На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 4 июль–август 2012 г.
Тема номера:
БЕЗОПАСНОСТЬ СИСТЕМ СВЯЗИ

Аудит информационной безопасности систем электронной подписи

С. С. Бычков
Сибирский государственный аэрокосмический университет им. академика М. Ф. Решетнева


Предыдущая статьяСледующая статья

6 апреля 2011 года указом Президента Российской Федерации был принят Федеральный закон «Об электронной подписи». Этот закон позволяет в перспективе отказаться от ФЗ № 1 «Об электронной цифровой подписи» от 10.01.2002, который в определенной степени становился помехой в деле внедрения электронной подписи на территории РФ. Однако новый законодательный акт дал почву для новых вопросов. Их необходимо решать путем внесения поправок и издания методических рекомендаций. Однако данная статья посвящена не плюсам и минусам нового федерального закона, а обязанностям, которые вводит данный нормативный акт. В частности, об обязанности, изложенной в ст. 13 «Удостоверяющий центр». Подпунктом 10 п. 1 ст. 13 удостоверяющий центр «осуществляет иную связанную с использованием электронной подписи деятельность», при этом согласно пп. 1 п. 2 удостоверяющий центр обязан «информировать в письменной форме заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки».

На плечи удостоверяющего центра ложится задача обеспечения безопасного использования электронной подписи. С первого взгляда задача эта выглядит простой и не требует приложения особых усилий для ее разрешения: достаточно создать универсальный договор — правила использования электронной подписи, ознакомить с ними клиента, и задача решена. При этом в результате неправильного использования клиентом электронной подписи может возникнуть еще одна сложность, связанная с работой удостоверяющего центра, — арбитраж электронной подписи.

Таким образом, в целях экономии сил и времени как со стороны удостоверяющего центра, так и со стороны клиента такового предложено ввести систему контроля клиентских приложений, которая будет отслеживать действия пользователя в режиме реального времени, собирать необходимые параметры для анализа и применения воздействий с целью предупреждения и предотвращения возможных преступных действий. Для этой цели хорошим средством является аудит. Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Реализация протоколирования и аудита решает следующие задачи:

  • обеспечение подотчетности пользователей и администраторов;
  • обеспечение возможности реконструкции последовательности событий;
  • обнаружение попыток нарушения информационной безопасности;
  • предоставление информации для выявления и анализа проблем.

Поскольку, как правило, наличествует необходимость максимально оперативного пресечения нарушений, далее будем рассматривать именно активный аудит.

< ... >
 


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2024 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

   Rambler's Top100    Технологии разведки для бизнеса