- •Правовые вопросы Являются ли цифровые подписи настоящими подписями? Будут ли они признаны судом?
- •Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от
- •Законы Российской Федерации Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы
- ••правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб ее собственнику,
- •соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);
- •Государственная система защиты информации
- •предприятий, располагающих такой информацией, и должны осуществляться в установленном нормативными документами » порядке
- ••общая организация сил, создание средств защиты информации и средств контроля эффективности ее защиты;
- •Структура государственной системы защиты информации РФ
- •В соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации",
- ••участие в разработке и реализации мер по защите сведений, составляющих государственную тайну;
- •за ними конкретные виды деятельности и области защиты информации (Приложение 1 к данному
- ••деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- •помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения
- ••(ФАПСИ) система сертификации средств криптографической защиты информации (система сертификации СКЗИ) №РОСС RU .
- •(утвержденных решением Председателя Гостехкомиссии России от 25 июля 1997 г.), которые в соответствии
- •-"Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов"
- ••ГОСТ 29339-92 "Информационная технология. Защита информации от утечки за счет ПЭМИН при ее
- ••ГОСТ Р 34.11 -94 «Функция хеширования»
- •Новый стандарт основан на математическом аппарате эллиптических кривых. Внедрение схемы ЭЦП на базе
- •Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального
- •Федеральный закон «Об электронной цифровой подписи» (№ 1 -ФЗ, подписан президентом РФ 10
- •ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых
- •включающий в себя открытый ключ ЭЦП, которые выдаются удостоверяющим центром участнику информационной системы
- ••пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения
- ••При этом закон обеспечивает правовую основу для использования электронных технологий, определяет права и
- •Закон устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая
- ••сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует)
- •подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной
- •Физические и юридические лица являются собственниками тех документов (массивов документов), которые созданы за
- •Информация с ограниченным доступом делится, в свою очередь, на информацию, отнесенную к государственной
- •♦документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию,
- •Персональные данные (информация о гражданах) относятся к конфиденциальной информации. Подлежит обязательному лицензированию деятельность
- •Обязательные бесплатные экземпляры — экземпляры различных видов документов, подлежащие безвозмездной передаче их производителями
- •♦ издания для слепых, изготавливаемые рельефно-точечным шрифтом по системе Брайля, и «говорящие книги»;
- •♦шестнадцать обязательных бесплатных экземпляров книг, брошюр, альбомов, продолжающихся изданий, журналов, географических карт и
- •Законодательством также определена обязанность изготовителей перечисленных выше документов предоставлять государству до 300 платных
- •Порядок ведения государственного учета и регистрации баз данных определен Временным положением о государственном
- •В каталоге приводятся наименования, описания, объемы баз данных, содержащих сведения об организациях и
- •ООО «Международное Бюро Информации и Телекоммуникаций» (МБИТ)
- •Государственный комитет РФ по статистике (Госкомстат), Государственный комитет РФ но стандартизации, метрологии и
- •научно- технической информации, включая территориальные фонды научно-технической литературы и документации, а также автоматизированные
- •ЕНИРы и т.п.) по различным отраслям: строительство, топливно- энергетический комплекс, торговля и т.п.
- •Все документы снабжены комментариями и разъяснениями специалистов В системе представлены все типы правовой
- •На информационно-правовом сервере КАДИС www.kadis.net в свободном доступе публикуется ежедневный мониторинг новостей законодательства,
- •Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий
- •Стандартизированные определения:
- •Информационная безопасность (англ. information security)[5] — все аспекты, связанные с определением, достижением и
- •Первый уровень правовой основы защиты информации
- •Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к компьютерной информации,
- •Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи»
- •Третий уровень правового обеспечения системы защиты экономической информации
- •Организационно-технические и режимные меры и методы:
- •Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
- •-Осуществление выбора средств защиты информации и их характеристик; -Внедрение и организация использования выбранных
- •Журналирование (так же называется Аудит).
- •Системы аутентификации Пароль; Сертификат; Биометрия.
- •Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
- •Постановления правительства РФ; Нормативные правовые акты федеральных министерств и ведомств;
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа -"Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с определенным уровнем конфиденциальности и в указанный в "Аттестате соответствия" период времени.
Обязательной аттестации подлежат объекты информатики, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатики
Федеральный закон «Об электронной цифровой подписи» (№ 1 -ФЗ, подписан президентом РФ 10 января 2002 г.) определяет основные понятия, связанные с ЭЦП следующим образом:
•электронный документ - документ, в котором информация представлена в электронно-цифровой форме;
•электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографичес- кого преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
•средства ЭЦП - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций -создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого
ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
•сертификат средства ЭЦП - документ на бумажном носителе, выданный соответствии с правилами системы сертификации для подтверждения соответствия средства ЭЦП установленным требованиям;
•закрытый ключ ЭЦП - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП;
•открытый ключ ЭЦП - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности электронной цифровой подписи в электронном документе;
•сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью
уполномоченного лица удостоверяющего центра,
включающий в себя открытый ключ ЭЦП, которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
•владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств ЭЦП создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);
•подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанное данной электронной цифровой подписью электронного документе;
•пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;
•информационная система общего пользования - информационная система, которая открыта для пользования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
•корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
•Основной целью данного Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе
на бумажном носителе.
•При этом закон обеспечивает правовую основу для использования электронных технологий, определяет права и обязанности автора подписи, технологию удостоверения подписи. Закон определяет условия использования ЭЦП в электронных документах органами государственной власти и государственными организациями, а также юридическими и физическими лицами В законе устанавливаются права и обязанности обладателя электронной цифровой подписи. Определены требования к сертификату ключа подписи, выдаваемому удостоверяющим центром для обеспечения возможности подтверждения подлинности ЭЦП. Устанавливается состав сведений, содержащихся в сертификате ключа подписи, срок и порядок его хранения, а также порядок ведения реестров сертификатов
•В законе устанавливаются правовой статус удостоверяющих центров, их функции. Определяются отношения этих центров с уполномоченным федеральным органом исполнительной власти, который ведет единый государственный реестр сертификатов ключей подписей удостоверяющих центров.
Закон устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая организация.
Закон исходит из того, что деятельность удостоверяющего центра по выдаче сертификатов ключей подписи в информационных системах общего пользования подлежит лицензированию.
Законом предусматривается защита прав лиц, использующих ЭЦП в процессах электронного обмена документами, и условия приостановления действия и (или) аннулирования сертификата ключа подписи.
Наиболее значимым моментом закона "Об ЭЦП" является определение условий, при которых ЭЦП признается равнозначной собственноручной подписи физического лица.
Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи 1. Электронная цифровая подпись в электронном документе
равнозначна собственноручной подписи в документе на бумажном носителе при одновременном выполнении следующих условий:
•сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) па момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
•подтверждена подлинность электронной цифровой подписи в электронном документе;
•электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
ГК РФ. Часть 1. Глава 9. Статья 160. Письменная форма сделки. 2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной – цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в
порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.
ПС РФ. Часть 1. Глава 28. Статья 434. Форма договора Договор в письменной форме может быть заключен путем составления одного документа,
подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.
Федеральный Закон "Об информации, информатизации и защите информации"Статья 5. Документирование информации 2. Документ, полученный из автоматизированной информационной
системы, приобретает юридическую силу после его подписания должностным лицом в порядке установленном законодательством РФ. 3. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться эцп. Юри- дическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе програм- мно-технических средств, обеспечивающих идентификацию подписи, и соблюдение установленного режима их использования. 4. Право удостоверять идентичность ЭЦП осуществляется на основании лицензии. Порядок выдачи лицензий определяется
законодательством РФ.
Физические и юридические лица являются собственниками тех документов (массивов документов), которые созданы за счет их средств, приобретены ими на законных основаниях, получены в порядке дарения или наследования. Эти ресурсы являются негосударственными. Граждане, органы государственной власти, органы местного самоуправления, организации и общественные объединения обязаны представлять документированную информацию органам и организациям, ответственным за формирование и использование государственных информационных ресурсов. Перечни представляемой в обязательном порядке документированной информации и перечни органов и организаций, ответственных за сбор и обработку федеральных информационных ресурсов, утверждает правительство РФ. Порядок и условия обязательного представления информации доводятся до сведения граждан и организаций. По категориям доступа информация делится на открытую и с ограниченным доступом.