Безпека електронного документообігу

Матеріал з Wiki TNEU
Перейти до: навігація, пошук

nuvwl9 <a href="http://avegwaugurxt.com/">avegwaugurxt</a>, [url=http://mrcorogwgapb.com/]mrcorogwgapb[/url], [link=http://eshfxwbljova.com/]eshfxwbljova[/link], http://hkythjtjlwwc.com/

http://flomaxonlinebuy.carbonmade.com#63993 buy flomax united states - buy tamsulosin 0.4 mg http://fosamaxonline.carbonmade.com#47943 fosamax order online - fosamax purchase http://buyciproonline.carbonmade.com#27669 buy ciprofloxacin online - buy cipro online no rx

http://health4med.blog.com/buytopamax#11505 purchase topamax - cheap topamax online

http://buyinderal.webstarts.com#89978 propranolol - buy propranolol england

http://www.buypropecia-pharmacy.com/propecia-price.html#65096 propecia - propecia online

Конфіденційність та забезпечення достовірності документів

Величезною перевагою для конфіденційності інформації мають криптографічні методи захисту даних. Їх застосування не дозволять порушити конфіденційність документу навіть у разі його потрапляння до рук сторонньої особи. Не варто забувати, що будь-який криптографічний алгоритм володіє такою властивістю як криптостійкість, тобто і для його захисту є певна межа. Немає шифрів, які не можна було б зламати - це лише питання часу і коштів. Ті алгоритми, які ще кілька років тому вважалися надійними, сьогодні вже успішно демонстративно підбираються. Тому для збереження конфіденційності слід переконатися, що за час, витрачений на злом зашифрованої інформації, вона безнадійно застаріє або кошти, витрачені на її злом, перевищать вартість самої інформації.

Крім того, не варто забувати про організаційні заходи захисту. Якою б ефективною криптографія не була, ніщо не завадить третій особі прочитати документ, наприклад, стоячи за плечима людини, яка має доступ до нього. Або розшифрувати інформацію, скориставшись ключем що валяється в столі співробітника.

Сьогодні основним і практично єдиним з запропонованих на ринку рішенням для забезпечення достовірності документа є электронно-цифровий підпис (ЕЦП). Основний принцип роботи ЕЦП заснований на технології шифрування з асиметричним ключем. Тобто ключі для шифрування і розшифровки даних різні. Є закритий ключ, який дозволяє шифрувати інформацію, і є "відкритий ключ, за допомогою якого можна цю інформацію розшифрувати, але з його допомогою неможливо "зашифрувати" цю інформацію. Таким чином, власник "підписа" повинен володіти "закритим" ключем і не допускати його передачу іншим особам, а "відкритий" ключ може поширюватися публічно для перевірки справжності підпису, отриманого за допомогою "закритого ключа"

Для наочності ЕЦП можна представити як дані, отримані в результаті спеціального криптографічного перетворення тексту електронного документа. Воно здійснюється за допомогою так званого "закритого ключа" - унікальної послідовності символів, відомою тільки відправнику електронного документа. Ці дані передаються разом з текстом електронного документа його одержувачу, який може перевірити ЕЦП, використовуючи так званий "відкритий ключ відправника" - також унікальну, але загальнодоступну послідовність символів, однозначно пов'язану з "закритим ключем" відправника. Успішна перевірка ЕЦП показує, що електронний документ підписаний саме тим, від кого він виходить, і що він не був модифікований після накладення ЕЦП.

Таким чином, підписати електронний документ з використанням ЕЦП може тільки власник "закритого ключа", а перевірити наявність ЕЦП - будь-який учасник електронного документообігу, що отримав "відкритий ключ", відповідний "закритого ключа" відправника. Підтвердження належності "відкритих ключів" конкретним особам здійснює засвідчувальний центр - спеціальна організація або сторона, якій довіряють всі учасники інформаційного обміну. Звернення в засвідчувальні центри дозволяє кожному учаснику переконатися, що наявні у нього копії "відкритих ключів", що належать іншим учасникам (для їх перевірки ЕЦП), дійсно належать цим учасникам.

Більшість виробників СЕД вже мають вбудовані у свої системи, власноруч розроблені або партнерські кошти для використання ЕЦП, як, наприклад, у системах Directum або "Євфрат-Документообіг". Такої тісної інтеграції з ЕЦП чимало сприяв вихід федерального закону про ЕЦП (№1-ФЗ від 10.01.2002р.), в якому електронний цифровий підпис був визнаний тим, що має юридичну силу поряд з власноручним підписом. Варто відмітити, що відповідно до законів РФ, свою систему електронним цифровим підписом може розробляти тільки компанія, що має на це відповідну ліцензію від ФАУЗІ (нині від ФСБ). Так само як і компанія, що використовує у своїх розробках ЕЦП, повинна мати ліцензію від органів державної влади.

Протоколювання дій користувачів - важливий пункт захисту електронного документообігу. Його правильна реалізація в системі дозволить відстежувати всі неправомірні дії і знайти винуватця, а при оперативному втручанні навіть зупинити спробу неправомірних або завдаючих шкоди дій. Така можливість обов'язково повинна бути присутньою в самій СЕД. Крім того, додатково можна скористатися рішеннями сторонніх розробників і партнерів, чиї продукти інтегровані з СЕД. Говорячи про партнерські рішення, насамперед йдеться про СУБД і сховищах даних, будь-який подібний продукт великих виробників, таких як Microsoft або Oracle, наділений цими коштами. Також не варто забувати про можливості операційних систем з протоколювання дій користувачів і рішеннях сторонніх розробників в цій області.


ВИСНОВКИ

Підхід до захисту електронного документообігу має бути комплексним. Необхідно тверезо оцінювати можливі загрози і ризики СЕД і величину можливих втрат від реалізованих загроз. Як вже говорилося, захист СЕД не зводиться лише до захисту документів і розмежування доступу до них. Залишаються питання захисту апаратних засобів системи, персональних комп'ютерів, принтерів та інших пристроїв; захисту мережного середовища, в якій функціонує система, захист каналів передачі даних і мережевого устаткування, можливе виділення СЕД в особливий сегмент мережі. Комплекс організаційних заходів грають роль на кожному рівні захисту, але їм, на жаль, часто нехтують. Адже тут і інструктаж, і підготовка звичайного персоналу до роботи з конфіденційною інформацією. Погана організація може звести нанівець усі технічні заходи, як досконалі вони б не були.

Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти