 |
Комбинированный метод
|
|
|
|
Рисунок 4 Схема комбинированного шифрования.
Доверие к открытому ключу и цифровые сертификаты
Центральным вопросом схемы открытого распределения ключей является вопрос доверия к полученному открытому ключу партнера, который в процессе передачи или хранения может быть модифицирован или подменен.
Для широкого класса практических систем (системы электронного документооборота, системы Клиент-Банк, межбанковские системы электронных расчетов), в которых возможна личная встреча партнеров до начала обмена ЭД, эта задача имеет относительно простое решение - взаимная сертификация открытых ключей.
Эта процедура заключается в том, что каждая сторона при личной встрече удостоверяет подписью уполномоченного лица и печатью бумажный документ - распечатку содержимого открытого ключа другой стороны. Этот бумажный сертификат является, во-первых, обязательством стороны использовать для проверки подписи под входящими сообщениями данный ключ, и, во-вторых, обеспечивает юридическую значимость взаимодействия. Действительно, рассмотренные бумажные сертификаты позволяют однозначно идентифицировать мошенника среди двух партнеров, если один из них захочет подменить ключи.
Таким образом, для реализации юридически значимого электронного взаимодействия двух сторон необходимо заключить договор, предусматривающий обмен сертификатами. Сертификат представляет собой документ, связывающий личностные данные владельца и его открытый ключ. В бумажном виде он должен содержать рукописные подписи уполномоченных лиц и печати.
В системах, где отсутствует возможность предварительного личного контакта партнеров, необходимо использовать цифровые сертификаты, выданные и заверенные ЭЦП доверенного посредника - удостоверяющего или сертификационного центра.
|
|
|
Взаимодействие клиентов с Центром Сертификации
На предварительном этапе каждый из партнеров лично посещает Центр Сертификации (ЦС) и получает личный сертификат - своеобразный электронный аналог гражданского паспорта.
Рисунок 5 Сертификат х.509.
После посещения ЦС каждый из партнеров становится обладателем открытого ключа ЦС. Открытый ключ ЦС позволяет его обладателю проверить подлинность открытого ключа партнера путем проверки подлинности ЭЦП удостоверяющего центра под сертификатом открытого ключа партнера.
В соответствии с законом "Об ЭЦП" цифровой сертификат содержит следующие сведения:
• Наименование и реквизиты центра сертификации ключей (центрального удостоверяющего органа, удостоверяющего центра);
• Свидетельство, что сертификат выдан в Украине;
• Уникальный регистрационный номер сертификата ключа;
• Основные данные (реквизиты) подписчика – собственника приватного (открытого) ключа;
• Дата и время начала и окончания срока действия сертификата;
• Открытый ключ;
• Наименование криптографического алгоритма, используемого владельцем открытого ключа;
• Информацию об ограничении использования подписи;
• Усиленный сертификат ключа, кроме обязательных данных, которые содержатся в сертификате ключа, должен иметь признак усиленного сертификата;
• Другие данные могут вноситься в усиленный сертификат ключа по требованию его владельца.
Этот цифровой сертификат подписан на секретном ключе ЦС, поэтому любой обладатель открытого ключа ЦС может проверить его подлинность. Таким образом, использование цифрового сертификата предполагает следующую схему электронного взаимодействия партнеров. Один из партнеров посылает другому собственный сертификат, полученный из ЦС, и сообщение, подписанное ЭЦП. Получатель сообщения осуществляет проверку подлинности сертификата партнера, которая включает:
|
|
|
• проверку доверия эмитенту сертификата и срока его действия;
• проверку ЭЦП эмитента под сертификатом;
• проверку аннулирования сертификата.
В случае если сертификат партнера не утратил свою силу, а ЭЦП используется в отношениях, в которых она имеет юридическое значение, открытый ключ партнера извлекается из сертификата. На основании этого открытого ключа может быть проверена ЭЦП партнера под электронным документом (ЭД).
Важно отметить, что в соответствии с законом "Об ЭЦП" подтверждением подлинности ЭЦП в ЭД является положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи.
ЦС, обеспечивая безопасность взаимодействия партнеров, выполняет следующие функции:
• регистрирует ключи ЭЦП;
• создает, по обращению пользователей, закрытые и открытые ключи ЭЦП;
• приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;
• ведет реестр сертификатов ключей подписей, обеспечивает актуальность реестра и возможность свободного доступа пользователей к реестру;
• выдает сертификаты ключей подписей на бумажных носителях и в виде электронных документов с информацией об их действительности;
• проводит, по обращениям пользователей, подтверждение подлинности (действительности) подписи в ЭД в отношении зарегистрированных им ЭЦП.
В ЦС создаются условия безопасного хранения секретных ключей на дорогом и хорошо защищенном оборудовании, а также условия администрирования доступа к секретным ключам.
Регистрация каждой ЭЦП осуществляется на основе заявления, содержащего сведения, необходимые для выдачи сертификата, а также сведения, необходимые для идентификации ЭЦП обладателя и передачи ему сообщений. Заявление подписывается собственноручной подписью обладателя ЭЦП, содержащиеся в нем сведения подтверждаются предъявлением соответствующих документов. При регистрации проверяется уникальность открытых ключей ЭЦП в реестре и архиве ЦС.
При регистрации в ЦС на бумажных носителях оформляются два экземпляра сертификата ключа подписи, которые заверяются собственноручными подписями обладателя ЭЦП и уполномоченного лица удостоверяющего центра (УЦ) и печатью удостоверяющего центра. Один экземпляр выдается обладателю ЭЦП, второй остается в УЦ.
|
|
|
В реальных системах каждым партнером может использоваться несколько сертификатов, выданных различными ЦС. Различные ЦС могут быть объединены инфраструктурой открытых ключей или PKI (PKI - Public Key Infrastructure). ЦС в рамках PKI обеспечивает не только хранение сертификатов, но и управление ими (выпуск, отзыв, проверку доверия). Наиболее распространенная модель PKI - иерархическая. Фундаментальное преимущество этой модели состоит в том, что проверка сертификатов требует доверия только относительно малому числу корневых ЦС. В то же время эта модель позволяет иметь различное число ЦС, выдающих сертификаты.
Организационная защита информации — это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.Организационная защита обеспечивает:
· организацию охраны, режима, работу с кадрами, с документами;
· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
Организационная защита включает в себя регламентацию:
1) Формирования и организации деятельности службы безопасности, обеспечения деятельности этих служб нормативно-методическими документами по организации защиты информации.
2) Составления и регулярного обновления состава защищаемой информации компании, составления и ведения перечня защищаемых бумажных и электронных документов.
3) Разрешительной системы разграничения доступа персонала к защищаемой информации.
4) Методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников.
5) Направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации.
|
|
|
6) Технологии защиты, обработки и хранения бумажных и электронных документов.
7) Порядка защиты ценной информации компании от случайных или умышленных несанкционированных действий персонала.
8) Ведения всех видов аналитической работы.
9) Порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями СМИ.
10) Оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией.
11) Пропускного режима на территории, в здании, помещениях, идентификации транспорта и персонала компании.
12) Системы охраны территории.
13) Действий персонала в экстремальных ситуациях.
14) Организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны.
15) Работы по управлению системой защиты информации.
16) Критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.
Система организационных мер по защите информации представляют собой комплекс мероприятий, включающих четыре основных компонента:
— изучение обстановки на объекте;
— разработку программы защиты;
— деятельность по проведению указанной программы в жизнь;
— контроль за ее действенностью и выполнением установленных правил.
Выделяют следующие организационные мероприятия:
— ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
— организация надежной охраны помещений и территории прохождения линии связи;
— организация, хранения и использования документов и носителей конфиденциальной информации, включая порядок учета, выдачи, исполнения и возвращения;
— создание штатных организационных структур по защите ценной информации или назначение ответственного за защиту информации на конкретных этапах еѐ обработки и передачи;
— создание особого порядка взаимоотношений со сторонними организациями и партнерами;
— организация конфиденциального делопроизводства.
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.
|
|
|
