Бедность в России

     В отечественной литературе прижились  три термина для определения  одного понятия: электронная подпись; электронно-цифровая подпись (ЭЦП); цифровая подпись. Последний вариант является прямым переводом английского словосочетания digital signature. Термин «цифровая подпись» более удобен и точен.

     Федеральные органы государственной власти, органы государственной  власти субъектов Российской Федерации, органы местного самоуправления,   а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов, организаций.

     Содержание  документа на бумажном носителе, заверенного  печатью и преобразованного в электронный документ, в соответствии с нормативными  правовыми актами или соглашением сторон может заверяться электронной цифровой подписью уполномоченного лица.

     В случаях, установленных законами и  иными нормативными правовыми актами Российской Федерации или соглашением сторон, электронная цифровая подпись в электронном документе, сертификат которой содержит необходимые при осуществлении данных отношений сведения о правомочиях его владельца, признается равнозначной собственноручной подписи лица в документе на бумажном носителе, заверенном печатью.

     Электронная цифровая подпись - реквизит электронного документа, предназначенный для  защиты данного электронного документа  от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.⁸

     Электронная цифровая подпись представляет собой  последовательность символов, полученная в результате криптографического преобразования электронных данных. ЭЦП добавляется к блоку данных и позволяет получателю блока проверить источник и целостность данных и защититься от подделки. ЭЦП используется в качестве аналога собственноручной подписи⁹.

     Электронная цифровая подпись в электронном  документе равнозначна  собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

     - сертификат ключа подписи, относящийся  к этой электронной цифровой  подписи, не утратил силу (действует)  на момент проверки или на  момент подписания электронного документа при  наличии доказательств, определяющих момент подписания. Сертификат ключа  подписи  - это документ на бумажном носителе или электронный  документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для  подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

     - подтверждена подлинность электронной  цифровой подписи в электронном документе. Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия  искажений в подписанном данной электронной цифровой подписью электронном документе;

     - электронная цифровая подпись  используется в соответствии  со сведениями, указанными в сертификате ключа подписи.

     ЭЦП, как и другие реквизиты документа, выполняющие удостоверительную функцию (собственноручная подпись, печать и др.), является средством, обеспечивающим конфиденциальность информации.

     Механизм  выполнения собственноручной (физической) подписи непосредственно обусловлен психофизиологическими характеристиками организма человека, в силу чего эта подпись неразрывно связана с биологической личностью подписывающего. Собственноручная подпись позволяет установить (идентифицировать) конкретного человека по признакам почерка.

     ЭЦП, являясь криптографическим средством, не может рассматриваться в качестве свойства, присущего непосредственно владельцу ЭЦП как биологической личности. Между ЭЦП и человеком, ее поставившим  существует взаимосвязь не биологического, а социального характера. Возникновение, существование и прекращение данной связи обусловлено совокупностью различных правовых, организационных и технических факторов.

     Отождествление  человека по собственноручной подписи  и подтверждение на этой основе подлинности документа, которой он заверен, достигается путем проведения судебно-почерковедческой экспертизы, решающей данную идентификационную задачу.

     Определение подлинности ЭЦП  свидетельствует  только о знании лицом, ее поставившим, закрытого ключа ЭЦП. Для того чтобы установить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо выяснить помимо подлинности ЭЦП и указанные выше факторы.

     Задача  установления факта удостоверения  электронного документа ЭЦП владельцем сертификата ключа подписи решается в результате процессуальной деятельности по доказыванию в ходе судебного разбирательства.

     3. Информационная БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ

     3.1. Концепция информационной безопасности предприятия

 

     Отличительным признаком коммерческой деятельности является соизмерение затрат и результатов  работы, стремление к получению максимальной прибыли. Кроме того, одной из отличительных особенностей коммерческой деятельности является то, что она осуществляется в условиях жесткой конкуренции, соперничества, борьбы предприятий за получение выгод и преимуществ по сравнению с предприятиями аналогичного профиля.

     Конкурентная  борьба это спутник и движитель  коммерческой деятельности, а также  условие выживания коммерческих предприятий. Отсюда их стремление сохранить в секрете от конкурента приемы и особенности своей деятельности, которые обеспечивают им преимущество над конкурентом. Отсюда и стремление конкурентов выявить эти секреты, чтобы использовать их в своих интересах для получения превосходства в конкурентной борьбе. Несанкционированное получение, использование (разглашение) таких секретов без согласия их владельцев отнесены к одной из форм недобросовестной конкуренции, называемой промышленным шпионажем.

     Защищаемые  секреты коммерческой деятельности получили название коммерческой тайны. Под коммерческой тайной предприятия  понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка), которых может нанести ущерб его интересам.

     В Гражданском кодексе РФ изложены основания отнесения информации к коммерческой тайне: информация составляет коммерческую тайну в случае, когда она имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам, к ней нет доступа на законном основании и обладатель (носитель) информации принимает меры к охране ее конфиденциальности.

     Нарушение статуса любой информации заключается  в нарушении ее логической структуры  и содержания, физической сохранности  ее носителя, доступности для правомочных пользователей. Нарушение статуса конфиденциальной информации дополнительно включает нарушение ее конфиденциальности или закрытости для посторонних лиц.

     Уязвимость  информации следует понимать, как  неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т. е. таким воздействиям, которые нарушают ее установленный статус. ¹⁰

     Уязвимость  информации проявляется в различных  формах. К таким формам, выражающим результаты дестабилизирующего воздействия  на информацию, относятся:

     - хищение носителя информации  или отображенной в нем информации (кража);

     - потеря носителя информации (утеря);

     - несанкционированное уничтожение  носителя информации или отображенной в нем информации (разрушение);

     - искажение информации (несанкционированное  изменение, подделка, фальсификация);

     - блокирование информации;

     - разглашение информации (распространение,  раскрытие ее содержания).

     Та  или иная форма уязвимости информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия. Такими источниками могут быть: люди, технические средства обработки и передачи информации, средства связи, стихийные бедствия и др.

     Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.

     Реализация  форм проявления уязвимости информации приводит или может привести к  двум видам уязвимости - утрате или утечке информации.

     Утечка  информации в компьютерных системах может быть допущена как случайно, так и преднамеренно, с использованием технических средств съема информации.

     Средства  противодействию случайной утечки информации, причиной которой может  быть программно-аппаратный сбой или  человеческий фактор, могут быть разделены на следующие основные функциональные группы: дублирование информации, повышение надёжности компьютерных систем, создание отказоустойчивых компьютерных систем, оптимизация взаимодействия человека и компьютерной системы, минимизация ущерба от аварий и стихийных бедствий (в том числе, за счет создания распределённых компьютерных систем), блокировка ошибочных операций пользователей.

     К утрате информации приводят хищение  и потеря носителей информации, несанкционированное  уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной, но в любом случае она наносит ущерб собственнику информации.

     Несанкционированный доступ — это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

     Наиболее  распространенными путями несанкционированного доступа к информации являются:

     • перехват электронных излучений;

     • принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;

     • применение подслушивающих устройств (закладок);

     • дистанционное фотографирование;

     • перехват акустических излучений и восстановление текста принтера;

     • копирование носителей информации с преодолением мер защиты

     • маскировка под зарегистрированного пользователя;

     • маскировка под запросы системы;

     • использование программных ловушек;

     • использование недостатков языков программирования и операционных систем;

     • незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;

     • злоумышленный вывод из строя механизмов защиты;

     • расшифровка специальными программами зашифрованной: информации;

     • информационные инфекции.

     Перечисленные пути несанкционированного доступа  требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки — это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации — канал утечки.