Телекоммуникационная революция

Основоположник идеологии информационного общества Д.Белл в книге "Социальные рамки информационного общества" большое значение придает конвергенции электронно-вычислительной техники с техникой средств связи и утверждает, что "в наступающем столетии решающее значение для экономической и социальной жизни, для способов производства знания, а также для характера трудовой деятельности человека приобретет становление нового социального уклада, зиждущегося на телекоммуникациях". Сегодня реализация идеологии работы компании, ориентированной на ее клиентов и партнеров невозможна без современных средств телекоммуникаций.

Телекоммуникации (от греческого tele — вдаль, далеко, и латинского communicatio — общение) — это технические средства и способы дистан­ционной передачи информации.

В настоящее время для передачи информации в различном её виде (текст, изображение, звук, цифра) на большие расстояния изобретено ог­ромное количество разнообразных технических средств, таких как теле­граф и его разновидность телекс, телефон, радио, телевидение, а также появившиеся сравнительно недавно — телефакс, цифровая телефония (ISDN), сотовая, транкинговая и пейджинговые виды радиосвязи, компью­терные коммуникации. Все перечисленные виды связи в настоящее время немыслимы без спутниковой связи. Все перечисленные виды связи допол­няя и взаимодействуя друг с другом образуют единую информационную магистраль.

13.Компоненты и функции телекоммуникационных систем.

Телекоммуникационная система – это совокупность аппаратно и программно совместимого оборудования, соединенного в единую систему с целью передачи данных из одного места в другое. Телекоммуникационная система способна передавать текстовую, графическую, голосовую или видеоинформацию. компоненты телекоммуникационной системы.Компоненты:Серверы, хранящие и обрабатывающие информацию;Рабочие станции и пользовательские ПК, служащие для ввода запросов к базам данных, получения и обработки результатов запросов и выполнения других задач конечных пользователей информационных систем;Коммуникационные каналы – линии связи, по которым данные передаются между отправителем и получателем информации. Коммуникационные каналы используют различные типы среды передачи данных: телефонные линии, волоконно-оптический кабель, коаксиальный кабель, беспроводные и другие каналы связи;Активное оборудование – модемы, сетевые адаптеры, концентраторы, коммутаторы, маршрутизаторы и проч. Эти устройства необходимы для передачи и приема данных;Сетевое программное обеспечение, управляющее процессом передачи и приема данных и контролирующее работу отдельных частей коммуникационной системы. ФУНКЦИИ: Чтобы передать информацию из одного пункта и получить ее в другом, телекоммуникационной системе нужно выполнить некоторые операции, которые главным образом скрыты от пользователей. Прежде, чем телекоммуникационная система передаст информацию, ей необходимо установить соединение между передающей (sender) и принимающей (receiver) сторонами, рассчитать оптимальный маршрут передачи данных, выполнить первичную обработку передаваемой информации (например, необходимо проверить, что ваше сообщение передается именно тому, кому вы его отослали) и преобразовать скорость передачи компьютера в скорость, поддерживаемую линией связи. Наконец, телекоммуникационная система управляет потоком передаваемой информации (трафиком).

14.Типы и классификация компьютерных сетей.

Классификация компьютерных сетей по типу передачи данных. Если смотреть в общих чертах, существует два типа технологии передачи:широковещательные сети;сети с передачей от узла к узлу.Широковещательные сети обладают единым каналом связи, совместно используемым всеми машинами сети. Короткие сообщения, называемые в некоторых случаях пакетами, которые посылаются одной машиной, получают все машины. Сети с передачей от узла к узлу.Сети с передачей от узла к узлу, напротив, состоят из большого количества соединенных пар машин. В сети подобного типа пакету, чтобы добраться до пункта назначения, необходимо пройти через ряд промежуточных машин.Классификация компьютерных сетей по размеру:Локальными сетями (Local Area Network — LAN) называют частные сети, размещающиеся, как правило, в одном здании или на территории какой-либо организации площадью до нескольких квадратных километров. Их часто используют для объединения компьютеров и рабочих станций в офисах компании или предприятия для предоставления совместного доступа к ресурсам (например, принтерам) и обмена информацией. Муниципальные, региональные или городские сети (metropolitan area network — MAN) объединяют компьютеры в пределах города. Самым распространенным примером муниципальной сети является система кабельного телевидения. Глобальная сеть (wide area network — WAN) охватывает значительную географическую область, часто целую страну или даже континент. Она объединяет машины, предназначенные для выполнения программ пользователя (то есть приложений).Персональная сеть-1м.Интернет-по всей земле.

15.Технологии распределенной обработки данных. Модель клиент – сервер.

Выделились несколько самостоятельных технологий распределен­ной обработки данных:клиент-сервер;реплицирования;объектного связывания.Реальные распределенные информационные системы, как правило, построены на основе сочетания этих технологий.Системы на основе технологии клиент-сервер развились из первых централизованных многопользовательских информационных систем и получили наиболее широкое распростране­ние в корпоративных информационных системах. При реализации данной технологии отступают от одного из основ­ных принципов создания распределенных систем — отсутствия цен­трального узла.

Принцип централизации хранения и обработки данных является базовым принципом технологии клиент-сервер. Клиент-сервер – это модель взаимодействия процессов в вычислительной системе, при которой один процесс (клиент) делает запрос, другой процесс (сервер) его обрабатывает и возвращает первому ответ или предоставляет определенную услугу в виде вычислений, каких-либо данных и т.п.Чаще всего процесс-клиент запускается на одном компьютере, процесс-сервер – на другом.Можно выделить следующие идеи, лежащие в основе технологии клиент-сервер:общие для всех пользователей данные, расположенные на одном или нескольких серверах;   множество пользователей, осуществляющих доступ к общим
данным.Важное значение в технологии клиент-сервер имеют понятия сер­вера и клиента.Под сервером в широком смысле понимается любая система, про­цесс, компьютер, владеющие каким-либо вычислительным ресурсом (памятью, временем процессора, файлами и т. д.). Клиентом называ­ется любая система, процесс, компьютер, пользователь, делающие за­прос к серверу на использование ресурса .

16 .Информационные технологии электронного бизнеса

Сегодня мы становимся свидетелями рождения нового сектора в эко­номике, который все чаще называют электронным бизнесом, Интернет- экономикой, Интернет-бизнесом, электронной коммерцией (ЭК). Темпы развития этого сектора высоки, его оборот ежегодно удваивается. По дан­ным Центра исследования электронной коммерции, функционирующего под эгидой Высшей школы бизнеса Университета штата Техас, суммарный доход компаний, предлагающих услуги через Интернет, а также занимаю­щихся технической поддержкой Сети, превышает 500 млрд. долл. Многие фирмы используют "Всемирную паутину" (Web), как транспортную среду для осуществления товарных и финансовых операций.

На мировом рынке Интернет-коммерции доминируют США (примерно 73% всего оборота). На долю Европы приходится лишь 16%, а на азиат­ские страны — 7%, все остальные регионы — 4%.

Доля рынка ЭК не только в Восточной Сибири, но и в России невелика, поэтому о существенном влиянии на экономику говорить пока рано, хотя все современные виды электронной коммерции уже существуют и в Рос­сии.

Прежде всего необходимо определиться с понятием электронной ком­мерции. Существует несколько определений электронной коммерции. С одной стороны, это получение прибыли от ведения хозяйственной дея­тельности по предоставлению новых видов электронных услуг, продажи компьютерной техники и программного обеспечения. С другой стороны, под электронной коммерцией понимается проведение операций с партне­рами и клиентами, а также различные платежи и расчеты с использованием новых информационных сред и различного рода электронных сетей. В данном аспекте нас интересует второй случай.

Более строгое определение электронной коммерции дано в специаль­ном документе Администрации президента США, объявляющем морато­рий на дополнительное налогообложение сделок, заключенных через Ин­тернет. В нем электронной коммерцией (ЭК) называется любая транзакция, совершенная через компьютерную сеть, в результате которой право собст­венности или право пользования вещественным товаром или услугой было передано от одного лица к другому. Данное определение на наш взгляд яв­ляется наиболее полным.

Рассмотрим основные понятия, связанные с электронной коммерцией.

Такой вид ЭК как B2B (Business-to-Business) или бизнес-бизнес — представляет собой ЭК между предприятиями, основной особенностью этого вида ЭК является автоматическое взаимодействие в электронном ви­де систем управления предприятием.

B2C (Business-to-Consumer, Customer) или бизнес-потребитель — вид ЭК, связанный с электронными коммерческими операциями, производи­мыми между предприятием и потребителями. Предприятия на базе Интер­нета конкурируют или сотрудничают с традиционными предприятиями в сфере розничной торговли. Функционируют они следующим образом. Компания-продавец размещает на своем Web узле интерфейс, с помощью которого потребитель может разместить заказ в ее системе управления предприятием. Системы ЭК позволяют покупателю не общаться с продав­цом, не тратить время на беготню по магазинам, иметь более полную ин­формацию о товарах. Продавец, в свою очередь, может быстрее реагиро­вать на изменение спроса, анализировать поведение покупателей, эконо­мить средства на персонале, аренде помещений.

Преимуществами использования ЭК можно назвать следующие.

• Простота развертывания приложений и управление ими. Использовать Web достаточно просто. Покупателям следует лишь освоить програм­му для просмотра, и они сразу получают доступ к средствам элек­тронной торговли.

• Уменьшение времени на доставку информации о товаре потребителю — одно из необходимых условий ведения успешной торговли.

• Сокращение числа промежуточных звеньев (посредников), установле­ние прямой связи производитель — покупатель.

• Уменьшение затрат времени на приобретение необходимого товара.

• Неограниченный рост числа потенциальных заказчиков. При исполь­зовании Интернет вы можете расширить рынок сбыта за счет зару­бежных покупателей.

• Информацию о товаре вы можете представлять в различном виде. Web позволяет передавать не только текст, графику, но и видео, голос.

• Возможность проводить анализ спроса, предпочтений для планирова­ния своей деятельности.

• Возможность идентифицировать покупателя.

• Сокращение затрат на персонал и аренду помещений.

• Возможность круглосуточного доступа.

Если на западе системы доставки, платежей, торговли по каталогам, автоматизации предприятий и стандартов ЭК складывались годами, то у нас все это находится в стадии зарождения. Всего же в сегменте Интерне­та, охватывающего страны СНГ, существует более 600 сайтов, их можно увидеть в каталоге на сайте Magazin.ru, предлагающих различные платные услуги. Заметим, что большинство из них электронной коммерции, в стро­гом смысле этого слова не ведут, так как они не интегрированы с системой автоматизации предприятия, не позволяют осуществлять онлайновые пла­тежи, требуют участия менеджера на тех или иных фазах оформления по­купки.

В любой стране, если пользователей Интернета менее 10% населения, развивать направление B2C очень сложно. По России этот показатель на 1 января 2003г. составил 4,2%, по Москве около 10%. Создание полноценно­го Интернет-магазина стоит не менее 10 тыс. долл. У многих фирм таких денег нет, но они могут воспользоваться услугами таких фирм как "АйТи" и Tops, которые предлагают в аренду законченную инфраструктуру для открытия Интернет-магазинов на своих "торговых рядах". Аренда магазина в "торговых рядах" Tops обходится владельцам в 150 долл. в месяц.

Электронные магазины - не единственный путь оказания услуг через Интернет. Популярны сегодня аукционы, финансовые, банковские услуги, туристические, медицинские, страховые, платные информационные серви­сы, онлайновая оплата счетов. 1999 г. был отмечен расцветом Web- аукционов. Например на eBay было заключено 3 млн. аукционных сделок, на Yahoo — 1 млн. Обороты же отечественных аукционов пока невелики, и цены на них ненамного ниже чем в магазинах.

Финансовые и банковские услуги в Интернет представлены несколь­кими направлениями: Интернет-торговля ценными бумагами, телебанкинг, онлайновое предоставление залоговых кредитов и т.п. Как и другие сферы электронного бизнеса, эта сфера быстро развивается. Онлайновые услуги предлагают практически все банки США, по отчетам British Telecom не­плохо обстоит дело в Германии и Франции. Значительно отстают в предос­тавлении Интернет-услуг банки Великобритании, на начало 2000г. там было зарегистрировано всего 10 банковских Web-узлов.

Перенос услуг страхования в Интернет пока идет очень медленно, страховые компании неохотно вкладывают деньги в Интернет.

В настоящее время в российской части Интернета преобладает модель ЭК, ориентированная на потребительский рынок, т.е. B2C, но есть и инте­ресные решения, которые можно отнести к модели B2B. Рассмотрим не­сколько примеров.

Сайт Фактура. предоставляет сервис по организации торговли между предприятиями через Интернет, связывая в единое целое службы сбыта поставщиков и службы снабжения покупателей, при этом полностью автоматизирован процесс взаимодействия предприятий на эта­пе поиска товаров и согласования условий заказов, позволяя контрагентам в защищенном режиме планировать, заказывать и контролировать постав­ки товаров и услуг.

Сайт "Зерно"— представляет собой межрегио­нальную систему торговли сельхозпродуктами в режиме реального време­ни.

Платежные системы в Интернет. Важным моментом в развитии ЭК является проведение электронных платежей. В настоящее время проблему оплаты через Интернет можно считать уже решенной. В российском сек­торе Интернета, который часто называют Рунетом, имеется больше десятка различных систем, позволяющих перечислять деньги за товары в онлайно- вам режиме. Со списками этих систем и их описанием можно познако­миться на сайтах Money.ru и Magazin.ru. Эти системы можно разделить на несколько типов:

• для платежей по пластиковым картам (ППК) международных систем Visa, Eurocard/Mastercard, American Express и т.п.;

• для платежей с пользовательских счетов провайдеров;

• для платежей с использованием "электронного кошелька";

• для платежей по смарт-карточкам.

Наиболее популярной системой первого типа является Assist-CyberPlat, созданная совместно банком "Платина" и петербургской компанией "Рек- софт", эта система работает как для расчетов "бизнес-бизнес" так и для расчетов "бизнес-потребитель". В мае 2000г. система "Assist" была под­ключена к процессинговому центру карточной системы "СТБ КАРТ", а в сентябре 2000г. - к процессинговому центру Альфа-банка.

Рассмотрим технологию оплаты покупки со счета в банке с использо­ванием платежной системы CyberPlat. Заметим, что покупатель и Интер­нет-магазин должны иметь открытый счет в банке, поддерживающем дан­ную платежную систему.

1. Покупатель через Интернет подключается к Web-cepBepy магазина, формирует корзину товаров и направляет магазину запрос на выставление счета.

2. Магазин в ответ на запрос покупателя направляет ему заверенный своей электронной цифровой подписью (ЭЦП) счет, в котором указывает наименование товара (услуги), код магазина, время и дату совершения операции. С гражданско-правовой точки зрения этот счет является пред­ложением заключить договор (офертой).

3. Покупатель заверяет своей ЭЦП предъявленный ему счет и отправ­ляет его обратно в магазин, совершая тем самым акцепт. Договор считает­ся заключенным с момента подписания покупателем выставленного ему счета. В системе счет, подписанный покупателем, становится чеком.

4. Подписанный двумя ЭЦП (магазина и покупателя) чек направляется магазином в Банк для авторизации.

5. Банк производит обработку подписанного чека: проверяет наличие в системе магазина и покупателя, проверяет ЭЦП покупателя и магазина, проверяет остаток и лимиты средств на счете покупателя, сохраняет копию чека в базе данных банка.

В результате проверок формируется разрешение или запрет проведе­ния платежа. При разрешении платежа банк переводит денежные средства со счета покупателя на счет магазина, передает магазину разрешение на оказание услуги (отпуск товара), а магазин оказывает услугу (отпускает товар). При запрете платежа банк передает магазину отказ от проведения платежа, а покупатель получает отказ с описанием причины.

Покупатель полностью контролирует процесс совершения покупки. В качестве документального подтверждения совершенной сделки у каждой стороны остаются подписанные ЭЦП чеки, удостоверяющие факт совер­шения сделки и имеющие юридическую силу.

Другим вариантом расчета является оплата по кредитной карточке. Общая схема взаимодействия в этом случае выглядит следующим образом.

1. Покупатель через Интернет подключается к Web-cepBepy Интернет- магазина, формирует корзину товаров и выбирает форму оплаты по кре­дитным карточкам.

2. Магазин формирует заказ и переадресует покупателя на сервер авто­ризации, одновременно туда же передаются код магазина, номер заказа и его сумма.

3. Сервер авторизации устанавливает с покупателем соединение по за­щищенному протоколу (SSL) и принимает от покупателя параметры его кредитной карточки (номер карточки, дату окончания действия карточки, имя держателя карточки в той транскрипции, как оно указано на карточке). Информация о карточке передается в защищенном виде только на сервер авторизации и не предоставляется магазину при операциях покупателя.

4. Авторизационный сервер производит предварительную обработку принятой информации и передает ее в банк.

5. Банк проверяет наличие магазина в системе, проверяет соответствие операции установленным системным ограничениям. По результатам про­верок формируется запрет или разрешение проведения авторизации тран­закции в карточную платежную систему.

6. При запрете авторизации: банк передает серверу авторизации отказ от проведения платежа, сервер авторизации передает покупателю отказ с описанием причины, а магазину — отказ с номером заказа.

7. При разрешении авторизации запрос на авторизацию передается че­рез закрытые банковские сети банку-эмитенту карточки покупателя или процессинговому центру карточной платежной системы, уполномоченно­му банком-эмитентом.

8. При положительном результате авторизации, полученном от карточ­ной платежной системы: банк передает серверу авторизации положитель­ный результат авторизации, сервер авторизации передает покупателю по­ложительный результат авторизации, а магазину — положительный ре­зультат авторизации с номером заказа, магазин оказывает услугу (отпуска­ет товар), банк осуществляет перечисление средства на счет магазина в со­ответствии с существующими договорными отношениями между банком и магазином.

9. При отказе в авторизации: банк передает серверу авторизации отказ от проведения платежа, сервер авторизации передает покупателю отказ с описанием причины.

10. Сервер авторизации передает магазину отказ с номером заказа.

Существуют и свои сложности, в первую очередь это касается

обеспечения безопасности расчетов. Разработчики прилагают немалые усилия для защиты данных, но полной гарантии пока быть не может.

Открывая электронный магазин, следует иметь ввиду, что число вла­дельцев карточек в России невелико, из них около 90% приходится на зар­платные проекты.

Системы второго типа позволяют использовать деньги, внесенные на лицевой счет Интернет-провайдера (ISP). Такой метод дает возможность осуществлять микроплатежи ($1-$2), для которых системы с пластиковы­ми карточками неэффективны (в них рентабельны операции на сумму не менее $20). К минусам данной системы оплаты можно отнести то, что про­вайдер выполняет несвойственные ему функции банка, хотя банк в этой схеме тоже участвует, кроме того, число пользователей системы напрямую зависит от количества "охваченных" ею провайдеров.

Деятельность систем с использованием "электронного кошелька" ба­зируется на применении специального программного обеспечения, храня­щего виртуальные деньги. Однако электронные деньги возникают в ко­шельке только после того, как пользователь перевел на счет компании- владельца системы свои реальные накопления. И вы должны очень сильно доверять организации, поддерживающей эту систему. Наличие комисси­онного сбора, например, у Webmoney в размере 0,8% от каждой операции, также не очень привлекает пользователей. Но тем не менее, по общемиро­вому прогнозу технология "электронных кошельков" в будущем вытеснит из Интернета платежи по электронным картам.

Из систем платежей по смарт-карточкам пока существует только одна — фирмы "СмартКардСервис". Для оплаты используются карточки "СБЕР- КАРТ" Сбербанка России.

Смарт-карта представляет собой новый вид носителя информации, основанный на микропроцессорной электронике. Преимущества смарт- карт перед карточками с магнитной полосой очевидны: процессор, распо­ложенный на карточке, позволяет клиенту обойтись без ONLINE авториза­ции (исключает связь по телефону), что значительно экономит время, де­лает ненужным введение неснижаемого остатка и исключает ошибки свя­занные с передачей данных по каналам связи. Для расчётов по смарт- картам владельцу карты необходимо ввести личный код (PIN-код), без знания которого, операция проведена не будет, кроме того, после трое­кратного неправильного набора PIN-кода, карточка будет заблокирована, что сводит на нет риск воровства денежных средств с карты.

Со смарт-карты нельзя сделать дубликат, микропроцессор карты сле­дит за целостностью данных при помощи внутренних уникальных алго­ритмов. В случае утери смарт-карты денежные средства, находящиеся на ней, не пропадают, а переводятся на новую карту.

Платежи, происходящие с помощью электронных денег, очень быстры во времени, а сами электронные деньги по своей сути лишь информация о реально существующих средствах. Самые большие проблемы в расчетах в Интернете — обеспечение их безопасности и признание законности новых платежных систем.

Сдерживание развития электронного бизнеса в России связано со сле­дующими проблемами.

• Недостаточное число пользователей Интернет.

• Необходимость расширения системы кредитных карточек.

• Необходимость развития инфраструктуры системы связи.

• Необходимость повышения безопасности передачи данных в Ин­тернет.

• Необходимость принятия соответствующих законодательных ак­тов.

• Нехватка средств на финансирование Интернет-проектов.

Здесь есть определенные успехи. Принят "Закон об информации, ин­форматизации и защите информации", "Закон об электронно-цифровой подписи", в новом Уголовном Кодексе РФ есть статьи, позволяющие при­влекать к ответственности за нарушения, связанные с компьютерами, раз­работана "Концепция информационной безопасности", "Концепция фор­мирования информационного общества в России". Все проблемы заклю­чения контрактов, регистрации доменных имен, торговых марок должны быть решены с помощью соответствующих законов или инструкций.

17 Безопасность информационных систем в экономике

Становление рыночной экономики в России породило ряд проблем. Одной из таких проблем является обеспечение безопасности бизнеса. На фоне высокого уровня криминализации общества, проблема безопасности любых видов экономической деятельности становится особенно актуаль­ной. Информационная безопасность среди других составных частей эко­номической безопасности (финансовой, интеллектуальной, кадровой, тех­нико-технологической, политико-правовой, экологической, маркетинговой и физической) является одной из главных составляющих.

Термин "безопасность" в законе РФ «О безопасности» определяется как "состояние защищённости жизненно важных интересов личности, об­щества, государства от внутренних и внешних угроз». Cocтoяниe защи­щенности — это стабильно прогнозируемое во времени состояние окруже­ния, в котором предприятие может осуществлять свои уставные задачи без перерывов, нарушений и потери конкурентоспособности

Следует различать понятия информационная безопасность и безопас­ность информации. Первое понятие охватывает более широкий круг про­блем. Согласно Доктрине информационной безопасности России инфор­мационная безопасность — состояние защищённости информационной сферы (информационной среды общества), обеспечивающее её формиро­вание и развитие в интересах граждан, организаций и государства. Жиз­ненно важные интересы — совокупность потребностей, обеспечивающих существование и прогрессивное развитие. Объекты безопасности — лич­ность, её права и свободы, общество — его духовные и материальные цен­ности, государство — его конституционный строй, суверенитет и террито­риальная целостность. С точки зрения информационной безопасности не­обходимо защитить граждан (информационная безопасность личности) от ненужной информации, от разрушающего психику и сознание потока ин­формации. С другой стороны, необходимо обеспечить право граждан на информацию.

Информационная безопасность как составная часть экономической безопасности предпринимательской деятельности включает в себя: а) комплексную программу обеспечения безопасности информационных ре­сурсов предприятия и б) экономически обоснованную технологическую систему защиты, обеспечивающую должный уровень защищенности, го­товности, надежности ИС и безопасность информации.

Безопасность информации — это обеспечение ее конфиденциально­сти, целостности и доступности законным пользователям. Безопасность информации - состояние защищённости информации, обрабатываемой средствами вычислительной техники (ВТ), находящуюся на машинных и традиционных носителях, от внутренних и внешних угроз.

Угрозам — случайным или намеренным действиям, выводящим фир­му, независимо от рода ее деятельности, из состояния безопасности со сто­роны внешнего окружения и внутренних источников подвержены персо­нал, имущество, информация и товары при перемещении. Кроме того, фирма может быть признана виновной в судебном порядке за ущерб, нане­сённый третьим лицам (включая и собственных служащих) или собствен­ности.

Таким образом, можно определить цель обеспечения безопасности ин­формации, которая заключается в защите прав собственности на неё, и за­дачи безопасности, которые заключаются в защите её от утечки, копирова­ния, блокирования, модификации и утраты.

18. Методы и способы защиты

На каждом предприятии, независимо от его размеров, вида собствен­ности и направления деятельности применяются однотипные методы и способы защиты, реализующие модель системы защиты. Блок методов за­щиты - это препятствия, регламентация, разграничение доступа, маски­ровка, побуждение и принуждение. Перечисленные методы реализуются применением следующих способов защиты. Препятствия (физический способ) - установка ограждений вокруг предприятий, ограничения доступа в здание и помещения, установка сигнализации, охрана. Разграничение доступа осуществляется физическим способом и программно - техниче­ским. Маскировка предусматривает использование криптографических программных средств. Побуждение - соблюдение пользователями этиче­ских норм при обработке и использовании информации. Регламентация подразумевает наличие инструкций и регламентов по обработке информа­ции, а запрещение предполагает наличие правовых норм, закрепленных в нормативных документах и определяющих юридическую ответственность в случае их нарушения.

Согласно руководящим документам Государственной технической ко­миссии при президенте РФ, органу, который определяет порядок защиты информации и контролирует применение программно-технических средств защиты, перечисленные выше методы и способы защиты, объединяются в четыре подсистемы, которые устанавливаются в информационных систе­мах:

1. Подсистема разграничения доступа — осуществляет защиту входа в информационную систему с помощью программных (пароли) и про­граммно-технических средств (электронные ключи, ключевые дискеты, устройства распознавания пользователей по биометрическим признакам и др.).

2. Подсистема регистрации и учета — осуществляет регистрацию в специальном электронном журнале пользователей и программ, полу­чивших доступ в систему, к файлам, программам или базам данных, время входа и выхода из системы и другие операции, выполняемые пользователями.

3. Криптографическая подсистема — набор специальных программ, осуществляющих шифрование и расшифрование информации. Наличие криптографической подсистемы особенно необходимо в информаци­онных системах, используемых для электронного бизнеса.

4. Подсистема обеспечения целостности (неизменности) информации включает в себя наличие физической охраны средств вычислительной техники и носителей, наличие средств тестирования программ и дан­ных, использование сертифицированных средств защиты.

• 19 Правовая защита информации

• Среди различных методов защиты информации, особая роль отводится правовой защите. При всех своих возможностях и обязательности исполь­зования, физические и программно-технические способы защиты не смо­гут обеспечить безопасность информационных систем, если отсутствует адекватная правовая база, регламентирующая деятельность в информаци­онной сфере. Под адекватной правовой базой понимается совокупность правовых норм, содержащихся в законах и других источниках, признавае­мых государством, и являющихся общеобязательным критерием дозволен­ного, предписанного и запрещенного поведения пользователей информа­ционных технологий. Нарушение норм влечет юридическую ответствен­ность: дисциплинарную, гражданскую, административную и уголовную.

• К настоящему времени насчитывается свыше 1000 нормативных актов различного уровня, регулирующих правоотношения в области создания, распространения, обработки, хранения и использования информации и правоотношения в области создания и эксплуатации информационных систем.

• Виды защищаемой информации. Статья 21 Закона РФ "Об информа­ции, информатизации и защите информации" определяет, что защите под­лежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу и иному лицу. Однако требования к системам защиты и нормы ответственности зависят от категории защищаемой информации. Закон подразделяет информацию по уровню доступа на следующие категории: общедоступная, открытая информация, информация о гражданах (персональные данные) и конфи­денциальная информация. Конфиденциальная информация — документи­рованная информация, доступ к которой ограничивается в соответствии с законодательством РФ. В свою очередь, документированная информация с ограниченным доступом по условиям её защиты подразделяется на ин­формацию, отнесённую к государственной тайне и конфиденциальную. К конфиденциальной информации относятся сведения, определяемые общим понятием — тайна. В действующих сегодня законах встречается 32 вида тайн. Это обстоятельство затрудняет применение норм права и вызывает противоречия при их применении. С целью упорядочения, сделана попыт­ка, систематизировать перечень сведений, отнесённых к разряду конфи­денциальных, подзаконным актом — Указом Президента РФ №188 от 6.03.97 г.

• Еще раз подчеркнем, что режим защиты различается в зависимости от категории информации по уровню доступа к ней. Так, в отношении сведе­ний, отнесенных к государственной тайне, режим защиты устанавливается уполномоченными органами на основании Закона РФ «О государственной тайне». В отношении конфиденциальной документированной информации режим защиты устанавливается собственником этой информации на осно­вании соответствующих законов. Так, согласно ст.139 Гражданского Ко­декса РФ к коммерческой тайне относятся сведения, представляющие по­тенциальную ценность для её обладателя в силу неизвестности третьим лицам. Здесь же определено, что обладатель коммерческой тайны должен сам предпринимать меры к её сохранности. Поэтому, с точки зрения обла­дателя коммерческой тайны, необходимо обеспечить защиту как докумен­тированной, так и недокументированной информации.

• Возникает вопрос - если обладатель коммерческой тайны сам должен обеспечить ее сохранность, в чем тогда заключается суть правовой защи­ты? Ответ на этот вопрос заключается в том, что законом предусмотрена юридическая ответственность (дисциплинарная, административная и уго­ловная) в случае нарушения порядка использования информации и инфор­мационных технологий, незаконный сбор и разглашение коммерческой тайны, нарушение системы защиты.

• Так, Трудовой Кодекс РФ согласно ст. 81 п. в) предусматривает рас­торжение трудового договора по инициативе работодателя в случае раз­глашения работником охраняемой законом тайны (государственной, ком­мерческой, служебной и иной), ставшей известной работнику в связи с ис­полнением им трудовых обязанностей.

• Согласно Статье 13.14 Кодекса РФ об административных правонару­шениях, разглашение информации, доступ к которой ограничен федераль­ным законом (за исключением случаев, если разглашение такой информа­ции влечет уголовную ответственность), лицом, получившим доступ к та­кой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на долж­ностных лиц — от сорока до пятидесяти минимальных размеров оплаты труда.

• В случае, если разглашение коммерческой или банковской тайны при­чинило ее обладателю крупный материальный ущерб, согласно ст. 183 Уголовного Кодекса РФ к лицу, виновному в совершении преступления, могут быть применены наказания от штрафа до двухсот минимальных зарплат и даже лишения свободы на срок до десяти лет.

• Особенности защиты сведений, составляющих коммерческую тай­ну. По неофициальным оценкам сотрудников ФСБ России практически каждая крупная отечественная фирма крадет информацию у своих конку­рентов и одновременно страдает от аналогичных действий с их стороны. Поэтому предприниматели должны обращать особое внимание на защиту коммерческой тайны. Прежде всего, необходимо определить какая инфор­мация требует защиты, выяснить возможные внешние и внутренние угро­зы безопасности и разработать соответствующую угрозам систему защиты.

• К информации, имеющей коммерческую значимость, относят сведения о количестве выпускаемой продукции и объемах продаж, сведения о по­ставщиках и производителях, продавцах и дилерах, договорах и клиентах. Планы фирмы, предельные цены, себестоимость продукции, имена и адре­са сотрудников, маркетинговые и аналитические исследования. Финансо­вое состояние фирмы, размеры оплаты труда, денежный наличный оборот, особенно каналы движения денежной массы.

• Для обеспечения режима коммерческой тайны весьма важными явля­ются организационно-правовые меры. Прежде всего, должен быть органи­зован конфиденциальный документооборот. Каждый документ, содержа­щий сведения, отнесенные к коммерческой тайне должен иметь соответст­вующий гриф (конфиденциально, КТ и т.п.). Гриф «секретно» использует­ся только для документов, содержащих сведения, относимые к государст­венной тайне. Должен быть определен круг лиц, которые имеют доступ к соответствующим документам и базам данных, разработаны правила раз­граничения доступа в информационную систему, порядок хранения, учета и уничтожения материальных носителей, заведен журнал учета движения конфиденциальных документов.

• Кроме того, при приеме на работу, с будущими сотрудниками прово­дится соответствующий инструктаж, а в контракте (заявлении о приеме на работу) должны быть предусмотрены соответствующие пункты о нераз­глашении конфиденциальных сведений.

•

20 Криптография с публичным ключом и электронная цифровая

подпись

Защита информации особенно актуальна в электронном бизнесе. Здесь возникают проблемы не только защиты данных при передаче по каналам связи от перехвата, подделки или уничтожения, но и задачи аутентифика­ции деловых партнеров, подтверждения подлинности передаваемых доку­ментов, а также их юридической силы. Криптография является надежным способом решения перечисленных задач.

Криптография (от греческого kripto - тайна) представляет собой сово­купность методов преобразования данных, направленных на то, чтобы сделать зашифрованные данные бесполезными для злоумышленника. Шифрование (необходимо отличать от кодирования) - это многократное однотипное математическое преобразование текста по определенному ал­горитму с помощью ключа шифрования. Ключ шифрования - это конкрет­ное состояние алгоритма из множества возможных состояний. В качестве алгоритмов используют замены, перестановки или их сочетание, осущест­вляемые по определенным законам. Например, в качестве алгоритма мож­но выбрать матрицу размерностью M x N. Исходный текст записывается по строкам, а зашифрованный считывается по столбцам. Здесь ключом шифрования будет размерность матрицы.

Существует два метода шифрования - симметричный и асимметрич­ный или метод шифрования с публичным ключом. Последний метод и по­зволяет решить задачи обеспечения конфиденциальности, целостности пе­редаваемого документа и аутентификации лица, передавшего документ.

При симметричном методе шифрование и расшифровка документа осуществляется одним ключом, сгенерированным по заданному алгоритму специальным генератором (программой). Одним из существенных недос­татков этого метода является трудность в передаче ключа. Однако, в со­временных информационных системах этот метод широко используется совместно со специальными методами передачи ключей для канального (поточного) шифрования данных, передаваемых в сети Интернет. Для этих целей используются сеансовые ключи, которые действуют непродолжи­тельное время, что делает бесполезным их определение для злоумышлен­ника даже в случае перехвата зашифрованного сообщения. В России алго­ритм симметричного шифрования утвержден государственным стандар­том ГОСТ 28147 - 89.

Метод несимметричного шифрования является основой коммерческой криптографии. В этом методе специальной программой генерируется два ключа - публичный (открытый для всех пользователей информационной системы) и закрытый ключ, хранящийся в секрете у пользователя, сгене­рировавшего эти ключи. Математической основой метода шифрования с публичным ключом служит утверждение о том, что в настоящее время от­сутствуют математические доказательства какого-либо способа нахожде­ния сомножителей двух простых чисел по известному их произведению. Впервые это было показано американскими математиками Райвестом, Шамилем и Адельманом. Поэтому в их честь один из алгоритмов шифро­вания называется RSA.

Суть алгоритма заключается в последовательности следующих дейст­вий. Выбираются (генерируются) два простых числа q и p большой раз­мерности (до 200 знаков). Затем вычисляется произведение этих чисел [n = q*p]. Ищется число e совместно простое с произведением [e U (q-1)*(p-1)]. Затем находится число d , удовлетворяющее условию e*d mod (q-1)*(p-1) = 1. Операция mod n означает остаток от деления. В качестве ключей шиф­рования выбираются пары чисел: {e, n) - открытый ключ, {d, n} - закры­тый ключ. Открытый ключ рассылается всем заинтересованным партне­рам, а закрытый ключ хранится у отправителя. Подчеркнем важное свой­ство алгоритма шифрования: сообщение зашифрованное открытым клю­чом может быть расшифровано только связанным с ним закрытым клю­чом, причем открытый ключ не позволяет вычислить ключ закрытый.

Процедура шифрования выполняется по формуле C = M^Ae mod N. Здесь М открытый текст, а С - зашифрованное сообщение, е - открытый ключ, N - произведение исходных простых чисел, на основе которых вычислялись ключи шифрования. Процедура расшифрования заключается в вычислениях по формуле M= C^Ad mod N (d - закрытый ключ). Не забываем, что обрабатываемые на компьютере тексты, представлены в двоичном коде.

В России для асимметричного шифрования используется алгоритм, ус­ложненный по отношению к алгоритму RSA и утвержденный государст­венным стандартом ГОСТ Р3410 -10.

Электронная цифровая подпись. В традиционном бумажном доку­ментообороте авторство документа и его подлинность (аутентификация) подтверждаются рукописной подписью и печатью, поскольку текст доку­мента и удостоверяющие реквизиты жестко связаны с материальным носи­телем. В электронных документах такой связи нет.

Поэтому для установления подлинности автора электронного доку­мента и отсутствия изменений, в полученном по каналу связи документе, используется электронная цифровая подпись (ЭЦП). Согласно Закона РФ «Об электронной цифровой подписи» от 10.01.02 — электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием за­крытого ключа электронной цифровой подписи и, позволяющий иденти­фицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Электронная цифровая подпись признается равнозначной собственноручной подписи на бумажном носителе. ЭЦП выполняет следующие функции:

• удостоверяет, что подписанный текст исходит от лица, поставившего подпись;

• не дает самому этому лицу возможности отказаться от обязательств, связанных с подписанным текстом;

• гарантирует целостность (неизменность) подписанного документа. ЭЦП представляет собой несколько буквенно-цифровых символов,

передаваемых вместе с электронным документом.

Технология получения и проверки ЭЦП включает в себя следующие процедуры: 1) процедуру вычисления дайджеста (хэш - функции) сообще­ния; 2) процедуру зашифрования дайджеста закрытым ключом отправите­ля; 3) процедуру вычисления дайджеста сообщения (хэш - функции) полу­чателем; 4) проверку полученного дайджеста, путем расшифрования его открытым ключом; 5) сравнение вычисленного получателем дайджеста с полученным в результате расшифрования (верификация).

Получение дайджеста сообщение (хэширование) осществляется путем обработки текста с помощью специального преобразования. Хэш-функция строится на основе однонаправленной математической функции (напри­мер, дискретного логарифмирования), т.е. это преобразование строится та­ким образом, что после преобразования невозможно восстановить исход­ный текст. Хэш - функция предназначена для сжатия подписываемого до­кумента произвольной длины до нескольких десятков или сотен бит. Зна­чение хэш - функции (дайджеста) сложным образом зависит от документа и даже внесение пробела или изменение одного символа в тексте приводит к полному изменению дайджеста и, соответственно, ЭЦП. Программы для вычисления дайджеста и у отправителя, и у получателя идентичны. Прин­ципиальным моментом в системе ЭЦП является невозможность подделки ЭЦП пользователя без знания его секретного ключа подписывания. В ка­честве подписываемого документа может быть использован любой файл. В России алгоритм хэш - функции утвержден государственным стандартом Р 3411-94.

Самый лучший и надежный способ распространения открытых ключей - воспользоваться услугами сертификационных центров, которые сейчас создаются в России. Сертификационный центр выступает как хранилище цифровых сертификатов. Он принимает открытые ключи вместе с доказа­тельствами личности лица, приславшего ключ. Сертификаты выступают в роли варианта удостоверения личности. Они позволяют убедиться коррес­пондентам, что лицо распространяющее ключи, является тем, за кого себя выдает.

«Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномочен­ного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и, которые выдаются удостоверяю­щим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи» (Закон РФ «Об электронной цифровой под­писи»). Таким образом, на основании закона, сертификация ключей будет производиться специальными удостоверяющими центрами, которые будут являться посредниками между пользователями информационных систем, использующими ЭЦП. Главная роль удостоверяющего центра заключается в подтверждении факта (в случае возникновения спорной ситуации), что данный ключ подписи принадлежит именно тому лицу, которое отправило ключ в сертификационный центр.

При использовании ЭЦП в деловом обороте необходимо помнить, что юридическая сила электронного документа признается лишь при исполь­зовании сертифицированных специальными лабораториями (здесь серти­фикация понимается как соответствие утвержденным стандартам) про­граммно - технических средств для генерации ключей.

Технология использования ЭЦП является надежным средством обес­печения безопасности при ведении электронного бизнеса.