2015-05-05
332
ЭЦП – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие, искажение информации в электронном документе.
Владелец сертификата ключа подписи – физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью средств ЭЦП создавать свою электронную подпись.
Средства ЭЦП – аппаратные и программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:
Создание ЭЦП с использованием закрытого ключа ЭЦП
Подтверждение с использованием открытого ключа ЭЦП подлинности
Создание закрытых и открытых ключей ЭЦП
Закрытый ключ ЭЦП – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах ЭЦП с использованием средств ЭЦП.
|
|
|
Открытый ключ ЭЦП – уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю ИС и предназначенная для подтверждения подлинности ЭЦП в электронном документе.
Согласно этому закону, ЭЦП равнозначна собственноручной подписи в документе на бумажном носителе, при соблюдении следующих условий:
Сертификат ключа подписи не утратил силу на момент проверки или на момент подписания электронного документа
Подтверждена подлинность ЭЦП в электронном документе
ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи
Сертификат ключа подписи включает уникальный регистрационный номер, дату начала и конца действия сертификата, ФИО владелица, открытый ключ ЭЦП, наименование средств ЭЦП, с которыми используется открытый ключ.
В 1993 г. несколько организаций (семь европейских и североамериканских государственных организаций) объединили усилия по созданию частных нормативных документов по информационной безопасности и начали совместную деятельность по упорядочению своих критериев в одно множество критериев безопасности ПИТ, которые могли бы использоваться в рамках международного сотрудничества в данной области. Эта деятельность была названа Проектом общих критериев (ОК). Его целью должно было стать разрешение концептуальных и технических отличий, обнаруженных в предыдущих нормативных документах - источниках критериев, и представление результатов в 130 как исходных положений по разработке международного стандарта.
|
|
|
Версия 1.0 ОК была завершена в январе 1996 г. и одобрена 130 в апреле 1996 г. Затем Проект ОК претерпел ряд изменений, основанных на отзывах, полученных от экспертных организаций. Совет по выполнению ОК завершил версию 2.0 в октябре 1997 г., которая была принята в качестве второго проекта. В целях сохранения историчности документ использует термин "общие критерии", однако его официальное название - "Критерии оценки безопасности информационной технологии". Объединенным техническим комитетом 130/1ЕС ЦТС 1 был подготовлен Международный стандарт 130/1ЕС 15408, тождественный общим критериям.
Стандарт 130/1ЕС 15408, состоящий из нескольких частей, определяет критерии, которые должны использоваться как основа для оценки свойств безопасности продуктов информационных технологий (ПИТ). Посредством установления такой базы общих критериев результаты оценки безопасности ПИТ должны быть понятны широкой аудитории.
ОК полезны как руководство для разработки защищенных ПИТ или систем с функциями безопасности и для закупки коммерческих продуктов и систем с такими функциями. Во время оценки такой продукт ПИТ или система называются объектом оценки (00ц). Объекты оценки включают, в частности, операционные системы, вычислительные сети, распределенные системы и прикладные приложения.
ОК рассматривают защиту информации от несанкционированного доступа, модификации или потери возможности использования (потерю доступности). ОК рассматривают угрозы информации, возникающие от человеческой деятельности (преднамеренной или непреднамеренной).
Кроме того, ОК могут применяться и против некоторых угроз, не связанных с человеческим фактором, а также в других областях ПИТ, но не претендуют на корректность вне области безопасности ПИТ. ОК могут быть использованы для выбора соответствующих мер безопасности ПИТ и содержат критерии для оценки требований безопасности.
Существуют три группы с общими интересами в оценке свойств безопасности продуктов и систем ПИТ: потребители 00ц, разработчики 00ц и оценивающие 00ц (эксперты). Критерии, приводимые в ОК, построены так, чтобы поддерживать интересы всех трех групп. Принципиально все они считаются пользователями ОК.
ОК играют важную роль при выборе потребителем требований безопасности ПИТ для выражения их нужд. Потребители могут использовать результаты оценок, чтобы решить, действительно ли оцениваемый ПИТ удовлетворяет их нужды безопасности. Эти потребности в безопасности обычно определяются в результате как анализа риска, так и выбора направления политики безопасности. Потребители могут также использовать результаты оценки для сравнения различных продуктов или систем.
ОК предназначены для поддержки разработчиков в подготовке продуктов и систем, их оценке, а также в определении требований безопасности, которым должен удовлетворять каждый из их продуктов или систем. ОК описывают функции безопасности, которые разработчик может включить в 00ц.
ОК содержат критерии, которые должны использоваться оценивающими (экспертами) при формировании суждений о соответствии 00ц требованиями по их безопасности. ОК описывают множество общих действий, которые должен выполнить эксперт, и функции безопасности, в соответствии с которыми выполняются эти действия. Хотя ОК ориентированы на определение и оценку свойств (безопасности ПИТ в различных 00ц, они также могут быть полезны в
. качестве справочного материала для всех, кто заинтересован в ^безопасности или отвечает за безопасность ПИТ. Использование общей методологии оценок содействует воспроизводимости и объективности результатов, но само по себе не является достаточным. Многие из критериев оценки требуют применения экспертного заключения и дополнительных знаний и навыков, по
