Электронно-цифровая подпись и ее значение в информационном обеспечении управления. Федеральный закон «Об электронной цифровой подписи»

ЙОУ

8. Электронно-цифровая подпись и ее значение в информационном обеспечении управления. Федеральный закон «Об электронной цифровой подписи».

Основной проблемой использования электронных документов является подтверждение их юр. силы  поскольку не существует способов как-либо идентифицировать копии эл.документа. Поэтому возникла необходимость в разработке методов подтверждающих подлинность эл.док-тов. Таким методом стала разработка эл.цифровой подписи. Технология ЭЦП основана на криптографических преобразованиях и позволяет с высокой степенью надежности предупредить возможность несанкционированного прочтения защищенного ЭЦП сообщения. Организация защищённой ЭЦП переписки между отправителем и получателем невозможна без участия 3-ей стороны. Основная задача которой заключается в подтверждении подлинности участников переписки. Таким посредником может выступать:

А) при использовании корпоративных ЭЦП внутри организации АС ДП

Б) в защищенной переписке между предприятиями гарантом подлинности выступает удостоверяющий центр.

Впервые закон об ЭЦП был принят в РФ в 2002г. В 2011 принят новый закон №63 Фз от 4.04.11 «Об эл.подписи» . Закон дает понятие:

1.      Эл. Подпись – это информация в эл.форме которая присоединена к другой информации в эл. форме (подписываемой информацией) или иным образом связана с такой информацией и которая используется для определения лица подписываемого информацию.

5. Информационная инфраструктура организации.

Информационная инфраструктура (ИИ) – это организация взаимодействия информационных потоков (при этом несущественно какой носитель).

Создание ИИ, использующей компьютерные технологии подразумевает комплекс мероприятий который включает в себя:

- организационные мероприятия (определение структуры документов и маршрутов их движения, определение ответственности за виды проводимых мероприятий, определение правил организации разработки программ и структуры базы данных, способы финансирования и другие);

- технические мероприятия (приобретение, установка и техническое обеспечение эксплуатации оборудования, создание кабельной системы);

- определение системного программного обеспечения которое будет использоваться в организации и создание LAN как программно- технического комплекса (установка системного программного обеспечения, организация маршрутизации между подсетями, администрирование сети и работа с пользователями сети);

- обучение сотрудников организации;

- использование при работе с документами стандартного программного обеспечения, организация почтовой службы, организация доступа к Internet;

- проектирование и разработку программных продуктов и создание информационно-аналитической системы (ИАС);

- обеспечение безопасности информации;

- работу службы эксплуатации и внедрения;

- наполнение базы данных;

Обеспечением создания ИИ, использующей компьютерные технологии должны обеспечивать следующие службы (отделы или лаборатории):

1. Техническая служба. Функции – работы по монтажу LAN, установка оборудования, ремонт и замена оборудования.

2. Служба эксплуатации и внедрения. Функции – работа с Заказчиком приложений ИАС по постановке задачи, установка приложений ИАС, подготовка заданий для группы разработки программного обеспечения, обучение персонала.

3. Группа разработки программного обеспечения.

Информационно-аналитическая система (ИАС) как часть программной поддержки информационной структуры организации

ИАС – это часть программной поддержки информационной инфраструктуры организации, обеспечивающая специальные задачи управления.

КИТ

10 Технология баз данных в электронном документообороте: назначение, содержание, место

Для организации хранения большого объема информации, доступа к ней и выполнения справочно-информационной работы используется технология баз данных. Также технология баз данных позволяет автоматизировать выполнение различных делопроизводственных функций: регистрацию документов и контроль их исполнения, осуществление справочной работы по документам организации, составление описей документов длительного срока хранения перед сдачей в архив, получение по истечении делопроизводственного года выборки в виде акта о выделении документов, сроки которых истекли, к уничтожению и другие. Наряду с этим, базы данных позволяют получить справку по законодательной базе, по системе нормативно-методических документов, определяющих порядок решения рассматриваемого вопроса. Самое большое распространение для организации баз данных получила система Access пакета Ms Office. Это объясняется ее простотой в освоении, удобством в эксплуатации, большим спектром функциональных обязанностей.

14 Угрозы информационной безопасности и принципы, методы, технологии их предотвращения в электронном документообороте

Понятие «информационная безопасность» рассматривается в следующих значениях:

· состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.);

· деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации»).

Организационно-технические и режимные меры и методы

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy)-- совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy)-- правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

· Защита объектов информационной системы;

· Защита процессов, процедур и программ обработки информации;

· Защита каналов связи;

· Подавление побочных электромагнитных излучений;

· Управление системой защиты.

При этом, по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

· Определение информационных и технических ресурсов, подлежащих защите;

· Выявление полного множества потенциально возможных угроз и каналов утечки информации;

· Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

· Определение требований к системе защиты;

· Осуществление выбора средств защиты информации и их характеристик;

· Внедрение и организация использования выбранных мер, способов и средств защиты;

· Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях -- для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799--2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, огранизацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Программно-технические способы и средства обеспечения информационной безопасности.