Защита информационной системы ООО "ГК Русэнерго" при помощи электронной цифровой подписи

Виды информационных систем и защита информации в них. Проблемы, возникающие в процессе защиты ИС различных видов. Электронная цифровая подпись и ее применение для защиты информационной системы предприятия. Анализ защищенности хозяйствующего субъекта.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 08.11.2016
Размер файла 949,0 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

- обеспечения документам электронного документооборота юридической значимости;

- защиты сообщений, получаемых и отправляемых посредством электронной почты;

- создания защищенности канала связи при передаче электронных сообщений и документов [18].

Так почему же на ЭЦП возлагают такие надежды? Для того чтобы это понять следует рассмотреть, что такое электронная цифровая подпись с точки зрения криптографии.

При передаче по каналам информационной системы любого документа (файла) необходимо проверять его на целостность (использовать дефективные файлы не безопасно для системы), да и использование искаженной информации (будь то преднамеренно или случайно) может привести к плачевным последствиям при управлении организацией.

Как проверить, был ли файл дефектным изначально, или же произошли какие-то проблемы при скачивании (передаче)? Для этого используется контрольная сумма файла (Рис.3).

Контрольная сумма файла (хеш) -- это определенное значение, которое рассчитывается по набору данных присутствующих в файле с использованием определенного алгоритма криптографического преобразования именуемого функцией хеширования (хеш-функция). Она (хеш) помогает проверить целостность данных при их хранении и передаче [10, с.425].

Размещено на http://www.allbest.ru/

Рис.3 Контрольная сумма файла (хеш).

Следует также определить, что такое криптографическое преобразование. Криптографическое преобразование - это преобразование информации, основанное на некотором алгоритме, зависящем от изменяемого параметра (обычно называемого секретным ключом), и обладающее свойством невозможности восстановления исходной информации по преобразованной, без знания действующего ключа, с трудоемкостью меньше заранее заданной. Другими словами, ЭЦП - это часть электронного документа, а фактически - обычный файл, полученный в результате криптографического преобразования документа. Цифровая подпись создается при помощи так называемого закрытого ключа. Проверяется же отправленный документ открытым ключом - он общедоступен и вместе с документом приходит получателю. То есть, ЭЦП использует т.н. асимметричное криптографическое преобразование, в котором используется пара ключей - открытый (публичный) ключ и секретный (личный, индивидуальный) ключ, известный только одной взаимодействующей стороне. При использовании ЭЦП гарантируется следующее. Во-первых, то, что документ не изменился в процессе пересылки. Если после подписания цифровой подписью документ был искажен, это выяснится при проверке открытым ключом. Во-вторых - гарантируется однозначная идентификация отправителя. В случае с обычной подписью это можно сделать, например, сравнив с подписью в паспорте. В случае с ЭЦП - специальные удостоверяющие центры, выдающие сертификаты ключей.

Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;

Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;

Итак, электронная цифровая подпись представляет собой уникальное число, зависящее от подписываемого документа и секретного ключа абонента. В качестве подписываемого документа может быть использован любой файл. Подписанный файл создается из неподписанного путем добавления в него одной или нескольких ЭЦП.

Помещаемая в подписываемый файл (или в отдельный файл электронной подписи) структура ЭЦП обычно содержит дополнительную информацию однозначно идентифицирующую автора подписанного документа. Эта информация добавляется к документу до вычисления ЭЦП, что обеспечивает и ее целостность.

Каждая подпись содержит следующую информацию:

- дату подписи;

- срок окончания действия ключа данной подписи;

- информацию о лице подписавшим файл (Ф.И.О., должность, краткое наименование организации);

- идентификатор подписавшего (имя открытого ключа);

- собственно цифровую подпись [10, с. 435].

Однако истории известны случаи, когда злоумышленник, имея доступ к открытому ключу шифрования, получал из отправленных файлов идентификационную информацию о владельце закрытого ключа, затем генерировал свою пару ключей и подменял открытый ключ. После чего злоумышленник мог общаться от имени владельца закрытого ключа. А владелец открытого ключа об этом и не подозревал, так как его новый открытый ключ определял контрагента как владельца закрытого ключа.

Открытые ключи ЭЦП можно защитить от подмены с помощью соответствующих цифровых сертификатов.

Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи [18].

2.2 Организационные мероприятия необходимые для получения ЭЦП и настройка рабочего места

Так как же организовать защиту информационных систем и циркулирующей в них информации при помощи ЭЦП.

Электронно-цифровую подпись (ЭЦП) можно оформить как на организацию или индивидуального предпринимателя, так и на частное лицо в случае такой необходимости. Также не существует никаких ограничений касаемо количества выданных электронных цифровых подписей на одного человека. Но только не нужно забывать о том, что за каждое действие, подтвержденное Вашей электронно-цифровой подписью, Вы несете полную ответственность. [18].

Итак, если Вы решили получить ЭЦП, то всю необходимую для этого информацию можно получит на сайте «Ассоциации электронных торговых площадок» (адрес сайта www.aetp.ru).

Для начала Вам предложат заполнить регистрационную карту с указаниями личных данных, реквизитов организации и цели получения ЭЦП (образец можно взять на том же сайте) и переходя поэтапно по ссылкам сразу отправить в удостоверяющий центр.

В течение рабочего дня после получения регистрационной карты ответственный сотрудник аккредитованного Ассоциацией Удостоверяющего Центра связывается с организацией для выставления счета на ЭЦП и оформления договора.

Для корректной работы ЭЦП на торговых площадках выпущенный сертификат должен быть зарегистрирован в реестре Ассоциации электронных торговых площадок. Для регистрации открытую часть сертификата необходимо направить по адресу cert@aetp.ru.

Для изготовления сертификата ключа ЭЦП Заказчик представляет Удостоверяющему центру документы, список которых представлен ниже.

Для юридических лиц:

- копия свидетельства о государственной регистрации юридического лица, заверенная нотариально либо Удостоверяющим центром при предъявлении оригинала указанного документа;

- копия свидетельства о постановке на учет в налоговом органе, заверенная нотариально либо Удостоверяющим центром при предъявлении оригинала указанного документа;

- оригинал или нотариально заверенную копию выписки из Единого государственного реестра юридических лиц, полученную не ранее чем за тридцать дней до ее представления;

- заявление в удостоверяющий центр о выпуске сертификата ключа ЭЦП;

- если сертификат ключа ЭЦП изготавливается на имя руководителя организации: копию документа о назначении руководителя, заверенную подписью руководителя.

- если сертификат ключа ЭЦП изготавливается на имя уполномоченного представителя организации: доверенность, подтверждающую полномочия владельца сертификата ключа ЭЦП, заверенную подписью руководителя и печатью организации;

- копия паспорта гражданина Российской Федерации, на чье имя изготавливается сертификат ключа ЭЦП (владелец сертификата), с предъявлением оригинала указанного документа;

- если документы для изготовления сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а его уполномоченный представитель: доверенность на представителя юридического лица, уполномоченного на предоставление документов для изготовления сертификата ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП, заверенную подписью руководителя и печатью организации;

- если документы для изготовления сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а его уполномоченный представитель: копия паспорта гражданина Российской Федерации -- представителя юридического лица, уполномоченного на предоставление документов для изготовления сертификата ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП, с предъявлением оригинала указанного документа [19].

Для юридических лиц (в случае, если полномочия единоличного исполнительного органа открытого/закрытого акционерного общества переданы управляющей организации/управляющему):

- документы юридического лица, предусмотренные абзацами 1-- 3 п. 1 настоящего Перечня;

- документы управляющей организации/управляющего, предусмотренные п. 1/п. 4 настоящего Перечня соответственно;

- нотариально заверенную копию решения общего собрания акционеров общества о передаче функций единоличного исполнительного органа управляющей организации/управляющему [19].

Для юридических лиц (в случае, если полномочия единоличного исполнительного органа общества с ограниченной ответственностью переданы управляющей организации/управляющему)

- документы юридического лица, предусмотренные абзацами 1 -- 3 п. 1 настоящего Перечня;

- документы управляющей организации/управляющего, предусмотренные п. 1/п. 5 настоящего Перечня соответственно;

- нотариально заверенные копии первого, второго листов устава общества, листа устава, где предусмотрена возможность передачи полномочий единоличного исполнительного органа общества управляющей организации/управляющему, а также последнего листа устава общества с отметкой налогового органа [19].

Для представительств, филиалов, иных обособленных подразделений (далее -- отделения) иностранных юридических лиц:

- заявление в Удостоверяющий центр о выпуске сертификата ключа ЭЦП;

- копия разрешения на открытие представительства на территории Российской Федерации, заверенная нотариально либо Удостоверяющим центром при предъявлении оригинала указанного документа;

- копия свидетельства о внесении в сводный государственный реестр аккредитованных на территории Российской Федерации представительств иностранных компаний, заверенная нотариально либо Удостоверяющим центром при предъявлении оригинала указанного документа;

- копия Свидетельства о постановке на учет в налоговом органе, заверенная нотариально либо Удостоверяющим центром при предъявлении оригинала указанного документа;

- если сертификат ключа ЭЦП изготавливается на имя руководителя отделения иностранного юридического лица: доверенность, выданная иностранной организацией на главу (управляющего) отделением;

- если сертификат ключа ЭЦП изготавливается на имя уполномоченного представителя отделения иностранного юридического лица: доверенность, подтверждающая полномочия владельца сертификата ключа ЭЦП, заверенная подписью главы (управляющего) и печатью отделения иностранной организации;

- паспорт или иной документ, удостоверяющий личность, на чье имя изготавливается сертификат ключа ЭЦП (владелец сертификата), а также его копия;

- если документы для изготовления сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а его уполномоченный представитель: доверенность на представителя отделения иностранного юридического лица, уполномоченного на предоставление документов для изготовления сертификата ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП, заверенная подписью главы (управляющего) и печатью отделения иностранной организации;

- если документы для изготовления сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а его уполномоченный представитель: копия паспорта или иного документа, удостоверяющий личность -- представителя отделения иностранного юридического лица, уполномоченного на предоставление документов для изготовления сертификата ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП, с предъявлением оригиналов указанных документов [19].

Для индивидуальных предпринимателей, имеющих печать:

- копия Свидетельства о государственной регистрации физического лица в качестве индивидуального предпринимателя, заверенная нотариально либо Удостоверяющим центром при предъявлении оригинала указанного документа;

- копия Свидетельства о постановке на учет в налоговом органе, заверенная нотариально либо Удостоверяющим центром при предъявлении оригинала указанного документа;

- оригинал или нотариально заверенная копия выписки из Единого государственного реестра индивидуальных предпринимателей, полученная не ранее чем за тридцать дней до ее представления;

- заявление в удостоверяющий центр о выпуске сертификата ключа ЭЦП;

- если сертификат ключа ЭЦП изготавливается на имя уполномоченного представителя индивидуального предпринимателя -- работника индивидуального предпринимателя: доверенность, подтверждающая полномочия владельца сертификата ключа ЭЦП, заверенная подписью и печатью индивидуального предпринимателя;

- копия паспорта гражданина Российской Федерации, на чье имя изготавливается сертификат ключа ЭЦП (владелец сертификата), с предъявлением оригинала указанного документа;

- если документы для изготовления сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а его уполномоченный представитель: доверенность на представителя индивидуального предпринимателя, уполномоченного на предоставление документов для изготовления сертификата ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП, заверенная подписью и печатью индивидуального предпринимателя;

- если документы для изготовления сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а его уполномоченный представитель: копия паспорта гражданина Российской Федерации -- представителя владельца сертификата, уполномоченного на предоставление документов для изготовления сертификата ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП, с предъявлением оригинала указанного документа [19].

Для индивидуальных предпринимателей, не имеющих печать:

- документы индивидуального предпринимателя, предусмотренные абзацами 1 -- 4 п. 5 настоящего перечня;

- если сертификат ключа ЭЦП изготавливается на имя уполномоченного представителя индивидуального предпринимателя -- работника индивидуального предпринимателя: нотариально заверенная доверенность, подтверждающая полномочия владельца сертификата ключа ЭЦП;

- копия паспорта гражданина Российской Федерации, на чье имя изготавливается сертификат ключа ЭЦП (владелец сертификата), а также его копия (копия 2-ой и 3-ей страниц, с предъявлением оригинала указанного документа;

- если документы для изготовления сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а его уполномоченный представитель: нотариально заверенная доверенность на представителя владельца сертификата, уполномоченного на предоставление документов для изготовления сертификата ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП;

- если документы для изготовления сертификата ключа ЭЦП предоставляет и/или получает не владелец сертификата, а его уполномоченный представитель: копия паспорта гражданина Российской Федерации -- представителя владельца сертификата, уполномоченного на предоставление документов для изготовления сертификата ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП, с предъявлением оригинала указанного документа [19].

Для физических лиц:

- копия Свидетельства о постановке на учет в налоговом органе, заверенная нотариально либо Удостоверяющим центром при предъявлении оригинала указанного документа;

- копия паспорта гражданина Российской Федерации, на чье имя изготавливается сертификат ключа ЭЦП (владелец сертификата), с предъявлением оригинала указанного документа;

- заявление в Удостоверяющий центр о выпуске сертификата ключа ЭЦП;

- если документы для изготовления сертификата ключа ЭЦП предоставляет и/или получает изготовленный сертификат ключа ЭЦП не владелец сертификата, а его уполномоченный представитель: нотариально заверенная доверенность на представителя владельца сертификата, уполномоченного на предоставление документов для изготовления сертификата ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП;

- если документы для изготовления сертификата ключа ЭЦП предоставляет и/или получает изготовленный сертификат ключа ЭЦП не владелец сертификата, а его уполномоченный представитель: копия паспорта гражданина Российской Федерации -- представителя владельца сертификата, уполномоченного на предоставление документов для изготовления сертификата ключа ЭЦП и/или получение изготовленного сертификата ключа ЭЦП, с предъявлением оригинала указанного документа.

В случае отсутствия у лица, на чье имя изготовляется сертификат ключа ЭЦП (владелец сертификата), паспорта гражданина Российской Федерации, допускается предоставление иного документа, удостоверяющего личность в соответствии с законодательством Российской Федерации.

В случае если владельцем сертификата ключа подписи является иностранный гражданин, в Удостоверяющий центр предоставляется нотариально заверенный перевод документа, удостоверяющего личность иностранного гражданина.

Все иностранные документы должны быть апостилированы или иметь подлинные отметки о консульской легализации. Иностранные документы представляются с переводом на русский язык, который должен быть заверен нотариально либо в консульском загранучреждении, за исключением случаев, когда международным соглашением Российской Федерации и страны инкорпорации предусмотрено освобождение отданной процедуры [19].

В приложении приведен список некоторых аккредитованных удостоверяющих центров филиалы которых, расположен на территории г. Тула.

Одним из главных факторов успешного использования электронной цифровой подписи (ЭЦП) является правильная настройка Вашего рабочего компьютера.

Весь процесс настройки персонального компьютера можно условно разбить на несколько этапов:

- установка программного продукта криптопровайдера;

- установка драйверов для смарт-карты;

- установка личного сертификата и корневого сертификата удостоверяющего центра;

- установка дополнительных библиотек Capicom.dll и обновлений политик безопасности;

- настройка обозревателя Internet Explorer;

- настройка дополнительных программных средств (программы сдачи отчетности, электронной почты) [18].

3. Разработка мер по усовершенствованию информационной системы ООО «ГК Русэнерго» на основе применения ЭЦП.

3.1 Организационно-экономическая характеристика предприятия

Согласно Федеральному закону «Об обществах с ограниченной ответственностью», принятого Государственной Думой 14января 1988г. (с изменениями, внесенными Федеральным законом от 27.10.2008 N 175-ФЗ) коммерческое предприятие ООО «ГК «РУСЭНЕРГО» признается обществом с ограниченной ответственностью если оно создано одним или несколькими лицами хозяйственное общество, уставный капитал которого разделен на доли; участники общества не отвечают по его обязательствам и несут риск убытков, связанных с деятельностью общества, в пределах стоимости принадлежащих им долей в уставном капитале общества.

Участники общества, не полностью оплатившие доли, несут солидарную ответственность по обязательствам общества в пределах стоимости неоплаченной части принадлежащих им долей в уставном капитале общества.

Общество имеет в собственности обособленное имущество, учитываемое на его самостоятельном балансе, может от своего имени приобретать и осуществлять имущественные и личные неимущественные права, нести обязанности, быть истцом и ответчиком в суде.

Общество может иметь гражданские права и нести гражданские обязанности, необходимые для осуществления любых видов деятельности, не запрещенных федеральными законами, если это не противоречит предмету и целям деятельности, определенно ограниченным уставом общества.

Отдельными видами деятельности, перечень которых определяется федеральным законом, общество может заниматься только на основании специального разрешения (лицензии). Если условиями предоставления специального разрешения (лицензии) на осуществление определенного вида деятельности предусмотрено требование осуществлять такую деятельность как исключительную, общество в течение срока действия специального разрешения (лицензии) вправе осуществлять только виды деятельности, предусмотренные специальным разрешением (лицензией), и сопутствующие виды деятельности.

Общество считается созданным как юридическое лицо с момента его государственной регистрации в порядке, установленном федеральным законом о государственной регистрации юридических лиц.

Общество создается без ограничения срока, если иное не установлено его уставом.

Общество вправе в установленном порядке открывать банковские счета на территории Российской Федерации и за ее пределами.

Общество должно иметь круглую печать, содержащую его полное фирменное наименование на русском языке и указание на место нахождения общества. Печать общества может содержать также фирменное наименование общества на любом языке народов Российской Федерации и (или) иностранном языке. Общество вправе иметь штампы и бланки со своим фирменным наименованием, собственную эмблему, а также зарегистрированный в установленном порядке товарный знак и другие средства индивидуализации.

Общество с ограниченной ответственностью действует на основании данного Федерального закона и собственного устава. Устав общества является учредительным документом общества.

Устав общества должен содержать:

- полное и сокращенное фирменное наименование общества;

- сведения о месте нахождения общества;

- сведения о составе и компетенции органов общества, в том числе о вопросах, составляющих исключительную компетенцию общего собрания участников общества, о порядке принятия органами общества решений, в том числе о вопросах, решения по которым принимаются единогласно или квалифицированным большинством голосов;

- сведения о размере уставного капитала общества;

- права и обязанности участников общества;

- сведения о порядке и последствиях выхода участника общества из общества, если право на выход из общества предусмотрено уставом общества;

- сведения о порядке перехода доли или части доли в уставном капитале общества к другому лицу;

- сведения о порядке хранения документов общества и о порядке предоставления обществом информации участникам общества и другим лицам;

- иные сведения, предусмотренные настоящим Федеральным законом.

- Устав общества может также содержать иные положения, не противоречащие настоящему Федеральному закону и иным федеральным законам [3].

Пользуясь Федеральным Законом «Об обществах с ограниченной ответственностью» и уставом ООО «ГК «РУСЭНЕРГО» (сокращенное название), составленным на его основании, дадим организационно-экономическую характеристику предприятия (его организационно-правовая форма, виды деятельности и хозяйственная направленность, организационная структура, его ресурсное обеспечение и т.д.)

Из Устава общества с ограниченной ответственностью ООО «ГК «РУСЭНЕРГО» видно:

1.1. Общество с ограниченной ответственностью "Группа Компаний РУСЭНЕРГО", именуемое в дальнейшем "Общество", учреждено решением единственного учредителя от 01 сентября 2011г. и действует на основании настоящего Устава, Гражданского кодекса Российской Федерации, Федерального закона "Об обществах с ограниченной ответственностью", а также иного применимого законодательства.

Общество считается созданным как юридическое лицо с момента его государственной регистрации.

1.2. Общество является хозяйственным обществом, уставный капитал которого разделен на доли. Имущественная ответственность Общества и его участников определяется по правилам раздела 3 настоящего Устава в соответствии с законодательством.

1.3. Полное фирменное наименование Общества на русском языке:

Общество с ограниченной ответственностью "Группа Компаний РУСЭНЕРГО".

Сокращенное фирменное наименование Общества на русском языке:

ООО " ГК РУСЭНЕРГО ".

1.4. Место нахождения Общества: 300046 г. Тула, Новомосковское шоссе д. 46.

1.5. Общество учреждено на неограниченный срок.

2.1. Общество является коммерческой организацией, преследующей в качестве основной цели своей предпринимательской деятельности извлечение прибыли.

2.2. Общество обладает общей гражданской правоспособностью. Оно вправе иметь гражданские права и нести гражданские обязанности для осуществления любых видов деятельности, не запрещенных законом.

2.3. Осуществлению деятельности, отнесенной законодательством к лицензируемой, предшествует получение Обществом соответствующей лицензии (лицензий) в установленном порядке.

Если условиями предоставления специального разрешения (лицензии) на осуществление определенного вида деятельности предусмотрено требование осуществлять такую деятельность как исключительную, то Общество в течение срока действия лицензии вправе осуществлять только виды деятельности, предусмотренные лицензией, и сопутствующие виды деятельности.

2.4. Предметом деятельности Общества являются:

- Оптовая торговля машинами и оборудованием;

- Прочая оптовая торговля;

- Деятельность агентов по оптовой торговле прочими видами машин и оборудования;

- Деятельность агентов по оптовой торговле электротоварами и бытовыми электро-установочными изделиями;

- Оптовая торговля производственным электрическим и электронным оборудованием, включая оборудование электросвязи;

- Производство электрической распределительной и регулирующей аппаратуры, кроме ремонта;

- Предоставление услуг по монтажу, ремонту и техническому обслуживанию электрической распределительной и регулирующей аппаратуры;

- Иные виды деятельности, не запрещенные действующим законодательством;

Высшим органом управления Общества является Общее собрание участников Общества, которое может быть очередным или внеочередным. Все участники Общества имеют право присутствовать на Общем собрании участников Общества, принимать участие в обсуждении вопросов повестки дня и голосовать при принятии решений.

Постоянно действующим органом управления и контроля за деятельностью исполнительных органов Общества является Генеральный директор Общества Руководство текущей деятельностью Общества осуществляется Генеральным директором (единоличным исполнительным органом) и Правлением (коллегиальным исполнительным органом).

Генеральный директор избирается Общим собранием участников Общества из числа участников Общества или третьих лиц сроком на 5 (пять) лет.

Исполнительные органы Общества подотчетны Общему собранию участников Общества, а в период между Общими собраниями - Генеральному директору Общества [9].

Из вышеприведенных выдержек устава видно, что ООО «ГК «РУСЭНЕРГО» может заниматься производственно-коммерческой деятельностью, связанной с оптовой торговлей машинами и оборудованием. Прочей оптовой торговлей, деятельностью агентов по оптовой торговле прочими видами машин и оборудования, деятельностью агентов по оптовой торговле электротоварами и бытовыми электро-установочными изделиями, оптовой торговлей производственным электрическим и электронным оборудованием, включая оборудование электросвязи, производством электрической распределительной и регулирующей аппаратуры, кроме ремонта. Предоставлением услуг по монтажу, ремонту и техническому обслуживанию электрической распределительной и регулирующей аппаратуры. Иными видами деятельности, не запрещенными действующим законодательством.

Управляется оно генеральным директором, действующим на основании устава. Основная цель деятельности извлечение коммерческой прибыли.

Анализ защищенности хозяйствующего субъекта ООО «ГК Русэнерго», применение ЭЦП в его информационной системе

Для начала необходимо определиться с категорией охраняемого объекта и рассмотреть его инженерно-техническую укрепленность. Из «Руководящего документа РД 78.36.003-2002 МВД РОССИИ» следует что:

Категория охраняемого объекта: комплексная оценка объекта, учитывающая его экономическую или иную (например, культурную) значимость, в зависимости от характера и концентрации сосредоточенных ценностей, последствий от возможных преступных посягательств на них, сложности обеспечения требуемой охраны.

Инженерно-техническая укрепленность объекта: совокупность мероприятий, направленных на усиление конструктивных элементов зданий, помещений и охраняемых территорий, обеспечивающих необходимое противодействие несанкционированному проникновению в охраняемую зону, взлому и другим преступным посягательствам.

Объекты подгрупп БI и БII - это объекты, хищения на которых в соответствии с уголовным законодательством Российской Федерации могут привести к ущербу в размере до 500 минимальных размеров оплаты труда и свыше 500 соответственно.

Объекты подгруппы БI:

объекты с хранением или размещением изделий технологического, санитарно-гигиенического и хозяйственного назначения, нормативно-технической документации, инвентаря и другого имущества;

объекты мелкооптовой и розничной торговли (павильоны, палатки, ларьки, киоски и другие аналогичные объекты).

Объекты подгруппы БII:

объекты с хранением или размещением товаров, предметов повседневного спроса, продуктов питания, компьютерной техники, оргтехники, видео- и аудиотехники, кино- и фотоаппаратуры, натуральных и искусственных мехов, кожи, автомобилей и запасных частей к ним, алкогольной продукции с содержанием этилового спирта свыше 13% объема готовой продукции и другого аналогичного имущества. Объекты, не вошедшие в перечни, классифицируются по ближайшему аналогу с учетом возможного риска и ущерба вследствие преступного посягательства на них [8].

ООО «ГК «РУСЭНЕРГО» осуществляет свою деятельность по адресу 300046 г. Тула, Новомосковское шоссе д. 46.в арендованных помещениях общей площадью 750м2, начиная с 1 сентября 2011г. По приблизительным оценкам оборот денежных средств в месяц в среднем составляет около 15-20млн. руб., а складской запас товара около 15млн. руб..

Объект по внешнему периметру (территория складов и вход в офисные помещения) охраняется силами внутренней охраны находящимся на стационарном посту возле КПП оборудованным пультом видео-наблюдения и «тревожной кнопкой» выведенной на пульт Вневедомственной охраны. Периметр складов огорожен забором из оцинкованного профлиста по верхнему краю усиленному колючей проволокой. В ночное время с установленной периодичностью производится обход охраняемой территории.

Офисные помещения оборудованы системой видео наблюдения. Здесь выбран вариант системы видео наблюдения для внутренних помещений. Соответственно, камеры можно легко подключить к электрической сети, из-за нежелания опутывать комнаты десятками метров сетевого провода, используются устройства с беспроводным интерфейсом. Две камеры, должны быть с поворотным устройством (например, для обзора территории офиса не перекрываемой углом обзора стационарной камеры), и ещё три фиксированные.

Записывать звук необязательно, дополнительная подсветка не нужна по причине яркого освещения офиса в рабочее время и постоянного приглушенного освещения в нем при отсутствии сотрудников. Помимо этого необходимо иметь детектор движения на камерах и получать тревожное сообщение со снимком в случае обнаружения каких-либо перемещений в офисе в нерабочее время. Наблюдение же осуществляется с одного из системных компьютеров, либо через Интернет. Для такого варианта систему установили следующие устройства: 2 беспроводные IP-камеры TRENDnet TV-IP600W с поворотным механизмом, три фиксированные беспроводные IP-камеры TRENDnet TV-IP110W, беспроводный маршрутизатор TRENDnet TEW-652BRP. Все видеозаписи хранятся на Videosrv в течении двух недель и автоматически перезаписываются. Схема размещения офисной техники и камер видео наблюдения приведена ниже (Рис.4).

На окнах офиса выходящих на внешнюю территорию установлены декоративные металлические решетки. Входные двери офиса при сдаче под охрану опечатываются.

Кабинет директора предприятия (он же по совместительству выделенное помещение для ведения переговоров) не имеет окон и оснащен дверью со звукоизоляцией. Система вентиляции не имеет выходов в смежные помещения (оснащена двумя канальными вентиляторами приток-отток выведенными за внешние стены здания). Материал, из которого изготовлены воздуховоды затрудняет снятие речевой информации при помощи статоскопов.

Размещено на http://www.allbest.ru/

Рис.4 - Схема расположения офисной техники и камер видео наблюдения.

Серверный шкаф расположен в помещении бухгалтерии, что затрудняет доступ к нему посторонним лицам.

Для объекта категории БII к которой можно отнести ООО «ГК «РУСЭНЕРГО» вполне приемлемый уровень инженерной защищенности.[7.]

Теперь непосредственно перейдем к оценке эффективности управления ООО «ГК «РУСЭНЕРГО» при помощи ее информационной системы. Поскольку основной зада чей возлагаемой на ИС фирмы является организация ее смешенного документооборота, то оценив его эффективность, мы сможем определить эффективности управления самой организацией (ее бизнес процессов), а также степенью защищенности информации, которая в силу неизвестности ее третьим лицам дает фирме некоторые конкурентные преимущества на рынке.

Для этого сначала разберем схему циркуляции документов во внутренней и внешней средах организации.

Итак, основным видом документооборота в ООО «ГК «РУСЭНЕРГО» является смешанный документооборот, так как примерно половина документов циркулируют на бумажных носителях, а половина хранится и передается в электронном виде. Помимо этого для удобства вся бухгалтерская отчетность, наличие товаров на складах и его циркуляция, ведется посредствам программы «1С Бухгалтерия 8.2» и «1С Торговли и склад 8.2»

Рассмотрим схему циркуляции документов в ООО «ГК «РУСЭНЕРГО».

На первом этапе производится подготовка документа в электронном виде (сканирование, печать, создание общедоступных файлов). На втором - регистрация и печать документа. Третий включает в себя согласование в бумажном виде. Четвертый - рассылку документа в электронном виде исполнителям.

Основной средой распространения документации внутри организации является электронная почта с применением программы «MicrosoftOutlook», помимо этого локальная компьютерная сеть фирмы создана в виде «звезды» с организацией работы в терминальном режиме, т.е. вся документация хранится и обрабатывается на сервере, что существенно упрощает обмен документами между сотрудниками. Обеспечивается это путем создания папок с файлами, хранящими категорированную информацию и размещенными таким образом, чтобы обеспечивался максимально быстрый и удобный доступ к нужной информации доступной пользователю, согласно его обязанностям и занимаемой должности. Помимо этого любое движение товара от поставщика на склад фирмы, внутри нее или к конечному потребителю сопровождается оригиналом бумажного носителя. Также все приказы, договора между контрагентами и документы бухгалтерской отчетности хранятся на бумажных носителях на специально отведенных стеллажах в бухгалтерии.

На данный момент полностью электронным является документооборот между ООО «ГК « РУСЭНЕРГО» и ОАО «Сбербанк России».

Осуществляется он согласно договору между контрагентами по средствам системы «Сбербанк России ОнЛ@йн». Это система дистанционного банковского обслуживания, представляющая по средствам электронного документооборота через сеть «Интернет», возможность подготавливать и отправлять платежные документы, получать информацию о движении денежных средств по счетам, взаимодействовать с сотрудниками банка путем обмена сообщения свободного формата, а также направлять заявки на рассмотрение банком возможности предоставления клиенту системы тех или иных услуг банковских продуктов.

Для работы в системе «Сбербанк России ОнЛ@йн» необходимо соблюдать следующие условия и требования.

Требования к рабочему месту пользователя:

- Доступ в Интернет;

- Microsoft internet Explorer версии 6.0 SPI и выше или FireFox 3.0 и выше;

- OC Windows 2000 Professional SPA4 и выше;

- Разрешение экрана от 1024*768.

Обмен документами в системе «Сбербанк России ОнЛ@йн» происходит путем обмена сообщениями и документами подлинность которых подтверждает ЭЦП.

Напоминаем, что электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе [1].

С целью обеспечения безопасности использования ЭЦП и защиты открытого ключа от подлога (замены) соответствующим сертификационным центром бал выдан сертификат ключа подписи.

Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Сертификат в данном случае был выдан Удостоверяющим центром ОАО «СБЕРБАНК РОСИИ», разработчик ООО Фирма «ИнфоКрипт».

Область действия сертификата ключа подписи - защита документов в корпоративной системе ЭДО ОАО «СБЕРБАНК РОССИИ».

3.3 Выработка практических рекомендаций по усовершенствованию информационной системы ООО «ГК Русэнерго» на основе применения ЭЦП

В ходе исследований проведенных нами в теоретической и практической частях данной работы было выяснено следующее.

Степень защиты информации от неправомерного доступа и противозаконных действий зависит от качества разработки организационных мер, направленных на исключение:

- доступа к аппаратуре обработки информации;

- бесконтрольного выноса персоналом различных носителей информации;

- несанкционированного введения данных в память, изменения или стирания хранящейся в ней информации;

- незаконного пользования системами обработки информации и полученными данными;

- доступа в системы обработки информации посредством самодельных устройств;

- неправомочной передачи данных по каналам связи из информационно-вычислительного центра;

- бесконтрольный ввод данных в систему;

- обработка данных по заказу без соответствующего требования заказчика;

- неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.

Основными проблемами в процессе защиты информации в ИС является:

- предотвращение утечки, хищения, утраты, искажения, подделки информации;

- предотвращение угроз безопасности личности, общества, государства;

- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;

- обеспечение правового режима документированной информации как объекта собственности;

- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

- гарантия прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Необходимость защиты ресурсов, программ и информации в компьютерной информационной системе от несанкционированного доступа и использования определяется наличием следующих угроз:

- Оператор - может заменить защищенный монитор на незащищенный или имеющий только входы.

- Системный программист - нарушает защиту. Обеспечивает себе право входа в систему. Выявляет механизмы защиты.

- Программное обеспечение - попытки преодолеть защиту. Управление доступом. Идентификация пользователя. Управление ограничениями.

- Инженер по эксплуатации нарушает защиту технических средств. Использует автономные утилиты для доступа к файлам и входа в систему.

- Доступ. Попытки получить копию (пишущая лента, валик принтера и т.п.). Неточности, вызванные действиями пользователей с низким уровнем полномочий.

- Пользователь. Идентификация. Подтверждение подлинности. Искусная модификация программного обеспечения.

Современные топологии и протоколы требуют, чтобы сообщения были доступны большому числу узлов при передаче к желаемому назначению. Это гораздо дешевле и легче, чем иметь прямой физический путь между каждой парой машин. Вытекающие из этого возможные угрозы предусматривают как активный, так и пассивный перехват сообщений, передаваемых в линии.

При пассивном перехвате происходит не только чтение информации, но и анализ трафика (использование адресов, других данных заголовка, длины сообщений и частоту сообщений).

При активном изменение потока сообщений (включая модификацию, задержку, дублирование, удаление или неправомочное использование реквизитов).

Службы Обмена сообщениями увеличивают риск для информации, хранимой на сервере или передаваемой между источником и отправителем. Неадекватно защищенная электронная почта может быть легко перехвачена, изменена или повторно передана, что влияет как на конфиденциальность, так и на целостность сообщения.

Прочие проблемы безопасности ИС:

- неадекватная политика управления и безопасности ИС;

- отсутствие обучения особенностям использования ИС и защиты;

- неадекватные механизмы защиты для рабочих станций;

- неадекватная защита в ходе передачи информации.

Для этих проблем необходимо осуществлять комплексную политику безопасности, которая определяла бы правила использования ИС.

К сожалению необходимость комплексного обеспечения безопасности информационной системы в данной организации не находит должного понимания у руководства.

В настоящее время на предприятии существует смешанная система документооборота, не позволяющая в полной мере реализовать на практике возможности применения ЭЦП.

В исследуемой организации полностью отсутствует нормативно-правовая база закрепляющая ответственность сотрудников допустивших утечку, уничтожение, искажение или блокировку информации циркулирующей внутри ИС.

При внедрении новых узлов и программных обеспечений в информационную систему, обучение персонала пользованием этими новшествами производиться несвоевременно, что приводит к дополнительным трудностям в обеспечении защиты данной системы.

Каналы связи ИС по которым передается информация абсолютно не защищены, что делает ее уязвимой к воздействию внешних и внутренних угроз.

В связи с вышеперечисленными недостатками необходимо внести ряд изменений для улучшения защищенности ИС.

Необходимо внедрить договор о неразглашении сведений составляющих коммерческую тайну предприятия. Его внедрение должно поспособствовать сокращению до минимума утечки полезной информации из фирмы, а следовательно повысить в последующем ее рентабельность. Но для этого необходимо внести соответствующие изменения в устав фирмы, где будут прописано наличие в организации информации относящейся к категории коммерческая тайна и перечень сведений относящихся к ней. Пример стандартного договора «О не разглашении сведений составляющих коммерческую тайну» рассмотрен в приложение 1.

Помимо этого необходимо расширить сферу деятельности фирмы, организовав выход на электронную торговую площадку. Это необходимо для участия в электронных торгах, поскольку площадки, осуществляющие электронные торги, связывают собой не только государственных заказчиков с поставщиками, но и довольно обширный сектор коммерческих заказчиков, которые желают расширить свои производства и сократить затраты на сбыт своей продукции за счет оптимизации деятельности пользователей в сфере торговли и закупок за счет понижения закупочных цен и роста количества продаж.

Наряду с расширением сферы коммерческой деятельности организации следует акцентировать внимание на усовершенствовании системы электронной отчетности:

- предоставления отчетности физических и юридических лиц в органы контроля;

- передачи в электронном виде бухгалтерской и налоговой отчетности всех форм в налоговую инспекцию без необходимости дублирования на бумажном носителе;

- передачи данных в органы статистического учета и Пенсионный фонд России;

Для этого надо:

- зарегистрировать и получит ЭЦП область действия сертификата ключа которой будет распростроняться на перечисленные сферы деятельности;

- произвести обучения персонала (который будет отвечать за работу с предлагаемыми опциями);

- подготовить нормативно-правовую базу, закрепляющую права и зоны ответственности персонала;

- модифицировать если возникнет такая необходимость ИС и программное обеспечение.

При внедрении и последующим использовании предлагаемых мероприятий следует помнить о том, что подход к их подготовке и реализации должен быть комплексным - правовая, инженерно-техническая, программно-аппаратная и организационная составляющие данного процесса должны учитываться в равной мере, а пренебрежение хотя бы одной из них неизбежно приведет к ослаблению защищенности ИС организации.

Заключение

В условиях необходимости быстроты принятия управляющих решений и большого объема обрабатываемой для этих целей информации, информационная система становится не заменимым инструментом, позволяющим эффективно управлять организацией. Без применения информационных систем не возможно осуществление перехода предприятия к электронным формам управления и электронному документообороту.

Помимо этого информационная система позволяет получить целый ряд преимуществ:

- повысить эффективность управления бизнес-процессами за счет улучшения исполнительской дисциплины;

- оптимизировать контроль выполнения поставленных задач;

- увеличить быстроту и качество анализа организационно-распорядительной деятельности;

- повысить оперативность и качество управленческих решений;

- повысить эффективность работы и надежность функционирования предприятия;

- сократить излишнее количество сотрудников в организации;

- обеспечить надежность учета и хранения документов;

- существенно снизить непроизводительные затраты рабочего времени;

- создать единое информационное пространство предприятия;

- организовать эффективный контроль различных направлений деятельности предприятия (организации) и др.

Защиту информационной системы организации от воздействия внешних и внутренних угроз, направленных на хищение искажение, уничтожение, модификацию и блокировку информации с высокой степенью эффективности можно осуществить с применением электронной цифровой подписи.

Помимо этого ЭЦП дает возможность существенно расширить сферу применения информационной системы хозяйствующего субъекта позволив использовать ее для:

- обмена документами электронного вида между организациями, ведомствами, предприятиями, а также между их подразделениями;

- предоставления отчетности физических и юридических лиц в органы контроля;

- декларирования деятельности, связанной с розничной продажей алкогольной продукции;

- передачи в электронном виде бухгалтерской и налоговой отчетности всех форм в налоговую инспекцию без необходимости дублирования на бумажном носителе;

- передачи данных в органы статистического учета и Пенсионный фонд России;

- участия в электронного вида аукционах и торгах по размещению государственных заказов;

- достоверной аутентификации пользователей;

- авторизации для получения доступа к специализированным ресурсам информации;

- шифрования электронных документов при передаче их по каналам связи открытого типа;

- обеспечения документам электронного документооборота юридической значимости;

- защиты сообщений, получаемых и отправляемых посредством электронной почты;

- создания защищенности канала связи при передаче электронных сообщений и документов.

В ходе проведенных исследований мы выяснили, что ООО «ГК «РУСЭНЕРГО» является небольшой фирмой со сравнительно маленьким среднемесячным оборотом, и для объекта категории БII существующая инженерно-техническая система защиты информации является приемлемой по соображениям экономической целесообразности.

Система существующего смешанного документооборота хотя и дает возможность достаточно эффективно управлять данной организацией (учитывая ее небольшие размеры), но не позволяет в полной мере использовать все возможности применения ЭЦП.

К сожалению необходимость комплексного обеспечения безопасности информационной системы в данной организации не находит должного понимания у руководства.

В связи с вышеперечисленными недостатками необходимо внести ряд изменений для улучшения защищенности ИС.

Необходимо внедрить договор о неразглашении сведений составляющих коммерческую тайну предприятия. Его внедрение должно поспособствовать сокращению до минимума утечки полезной информации из фирмы, а следовательно повысить в последующем ее рентабельность. Но для этого необходимо внести соответствующие изменения в устав фирмы, где будут прописано наличие в организации информации относящейся к категории коммерческая тайна и перечень сведений относящихся к ней. Пример стандартного договора «О не разглашении сведений составляющих коммерческую тайну» рассмотрен в приложение 1.

Помимо этого необходимо расширить сферу деятельности фирмы, организовав выход на электронную торговую площадку. Это необходимо для участия в электронных торгах, поскольку площадки, осуществляющие электронные торги, связывают собой не только государственных заказчиков с поставщиками, но и довольно обширный сектор коммерческих заказчиков, которые желают расширить свои производства и сократить затраты на сбыт своей продукции за счет оптимизации деятельности пользователей в сфере торговли и закупок за счет понижения закупочных цен и роста количества продаж.


Подобные документы

  • Назначение и применение электронной цифровой подписи, история ее возникновения и основные признаки. Виды электронных подписей в Российской Федерации. Перечень алгоритмов электронной подписи. Подделка подписей, управление открытыми и закрытыми ключами.

    курсовая работа [604,0 K], добавлен 13.12.2012

  • Организационно-правовое обеспечение электронной цифровой подписи. Закон "Об электронной цифровой подписи". Функционирование ЭЦП: открытый и закрытый ключи, формирование подписи и отправка сообщения. Проверка (верификация) и сфера применения ЭЦП.

    курсовая работа [22,9 K], добавлен 14.12.2011

  • Схема формирования электронной цифровой подписи, её виды, методы построения и функции. Атаки на электронную цифровую подпись и правовое регулирование в России. Средства работы с электронной цифровой подписью, наиболее известные пакеты и их преимущества.

    реферат [27,8 K], добавлен 13.09.2011

  • Правовое регулирование отношений в области использования электронной цифровой подписи. Понятие и сущность электронной цифровой подписи как электронного аналога собственноручной подписи, условия ее использования. Признаки и функции электронного документа.

    контрольная работа [34,5 K], добавлен 30.09.2013

  • Анализ характеристик средств криптографической защиты информации для создания электронной цифровой подписи. Этапы генерации ключевого контейнера и запроса при помощи Удостоверяющего центра с целью получения сертификата проверки подлинности клиента.

    реферат [604,6 K], добавлен 14.02.2016

  • Характеристика ГОСТ Р 34.10-2001 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи". Его обозначения, отличия от старого стандарта. Алгоритм формирования цифровой подписи.

    курсовая работа [253,5 K], добавлен 16.08.2012

  • Назначение электронной цифровой подписи как реквизита электронного документа, предназначенного для его защиты с помощью криптографического ключа. Асимметричные алгоритмы шифрования и атаки на электронную подпись. Средства работы с цифровой подписью.

    реферат [20,6 K], добавлен 09.10.2014

  • Назначение электронной цифровой подписи. Использование хеш-функций. Симметричная и асимметричная схема. Виды асимметричных алгоритмов электронной подписи. Создание закрытого ключа и получение сертификата. Особенности электронного документооборота.

    реферат [43,2 K], добавлен 20.12.2011

  • Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.

    реферат [51,5 K], добавлен 20.01.2014

  • Разъяснения по использованию систем цифровой подписи в связи с ведением закона "Об электронной цифровой подписи". Пример практического применения механизма электронно-цифровой подписи: программа контроля подлинности документов, хранимых в базе данных.

    контрольная работа [180,1 K], добавлен 29.11.2009

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.