соответствии с законодательством.
^ Базовые угрозы информации

Наиболее ценным и критичным ресурсом АС является информационное обеспечение (ИО). В общем случае имеется широкий спектр угроз информационному обеспечению от различных стихийных бедствий до неправильных действий законных пользователей. Все эти многочисленные угрозы можно свести к нескольким базовым угрозам:
• угроза несанкционированного чтения данных;
• угроза несанкционированной записи данных;
• угроза отказа в обслуживании.

^ Угроза несанкционированного чтения данных - интересующие нарушителя файлы могут быть несанкционированно (в обход установленных правил разграничения доступа или вопреки желанию владельца) прочитаны (скопированы) с целью незаконного использования - ознакомления с текстовыми данными, прослушивания звуковых данных, просмотр графических данных, выполнения программных файлов и т.п. С этой базовой угрозой связаны:
• угроза нарушения конфиденциальности хранимой в АС информации;
• угроза несанкционированного использования и распространения программного обеспечения и ряд других аналогичных угроз.

^ Угроза несанкционированной записи данных - файлы могут быть несанкционированно модифицированы или уничтожены. Несанкционированная модификация компонент ИПО может быть проведена с целью внедрения ложных данных в информационное обеспечение или изменения алгоритмов функционирования программ. С этой угрозой связаны:
• угрозы нарушения целостности и достоверности информации;
• угроза внедрения скрытых режимов функционирования программных систем;
• угроза отказа в обслуживании в ходе работы программных систем, и другие.

^ Угроза отказа в обслуживании (угроза нарушения работоспособности АС) - система доступа пользователя к ИО может перестать выполнять запросы пользователя по доступу к ИО (чтение или запись) или сделать время выполнения этих запросов неприемлемо большим. Эта угроза может возникать вследствие:
• ошибок, сбоев или отказов в работе программно-технических средств АС;
• несанкционированной модификации программ, образующих систему доступа пользователя к информационному обеспечению;
• поступлении слишком большого количества запросов на доступ к ИО со сто-роны пользователей и др.

Несмотря на использование различных систем защиты информации, в современных АС невозможно перекрыть все потенциально возможные каналы несанкционированного доступа к ее информационно-программным ресурсам.

^ Основные задачи систем защиты информации

В процессе обеспечения защиты информации, как правило, необходимо решать следующие комплексные задачи:
• создание системы органов, ответственных за защиту информации;
• разработка теоретико-методологической основы защиты информации;
• решение проблемы управления системой защиты информации и ее автоматизации;
• создание и совершенствование нормативно-правовой базы, регламентирующей решение различных задач защиты информации;
• разработка и налаживание производства программно-технических средств защиты информации;
• организация подготовки специалистов по защите информации.

^ Создание системы органов, ответственных за защиту информации. На различных уровнях - общегосударственном, региональном (ведомственном) и уровне компаний, должна быть создана система органов, которые должны эффективно решать все задачи, связанные с защитой информации. Эти органы должны осуществлять:
• управление процессами защиты информации;
• проведение НИР и ОКР соответствующей тематики;
• разработку и производство программно-технических средств защиты информации;
• практическое решение всех задач защиты информации на объектах автоматизации;
• подготовку, повышение квалификации и переподготовку кадров в области защиты информации.

^ Разработка теоретико-методологической основы защиты информации. Для эффективного решения всех задач, связанных с защитой информации, необходимо разработать научно обоснованный базис. Для этого необходимо:
• разработать и обосновать единую терминологию (понятийный аппарат) в области защиты информации;
• проводить накопление и аналитическую обработку всех данных, относящихся к защите информации;
• разработать и обосновать стратегические подходы к решению различных задач защиты информации в современных условиях;
• разрабатывать научно-обоснованные методы решения различных задач защиты информации;
• обосновать структуру и содержание инструментально-методологической базы решения различных задач защиты информации.

^ Решение проблемы управления системой защиты информации и ее автоматизации. Должны быть разработаны методы и технологии управления системами защиты информации различного уровня и назначения. Должна быть предусмотрена возможность управления системами защиты на следующих основных уровнях:
• на общегосударственном уровне (структуры государственной власти);
• на региональном уровне (территориально-промышленные зоны);
• на уровне предприятия.

При этом должно быть предусмотрено два режима управления:
• повседневный - режим планового осуществления мер по защите информации;
• экстренный - режим принятия оперативных решений и осуществления мер по защите информации.

^ Создание и совершенствование нормативно-правовой базы. Должны быть созданы условия, для правового и нормативного регулирования решения всех задач защиты информации. Для этого необходимо:
• обоснование структуры и содержания нормативно - правовой базы;
• разработка и принятие законов, регламентирующих деятельность в области защиты информации;
• разработка, утверждение и распространение системы общегосударственных руководящих и методических материалов по защите информации;
• определение порядка разработки и утверждения руководящих документов по защите информации регионального уровня и уровня предприятия;
• разработка, утверждение и распространение комплектов типовых инструкций по различным аспектам защиты информации.

^ Разработка и налаживание производства программно-технических средств защиты информации. В стране должна быть создана мощная индустрия производства и распространения программно-технических средств защиты информации. Для этого необходимо:
• обоснование и разработка перечня средств защиты информации;
• создание системы предприятий и учреждений, производящих средства защиты информации;
• определение эффективного порядка разработки, производства, сертификации и распространения средств защиты информации, и т. д.

^ Организация подготовки специалистов по защите информации. Необходимо создание системы подготовки специалистов по защите информации, которая должна выпускать необходимое количество специалистов требуемых специализаций. Для решения этой задачи необходимо:
• разработать и научно обосновать концепцию подготовки кадров по защите информации;
• определить перечень учебных заведений, уполномоченных готовить кадры по защите информации, и распределить между ними специализации выпускаемых специалистов,
• организовать набор и подготовку молодых специалистов;
• организовать переподготовку и повышение квалификации специалистов по защите информации;
• организовать подготовку научно-педагогических кадров в области защиты информации.

^ Формирование и проверка цифровой подписи сообщений

Развитие цифровых и компьютерных и сетевых технологий привело к тому, что обмен электронными документами находит все более широкое применение в сфере бизнеса и в административной практике.
За рубежом заключение договоров на основании обмена информацией без использования бумажного носителя стало получать широкое распространение уже в начале 70-х годов. С появлением цифровых интерактивных компьютерных сетей, в том числе Интернета, развитие электронной коммерции совершило качественный скачек.
Однако появление новых технологий наряду с ускорением процессов обмена информацией значительно усложнило решение вопросов о достоверности такой информации, поскольку процесс обмена электронными документами существенным образом отличается от обычного обмена документами на бумажных носителях. Можно привести множество примеров злоупотреблений и мошенничества, совершаемых с использованием новых технологических возможностей. В то же время очевидно, что для широкого применения электронного обмена информацией необходимо обеспечить достаточную степень доверия к содержанию электронных документов, передаваемых с использованием новых технологических средств.
Технически проблема подтверждения подлинности информации, содержащейся в электронном документе, решается путем использования средств электронной цифровой подписи (ЭЦП), которая позволяет установить автора электронного документа и гарантировать неизменность его содержания.

ЭЦП - это специфический "цифровой код", связанный с содержанием электронного документа и позволяющий идентифицировать его отправителя (автора), а также установить отсутствие искажений информации в электронном документе, поскольку в случае внесения в него изменений ЭЦП теряет силу в результате специального криптографического преобразования текста электронного документа. Оно осуществляется с помощью так называемого "закрытого ключа" - уникальной последовательности символов, известной только отправителю электронного документа. Эти "данные" передаются вместе с текстом электронного документа его получателю, который может проверить ЭЦП, используя так называемый "открытый ключ" отправителя - также уникальную, но общедоступную последовательность символов, однозначно связанную с "закрытым ключом" отправителя. Успешная проверка ЭЦП показывает, что электронный документ подписан именно тем, от кого он исходит, и что он не был модифицирован после наложения ЭЦП.

Таким образом, подписать электронный документ с использованием ЭЦП может только обладатель "закрытого ключа", а проверить наличие ЭЦП - любой участник электронного документооборота, получивший "открытый ключ", соответствующий "закрытому ключу" отправителя. Подтверждение принадлежности "открытых ключей" конкретным лицам осуществляет удостоверяющий центр - специальная организация или сторона, которой доверяют все участники информационного обмена. Обращение в удостоверяющие центры позволяет каждому участнику удостовериться, что имеющиеся у него копии "открытых ключей", принадлежащих другим участникам, используемых им для проверки их ЭЦП, действительно принадлежат этим участникам.

Сегодня доверие к ЭЦП, используемым в закрытых (корпоративных) системах обмена информацией, достигается путем заключения специальных соглашений между участниками таких систем. Но для открытых, общедоступных систем электронного документооборота эту проблему возможно решить только путем создания развитой инфраструктуры, опирающейся на надежный правовой фундамент.

Широкое развитие электронного документооборота невозможно, если его участникам не будет предоставлена возможность совершать юридически значимые действия с применением средств электронной связи и защищать свои права, в частности, в случае необходимости представлять электронные документы в качестве судебных доказательств наравне с документами на бумажных носителях. Для этого необходимо законодательно закрепить условия, при которых ЭЦП признается равнозначной собственноручной подписи в документах на бумажных носителях.

ЭЦП основывается на криптографии с открытыми ключами, в которой используются два ключа (коды, уникальные последовательности символов) - закрытый ключ и открытый ключ, причем открытый ключ должен соответствовать закрытому.

Закрытый (секретный, частный, личный) ключ имеется только у отправителя сообщения, а открытый (публичный) предоставляется адресату сообщения. Известный только владельцу ЭЦП закрытый ключ используется для выработки ЭЦП, а общедоступный предназначен для проверки ЭЦП.

Сообщение, преобразованное (зашифрованное) с использованием закрытого ключа, можно проверить с помощью соответствующего открытого ключа, который позволяет установить, что сообщение подписано именно обладателем закрытого ключа. Однако с помощью такого открытого ключа невозможно вычислить, определить закрытый ключ, используемый для создания шифрованных сообщений.

При криптографическом преобразовании электронного документа получается так называемое "хэш-значение" этого документа, иногда именуемое "сверткой сообщения" или "цифровым дайджестом сообщения" (message digest), причем вычисляемое с применением определенного алгоритма "хэш-значение" каждого электронного документа. При внесении малейшего изменения в электронный документ его "хэш-значение" изменяется.

Получатель электронного документа может с помощью открытого ключа отправителя расшифровать указанное отправителем "хэш-значение" и сравнить его с фактическим "хэш-значением" полученного документа. Совпадение обоих "хэш-значений" гарантирует, что электронный документ был подписан именно отправителем (обладателем закрытого ключа) и что в этот документ после подписания не вносились никакие изменения. Если проверяемое соотношение оказывается выполненным, то документ признается подлинным, в противном случае он считается недействительным.

Алгоритм криптографического преобразования должен соответствовать ГОСТу 28147-89 "Процедуры выработки и проверки ЭЦП", а также "хэш-функции" должны соответствовать алгоритмам, определяемым ГОСТами Р 34.10-94 и Р 34.11-94

ЭЦП позволяет гарантировать подлинность информации, содержащейся в электронном документе, а также дает возможность доказать любой третьей стороне (партнеру по сделке, суду), что электронный документ был подписан именно отправителем или по его поручению и именно в том виде, в каком он предъявляется.

Без знания закрытого ключа невозможно подделать ЭЦП или незаметно изменить содержание электронного документа, удостоверенного ЭЦП.

Общедоступный открытый ключ используется для проверки подлинности документа и ЭЦП, а также лишает подписавшее электронный документ лицо возможности оспорить факт его подписания.

Однако получателю сообщения необходимо быть уверенным в том, что предоставленный ему открытый ключ не просто соответствует конкретному закрытому ключу, но и в том, что оба эти ключа принадлежат именно тому лицу, которого получатель сообщения считает отправителем сообщения. Существует возможность распространять свой открытый ключ под чужой фамилией, в связи с чем возникла необходимость в сертификации таких открытых ключей.

Сущность сертификации ключей заключается в том, что открытый ключ вместе с именем владельца соответствующего закрытого ключа подписывается третьей стороной, известной обоим пользователям - удостоверяющим центром. Без такой дополнительной защиты злоумышленник может представить себя отправителем подписанных данных. Поэтому криптография с открытыми ключами требует наличия развитой инфраструктуры открытых ключей (PKI - Public Key Infrastructure) - системы удостоверяющих центров, основы для создания которой закреплены в Законе об ЭЦП. Открытый ключ, подписанный цифровой подписью удостоверяющего центра, называется сертификатом ключа подписи.

Таким образом, для заверения электронного документа используется ЭЦП его отправителя, а для заверения электронного сертификата, подтверждающего принадлежность используемого для проверки ЭЦП открытого ключа конкретному лицу, применяется ЭЦП удостоверяющего центра, являющегося основным элементом системы использования ЭЦП.

Удостоверяющий центр (сертифицирующий центр, англ. - certification authority, используются также термины Trust Center и Trustcenter) - это лицо, которое удостоверяет связь открытых ключей подписи с определенным физическим лицом. Любое лицо - пользователь открытого ключа ЭЦП (лицо, которое желает идентифицировать владельца ЭЦП при помощи сертификата ключа ЭЦП) вправе обратиться к удостоверяющему центру, выдавшему сертификат данного ключа, за подтверждением информации, содержащейся в сертификате, а также за проведением проверки ЭЦП. В соответствии с требованиями Закона об ЭЦП и Федерального закона "О лицензировании отдельных видов деятельности" деятельность удостоверяющих центров подлежит лицензированию.

Законом об ЭЦП предусмотрено создание трехуровневой системы использования ЭЦП: обменивающиеся электронными документами владельцы и пользователи сертификатов ЭЦП ("клиенты"), выдающие сертификаты ЭЦП удостоверяющие центры и контролирующий деятельность этих центров федеральный орган исполнительной власти. Причем в отношении удостоверяющих центров такой федеральный орган исполнительной власти сам выполняет роль своеобразного удостоверяющего центра, ведущего реестр сертификатов ключей ЭЦП, которыми пользуются остальные удостоверяющие центры при работе с клиентами.

Заслуживает особого рассмотрения вопрос об определении владельца ЭЦП, именуемого в Законе об ЭЦП владельцем сертификата ключа подписи. В соответствии с российским Законом об ЭЦП ее владельцем может быть только физическое лицо. Такой подход принят и в европейском законодательстве. Так, по германскому законодательству ЭЦП может принадлежать только физическому лицу.

Как и в случае с собственноручной подписью, физическое лицо может действовать от имени юридического лица, но на такое полномочие обязательно должно быть указано в сертификате ключа подписи.

Добавить документ в свой блог или на сайт

Похожие:

Подготовка к экзамену Базовая часть iconПрограмма Производственной практики для специальности 080110 «Банковское...
Разработана в соответствии с Федеральным государственным образовательным стандартом среднего профессионального образования и соответствует...

Подготовка к экзамену Базовая часть iconРабочая программа дисциплины
Дисциплина «Отечественная история» относится к гуманитарному циклу дисциплин (базовая часть)

Подготовка к экзамену Базовая часть iconБазовая часть
Балльно-рейтинговая оценка педагогической практики бакалавров 2 курса физико-математического факультета фгбоу впо «угпу им. И. Н....

Подготовка к экзамену Базовая часть iconРабочая программа учебной дисциплины
Данная учебная дисциплина входит в раздел «б общепрофессиональный цикл. Базовая часть» фгос-3 по направлению подготовки впо 540600...

Подготовка к экзамену Базовая часть iconЭкзаменационные вопросы пм. 03. Оптимизация ресурсов организаций...
Теоретические вопросы мдк 03. 01. Оптимизация ресурсов организации (подразделений)

Подготовка к экзамену Базовая часть iconРабочая программа дисциплины Международное право ( Б14.)
Учебная дисциплина «Международное право» относится к бз профессиональному циклу ( бз. Б. Базовая часть)

Подготовка к экзамену Базовая часть iconЗадача 1
Задача При подготовке к экзамену студент за дней изучает часть курса, а забывает часть. Сколько дней нужно затратить на подготовку,...

Подготовка к экзамену Базовая часть iconУчебник персонального тренера
В подготовке руководства принимали участие: д м н., профессор Тхоревский В. И. (часть 1,3,4/7); Калашников Д. Г. (часть 1,3,4,6,8,9,10);...

Подготовка к экзамену Базовая часть iconПрограмма Производственной практики по специальности среднего профессионального...
Целью практики является закрепление теоретических знаний по бухгалтерскому учёту и смежным с ним дисциплинам, приобретение практических...

Подготовка к экзамену Базовая часть iconУчреждение высшего профессионального образования «башкирский государственный...
Данная учебная дисциплина входит в раздел «б профессиональный цикл. Базовая (обязательная) часть» фгос впо по направлению подготовки...

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
zadocs.ru
Главная страница

Разработка сайта — Веб студия Адаманов