Организация использования цифровых сертификатов и электронно-цифровой подписи при обеспечении безопасности электронного документооборота хозяйствующего субъекта
Вид материала | Документы |
- Зако н об электронном документе и цифровой подписи, 293.35kb.
- Тема 1 Шифрование и электронно-цифровая подпись в системе документооборота (Лабораторная, 693.98kb.
- Набор требований, условий и регламентных процедур сторон, участвующих в информационном, 217.37kb.
- Статья Правовое регулирование отношений в области использования электронной цифровой, 172.49kb.
- Статья Правовое регулирование отношений в области использования электронной цифровой, 177.24kb.
- Статья Правовое регулирование отношений в области использования электронной цифровой, 183.89kb.
- Российская федерация федеральный закон об электронной цифровой подписи, 189.86kb.
- Российская федерация федеральный закон об электронной цифровой подписи, 195.89kb.
- Российская федерация федеральный закон об электронной цифровой подписи, 193.83kb.
- Российская федерация федеральный закон об электронной цифровой подписи, 195.58kb.
Тема: Организация использования цифровых сертификатов и электронно-цифровой подписи при обеспечении безопасности электронного документооборота хозяйствующего субъекта.
Введение
- Принципы проведения экономических и финансовых операций с использованием технологий в электронной коммерции, банковских операциях и электронном документообороте.
- Основные понятия системы электронного документооборота
- Банковские операции и система банк-клиент
- Электронная коммерция класса business-to-business
- Налоговая отчетность
- Основные понятия системы электронного документооборота
1.5 Примеры применения защиты информации
- В электронной торговле
- В банковской среде
- В налоговой сфере
- Защита информации
- Основные понятия
- Требования по информационной безопасности
- Нормативная база
- Основные понятия
2.3.1 Федеральный закон « Об электронной цифровой подписи»
- Порядок организации защищенного электронного документооборота
- Межсетевое взаимодействие
- Средства криптографической защиты информации
- Установление доверительных отношений между удостоверяющими центрами
- Регистрация участников электронного документооборота
- Ответственность участников системы
- Конфликтные ситуации
- Межсетевое взаимодействие
- Рекомендуемая литература.
Заключение
Введение
Широкое внедрение компьютерной техники во все сферы деятельности человека привел к изменениям в обществе, пожалуй не меньшим, чем промышленная революция XIX в. За несколько десятилетий ЭВМ превратились из чисто «вычислительных» машин в мощные системы по обработке, хранению, передаче информации.
В результате создания глобальных компьютерных сетей произошел настоящий переворот в области передачи и распространения информации. С использованием средств удаленного доступа стали проводиться торги, участники которых имеют возможность совершать сделки, не покидая своего офиса. Поручения о переводе денег могут передаваться в банк в виде компьютерных данных за считанные секунды. Чтобы заключить договор в письменной форме, уже необязательно писать его на бумаге и заверять подписью – достаточно заверить компьютерный файл с текстом договора электронной подписью и направить его по телекоммуникационным каналам партнеру.
Вместе с тем компьютеризация привела к возникновению целого ряда проблем, в том числе и правовых. Традиционные правовые системы создавались в эпоху, когда главенствующую роль в рыночном обмене занимали материальные товары, а теперь, когда информация в стоимостном выражении стала существенной частью рынка, когда новые компьютерные технологии существенно изменили функционирование самого рынка, указанные системы часто уже не дают адекватных ответов на многие вопросы.
К числу таких проблем можно отнести следующие:
- Появление нового типа преступлений – преступлений в сфере компьютерной информации, связанных с несанкционированным доступом к компьютерной информации, созданием и распространением компьютерных вирусов и т.п.;
- Обеспечение правовой охраны программ для ЭВМ; определения правового режима компьютерной информации, баз данных;
- Регламентация доступа к базам данных, содержащим сведения о личной жизни граждан, определение ответственности за несанкционированное разглашение таких сведений;
- Правовое регулирование использования систем электронного документооборота и в связи с этим определение правового статуса электронных документов;
- Правовые проблемы, связанные с функционированием глобальных сетей, трансграничной передачей данных и трансграничными компьютерными преступлениями, и ряд других.
Системы электронного документооборота
Развитие компьютерных технологий позволило во многих областях заменить бумажный документооборот безбумажным (электронным). Первые системы электронного документооборота (ЭДО) появились в банковской сфере. В западной литературе такие системы получили название «системы электронного перевода денежных средств» (The Electronic Funds Transfer Systems (EFTS)). Одна из таких систем SWIFT1 функционирует с начала 1970-х годов.
В дальнейшем системы ЭДО стали широко применяться и для обмена другой коммерческой информацией. (Английское название таких систем Electronic Data Interchange, или сокращенно EDI). Уже много лет такие системы используются для продажи и бронирования авиационных билетов; транснациональные компании “Benetton”, “Microsoft”, ”Hewlett Packard” и др. используют системы ЭДО для передачи необходимой информации между своими подразделениями, занимающимися продажей и производством продукции.
Даже эти несколько примеров показывают, насколько широк спектр применения систем безбумажного документооборота в коммерческой деятельности в индустриально развитых странах. И в такой сфере, как оформление таможенных документов, где казалось бы, трудно избежать заполнения бумажных форм и бланков, в некоторых странах (например в странах ЕЭС) стало возможным представление деклараций в электронном виде. К проекту TVINN2 Норвежского таможенного управления присоединилось около семидесяти крупнейших норвежских компаний. В рамках этого проекта создана система ЭДО, позволяющая ее участникам использовать электронные таможенные декларации, которые направляются в таможенные органы из центральных офисов фирм по телекоммуникационным сетям.
В последние годы системы ЭДО стали активно внедряться и в нашей стране. Ряд крупных банков и банковских объединений (например, МДМ, УралСиб и др.) создают и используют в работе с клиентами и в межбанковском обмене указанные системы.
Очевидно, масштабы использования систем ЭДО в коммерческой деятельности будут увеличиваться благодаря множеству несомненных преимуществ этих систем перед традиционным документооборотом на бумажных носителях.
Во-первых, существенно возрастает скорость передачи и обработки информации. Правда, скорость выше только по сравнению с передачей бумажных документов по почте или с курьером, а такие средства обмена сообщениями, как телетайп и телефакс, позволяют обеспечить практически одинаковую с ЭДО скорость. Но и по сравнению с ними ЭДО имеет существенное преимущество. Системы ЭДО позволяют передавать структурированную определенным образом информацию, что в свою очередь позволяет автоматизировать обработку принимаемых сообщений. Естественно, при этом стороны должны предварительно договориться об обмене электронными документами и об их структуре. Проблема стандартизации документов в системах ЭДО является одной из важнейших на настоящий момент.
Во-вторых, значительно сокращается пространство, необходимое для хранения документации (например, вся "Большая советская энциклопедия" может быть записана на одном жестком магнитном диске персонального компьютера). Одновременно существенно упрощаются такие операции, как поиск необходимой информации, копирование документов.
В-третьих, использование систем ЭДО позволяет получить ощутимый экономический эффект. По оценкам американских фирм-производителей автомобилей, внедрение ЭДО позволяет сэкономить около 200 долл. на каждом автомобиле. Суммарное годовое сокращение издержек благодаря использованию систем ЭДО в Норвегии оценивалось в 2004 г. в 1,5 млрд. евро (около 1 млрд. долл.).
Электронно-цифровая подпись
ЭЦП имеет смысл только в том случае, если на предприятии действует система электронного документооборота. На первый взгляд может показаться, что ЭЦП – лишний атрибут документа, и все можно отрегулировать правами доступа в ЭДО. Но это работает, только если документ формируется одним сотрудником, а остальные его только исполняют или знакомятся. Но как только количество человек, подготавливающих и утверждающих документ, увеличивается, необходимо контролировать, чтобы утверждалась именно последняя версия документа. Используя ЭЦП можно обеспечить неизменность документа после проставления согласительной подписи каждого участника. Кроме того, на предприятиях, имеющих удаленные подразделения и филиалы, где используется электронная почта для передачи документов, использование ЭЦП снимает необходимость в распечатке и сканировании документов. Использование ЭЦП регламентируется законом № 1-ФЗ «Об электронной цифровой подписи» от 2002 г., для того чтобы ЭЦП широко вошла в гражданский оборот и применялась наряду с традиционной ( используемой уже тысячелетия) подписью, требовалось выполнить несколько условий как правого, так и неправового характера:
- Субъекты гражданского оборота оценили удобство и выгодность её использования. Ранее были показаны преимущества систем ЭДО. Однако если такие системы не позволят совершать гражданско-правовые сделки, а будут только удобным инструментом для быстрого обмена информацией, то экономический эффект от их использования, очевидно, снизится.
- Математики-криптологи предложили достаточно надежный способ подтверждения подлинности электронных документов и убедили в его надежности и возможности практического использования потенциальных пользователей, а также законодателя.
- Наконец, законодатель:
а) определил, что представляет собой цифровая подпись ( в отличии от традиционной подписи от руки, которую можно считать объектом очевидным и не нуждающимся в определении);
б) закрепил возможность и сферы применения электронных документов и цифровой подписи;
в) установил допустимость использования электронных документов в качестве доказательств в суде.
Предметом исследования данной работы является - Организация использования цифровых сертификатов и электронно-цифровой подписи при обеспечении безопасности электронного документооборота хозяйствующего субъекта.
Для достижения поставленной цели, необходимо решить следующие задачи:
- Описать принципы проведения экономических и финансовых операций с использованием технологий в электронной коммерции, банковских операциях и электронном документообороте.
- Рассмотреть защиту информации.
- Рассмотреть порядок организации защищенного электронного документооборота.
Дипломная работа разбита на 3 основные главы.
В первой главе рассматриваются основные понятия электронного документооборота. Его приложение в банковской деятельности, использование в налоговой сфере. Применение в электронной коммерции. И примеры применения защиты конфиденциальной информации.
Вторая глава посвящена защите информации. Основное внимание уделено основополагающим понятиям защиты информации, требованиям предъявляемым к информационной безопасности, и нормативной базе обосновывающей применение тех или иных средств защиты информации, а также федеральному закону « Об электронной цифровой подписи».
Третья глава целиком посвящена порядку организации защищенного документооборота, межсетевому взаимодействию, средствам криптографической защиты информации, установлению доверительных отношений между удостоверяющими центрами и регистрации участников электронного документооборота. Кроме того, рассматривается ответственность участников системы, и разрешение конфликтных ситуаций возникающих при взаимодействии этих участников.
-
Принципы проведения экономических и финансовых операций с использованием технологий в электронной коммерции, банковских операциях и электронном документообороте.
Электронный документ (ЭД) и электронная цифровая подпись (ЭЦП) в качестве надежных и эффективных инструментов для ведения бизнеса уже давно завоевали признание мирового бизнес-сообщества. С помощью ЭД могут заключаться сделки, может передаваться юридически значимая информация, в том числе и распорядительного характера, возможно даже удаленное управление бизнес-процессами в комплексе таких систем как CRM.
В настоящее время ЭД и ЭЦП в основном применяются в следующих сферах:
- Представление информации в электронном виде в министерствах и ведомствах Российской Федерации. Фактически началом данных отношений между государственными органами и юридическими лицами можно считать 23.01.2002 г. – момент вступления в силу Федерального закона «Об электронной цифровой подписи» (далее – ФЗ «Об ЭЦП». Согласно ему ЭД, заверенный ЭЦП, приобретает юридический статус, то есть имеет такую же юридическую силу, как и бумажный документ с собственноручной подписью и печатью. Позже был принят ряд нормативно-правовых актов, которые и составили законодательную базу для перехода на безбумажную технологию сдачи отчетности. Например, это ФЗ от 28.12.2001г. № 180-ФЗ «О внесении изменений в статью 80 части первой НК РФ» и ФЗ от 28.03.2002 г. № 32-ФЗ «О внесении изменений и дополнений в Федеральный закон «О бухгалтерском учете», на основе которых был утвержден Порядок представления налоговой декларации и бухгалтерской отчетности (приказ МНС России от 02.04.2002г. N БГ-3-32/169 и 705).
- Применение ЭД и ЭЦП в банковских и финансово-кредитных правоотношениях. ЭД, заверенный ЭЦП, как правовой институт, получил свое значительное развитие именно в сфере банковских правоотношений. И это не случайно. Поскольку процесс нормативного регулирования порядка и применения ЭД и ЭЦП, организации электронного документооборота (далее - ЭДО) в этой сфере получил свое развитие задолго до принятия ФЗ «Об ЭЦП» и части 2 Гражданского кодекса Российской Федерации. Значительная роль в этом принадлежит Центральному Банку России (далее - ЦБРФ). ЦБ РФ, как ни один другой государственный орган, принял значительное число нормативных актов, определяющих особенности применения ЭЦП в сфере финансово-кредитных правоотношений. В настоящее время действуют нормативные правовые акты ЦБ РФ, которые регулируют порядок использования ЭЦП в банковской сфере, от традиционных отношений между коммерческими банками и его клиентами до осуществления ЦБ РФ контрольно - надзорной функции и предоставлении кредитными организациями отчетности в электронной форме. Общим началом является признание юридической силы ЭД, подписанных ЭЦП, при положительном результате проверки ЭЦП. При этом почти все нормативно-правовые акты ЦБ РФ, вопреки ФЗ «Об ЭЦП», признают в качестве владельца ЭЦП юридическое лицо - кредитную организацию или ее клиента.
Особенности договорных отношений между коммерческими кредитными организациями и их клиентами заключаются в том, что при обмене ЭД кредитные организации рассматривают любое лицо как представителя клиента, обладающего полномочиями на совершение любых действий, предусмотренных правилами работы и иными нормативными актами, если указанное лицо направит ЭД, подписанный ЭЦП.
Использование ЭДО исключает необходимость обмена бумажными оригиналами документов. При этом риск компрометации ключа лежит на клиенте. Кредитные организации не несут ответственности за убытки, возникшие в результате действия третьих лиц, получивших доступ к ключу ЭЦП, до момента приостановления действия ключа ЭЦП, а равно и при нарушении сотрудниками клиента правил пользования ключом ЭЦП.
- Заключение договоров и совершение сделок с использованием ЭД в системах. Несмотря на отсутствие достаточно благоприятных и предсказуемых правовых условий для электронной торговли, отсутствие необходимых положений законодательства может быть компенсировано путем создания необходимых положений законодательства может быть компенсировано путем создания необходимых договорных конструкций в корпоративных информационных системах (под корпоративной информационной системой в российском законодательстве понимается информационная система, участниками которой могут быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы).
Одним из наиболее эффективных способов для предприятия структурировать существующие бизнес-процессы и реально их совершенствовать, является, внедрение системы электронного документооборота (СЭД).
Если компания планирует внедрение стандартов управления качеством ISO9000 или СММ, то наличие на предприятии СЭД является для этого необходимым условием: только автоматизация документооборота позволит получать количественные оценки эффективности работы сотрудников, обеспечит выполнение и поддержку в рабочем состоянии разработанных процедур, соблюдение требований стандартов управления качеством.
-
Основные понятия системы электронного документооборота
Понятие электронного документа
Электронный документ - документ, в котором информация представлена в электронно-цифровой формеi;
" ЭЛЕКТРОННЫЙ ДОКУМЕНТ представляет собой зафиксированную на материальном носителе информацию в виде набора символов, звукозаписи или изображения, предназначенную для передачи во времени и пространстве с использованием средств ВТ и электросвязи в целях хранения и общественного использования"ii.
" ЭЛЕКТРОННЫЙ ДОКУМЕНТ должен быть представленным в форме, понятной для восприятия человеком"iii.
С точки зрения традиционного документооборота можно выделить две основные функции бумажного документа: информационную и доказательственную (т. е. возможность использовать его в качестве допустимого доказательства). Главной причиной, по которой именно бумажные документы выполняют эти функции, является то, что именно бумага была на протяжении многих столетий наиболее распространенным материальным носителем, используемым для передачи и хранения информации. В последние десятилетия ситуация резко изменилась, объемы передаваемых в электронном виде данных стремительно растут. Как отмечалось ранее, системы безбумажного документооборота получают все более широкое распространение в самых разных областях. В связи с этим важное значение приобретает определение правового статуса электронного документа - очерчивание областей, где возможно и допустимо его применение.
Прежде всего попытаемся сформулировать, что же такое традиционный документ (документ на бумажном носителе). Наиболее полное и точное его определение дал В. Я. Дорохов: "Документ - письменный акт установленной или общепринятой формы, составленный определенными и компетентными учреждениями, предприятиями, организациями, должностными лицами, а также гражданами для изложения сведений о фактах или удостоверения фактов, имеющих юридическое значение, или для подтверждения прав и обязанностей"iv.
Требования к документу, вытекающие из приведенного определения, можно разделить на три группы. Первая отражает информационную функцию документа: документом может быть не любая информация, зафиксированная на бумажном носителе, а только сведения определенного характера (это требование согласуется с приведенным ранее определением ЭДО). Вторая (требования к форме) группа - это, по существу, требования, обеспечивающие доказательственную функцию документа (реквизитами формы могут служить наличие печати и подписи определенного лица, персональные данные о лице, издавшем документ, а также требования к бумажному носителю, например, бумага с защитными знаками и т. п.). Третья группа (компетентность источника документа) как бы связывает первые две, придает юридическую значимость документу. Документ, изданный некомпетентным органом, подписанный не уполномоченным на то лицом либо анонимный, не может служить подтверждением изложенных в нем сведений о фактах, удостоверять факты или подтверждать права и обязанности.
Понятие электронной цифровой подписи
Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для его утверждения и защиты от подделки. ЭЦП создается с помощью криптографического преобразования информации с использованием закрытого ключа (электронного сертификата). Для выдачи ключей и обеспечения их достоверности внутри предприятия должен быть создан удостоверяющий центр.
В законодательстве имеется точное описание понятия ЭЦП:
(Электронная) цифровая подпись (digital signature), ЭЦП — строка бит, полученная в результате процесса формирования подписиv.
«Электронная цифровая подпись — реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в ЭД»vi.
Другими словами, электронно-цифровая подпись - это последовательность символов, которая позволяет пользователю открытого ключа ЭЦП установить целостность и неизменность переданной ему информации, а также идентифицировать владельца закрытого ключа ЭЦП.
Понятие "закрытый ключ" обозначает систему, позволяющую владельцу информации зашифровывать ее – защитить от копирования, изменений и других манипуляций. Доступ к таким документам могут иметь только владельцы так называемого "открытого ключа". Это могут быть партнеры по бизнесу, с которыми заранее было заключено соглашение о подобном способе обмена документацией. При этом сторонами выбирается общая система, которая будет поддерживать возможность использования ЭЦП при совершении сделок.
С юридической силой ЭЦП тесно связано понятие сертифицирования. Для того чтобы использовать ЭЦП, требуется получить сертификат открытого ключа ЭЦП (сертификат ключа подписи) - документ, выданный и заверенный удостоверяющим центром. Документ подтверждает принадлежность открытого ключа ЭЦП определенному лицу. Открытый ключ указывается в сертификате. При его вводе система делает запрос в удостоверяющий центр, где устанавливается, является ли данный пользователь истинным владельцем открытого ключа.
-
Банковские операции и система клиент-банк
Система «Клиент-Банк» применяется в банковской структуре очень широко. Каждый банк, стремящийся использовать современные технологии, имеет основанную на ЭЦП электронную расчетную систему обслуживания крупных клиентов (юридических лиц) типа «банк-клиент». Банк заключает с клиентом соглашение, оговаривающее условия обслуживания и взаимного признания ЭЦП. После этого на выделенном компьютере клиента банковский специалист устанавливает соответствующий программный модуль системы и начинается обмен информацией в электронном виде. Клиент через сеть распоряжается своим банковским расчетным счетом, отсылая платежные поручения и заявки на другие операции, подписанные двумя ЭЦП – главного бухгалтера и руководителя. От банка поступает в основном информация справочного характера о состоянии счета клиента. Таким образом, схема построения системы достаточно проста и единообразна для всех банков, чего нельзя сказать о её реализации. Некоторые российские банки строят свои системы на западном алгоритме ЭЦП (RSA) и на различных программных пакетах иностранного производителей. Но большинство ориентируется на применение российского стандарта ЭЦП (алгоритма Р 34.10-94) и ПО отечественных производителей с различными характеристиками и интерфейсами. Процедура ЭЦП реализуется на базе цифровых сертификатов (как на основе общепризнанного международного формата сертификатов Х.509, так и специфических внутренних форматов) или самым элементарным образом на основе ведения на банковском сервере базы данных открытых ключей клиентов без их сертификации в электронном виде. Работу системы «банк - клиент» рассмотрим на основе, регламента функционирования системы «Клиент-Банк» банка «Новый Символ», размещенный с его разрешения.
- Электронные расчетно-денежные документы исполняются в те же сроки, что и соответствующие Бумажные документы, если только иные сроки не будут установлены положением Банка о порядке осуществления расчетно-кассовых и иных операций по договорам банковского счета.
- Электронный документ, переданный Клиентом, считается полученным Банком, если в сеансе связи того же рабочего дня, когда он был отправлен, Клиент получил от Банка подтверждение приема этого документа.
- Электронный документ Клиента считается принятым к исполнению Банком, если Клиент в специальном сеансе связи получил от Банка подтверждение его принятия к исполнению.
- Банк принимает решение об исполнении Электронного документа или об отказе от исполнения в течение одного рабочего часа после получения данного документа.
- Электронный документ, в отношении которого Банком принято решение о его исполнении, распечатывается и с соответствующими отметками Банка об исполнении передается Клиенту вместе с очередной выпиской по Счету. Неисполненные Банком Электронные документы помещаются в электронный архив переписки с Клиентом и каких-либо действий по отмене этих документов от Клиента не требуется. После внесения необходимых исправлений Клиент может повторно направлять в Банк Электронный документ с тем же номером и датой, что и неисполненный Банком документ.vii
При работе данной системы банк обязан гарантировать и использовать следующие меры безопасности:
«Меры безопасности
- Для обеспечения авторизации и защиты электронных сообщений производится генерация секретных и открытых Ключей СКБ, после чего Банк и Клиент обмениваются открытыми Ключами СКБ.
- Генерация секретных и открытых Ключей СКБ Банка производится на территории Банка его программно-аппаратными средствами.
Генерация секретных и открытых Ключей СКБ Клиента по выбору Клиента производится либо на территории Банка его программно-аппаратными средствами в присутствии лиц, получающих свои индивидуальные секретные Ключи СКБ, либо Клиентом самостоятельно с помощью предоставленных Банком средств СКБ. По согласованию с Банком Клиент может использовать для генерации своих секретных и открытых Ключей СКБ собственные программные средства или программные средства третьих лиц.
Аппаратный носитель передаваемых Ключей во всех случаях определяется Банком.
- При генерации секретных Ключей оформляется протокол генерации ключей, который подписывается лицом, получающим право использования соответствующей АСП. Подпись этого лица должна соответствовать образцу, имеющемуся в банковской карточке Клиента. В протоколе генерации ключей обязательно приводится открытый Ключ СКБ, соответствующий получаемому владельцем АСП секретному Ключу СКБ. Банк разрешает использование конкретной АСП только после принятия подписанного должным образом протокола генерации ключей.
- Неуполномоченные лица не должны иметь доступа к программным и аппаратным средствам СКБ, включая переданный Клиенту инсталляционный пакет СКБ. Рабочие места, где будет организована работа с клиентской частью СКБ, должны быть оснащены надежными средствами хранения аппаратных носителей секретных Ключей. Доступ к своему индивидуальному секретному Ключу СКБ должно иметь только лицо, получившее право на использование соответствующей АСП. Совместное хранение аппаратных носителей секретных Ключей СКБ различных лиц, а также передача по любой причине индивидуального секретного Ключа СКБ другому лицу не допускается. Запрещено копирование секретных Ключей, в том числе с целью создания резервных копий.
- Клиенту запрещается самостоятельно или с помощью любых третьих лиц исправлять ошибки, обнаруженные в СКБ. Обо всех проблемах, связанных с использованием СКБ, следует незамедлительно сообщать в Банк.
- Если Клиент установил, что его секретные Ключи СКБ утеряны, похищены или скопированы, или появилась угроза неправомерного использования СКБ, то Клиент обязан незамедлительно проинформировать об этом Банк по телефону, а также доставить в Банк в течение этого же рабочего дня письменное заявление о приостановлении исполнения Электронных документов или о блокировании определенных АСП. Указанное заявление может быть направлено в Банк по телефаксу. Неподтвержденное устное заявление Клиента считается неполученным.
- С целью периодической проверки надежности функционирования СКБ, а также в случаях наличия у Банка предположений о возможности несанкционированного использования СКБ третьими лицами Банк имеет право применять по своему выбору следующие дополнительные меры безопасности:
- приостанавливать исполнение Электронных документов, полученных по СКБ;
- производить временное уменьшение лимитов и изменять иные установленные ограничения в использовании СКБ;
- требовать внеочередного предоставления Подтверждений;
- требовать от Клиента направления в Банк факс-копии Бумажного документа (указанное требование может быть заявлено Банком в устной либо письменной форме);
- до исполнения полученных от имени Клиента Электронных документов производить встречный прозвон по указанным Клиентом номерам телефонов для определения их принадлежности к СКБ.»
-
Электронная коммерция класса business-to-business
Как известно, современный бизнес характеризуется постоянным ростом возможностей компаний-поставщиков, а также непрекращающимся расширением глобальной конкуренции и повышением уровня требований заказчиков. Реагируя на эти изменения, предприятия во всем мире меняют способы организации и управления своим бизнесом. Происходит отказ от старой иерархической структуры, исчезают барьеры между отделениями компании. Упрощается взаимодействие между компанией, ее заказчиками и поставщиками. Бизнес-процессы перестраиваются и выходят за старые границы. Можно найти множество примеров таких процессов, в которые вовлекается не только вся компания, но также ее заказчики и поставщики.
Электронная коммерция представляет собой средство осуществления и поддержки таких изменений. В глобальном масштабе. Она позволяет компаниям эффективно и гибко осуществлять внутренние операции, плотнее взаимодействовать с поставщиками и быстрее реагировать на запросы и ожидания заказчиков. Компании получают возможность выбора лучших поставщиков независимо от географического расположения, а также возможность выхода на глобальный рынок со своими товарами и услугами.
Технологии электронной коммерции постоянно меняются. Компании, рассматривающие электронную коммерцию только как дополнение к уже имеющимся у них способам ведения бизнеса, рискуют получить лишь частичную выгоду. Главные преимущества будут иметь фирмы, решившие изменить организацию и бизнес-процессы таким образом, чтобы полностью использовать возможности электронной коммерции.
Не являясь единой технологией, электронная коммерция характеризуется разносторонностью. Электронная коммерция - это общая концепция, покрывающая любые формы деловых операций, проводимых электронным способом, используя телекоммуникационные сети. Такие операции могут осуществляться как между компаниями, компаниями и их заказчиками, так и между компаниями и государственными учреждениями.
Кроме того, электронная коммерция объединяет широкий спектр коммуникационных технологий, включая электронную почту, факс, технологию электронного обмена данными, электронные платежи и многие другие инструменты. Каждая из этих технологий может быть использована для поддержки электронной коммерции в подходящем для нее контексте.
Все это ясно показывает необходимость существования определенной, юридически обоснованной и регулирующей структуры, благоприятствующей развитию электронной коммерции, способствуя электронному способу ведения бизнеса. Поскольку возможность глобального взаимодействия является одной из основ электронной коммерции, эта структура также должна иметь глобальный масштаб.
Электронная коммерция включает в себя широкий спектр деятельности. Основным компонентом является поддержка цикла коммерческой сделки. Электронная коммерция включает электронную торговлю физическими товарами и услугами, а также электронным материалом. Кроме того, она включает рекламу и продвижение товаров и услуг, содействие контактам между предоставляющими их сторонами, обеспечение маркетинговых исследований рынка, пред- и послепродажную поддержку, электронные закупки и поддержку раздельных бизнес-процессов.
Основными сферами распространения электронной коммерции являются:
• торговля, маркетинг и содействие продажам;
• предпродажная работа, предварительные договоренности, поставки;
• финансирование и страхование;
• коммерческие операции (заказ, получение, оплата);
• обслуживание и поддержка продукта;
• совместная разработка продукта;
• распределенное совместное производство;
• использование общих и частных услуг;
• администрирование бизнеса (разрешения, налоги, таможня (и т.д.);
• транспорт, техника перевозок и снабжения;
• общие закупки;
• автоматическая торговля электронными товарами;
• бухгалтерский учет;
• разрешение спорных моментов и др.
Полная коммерческая операция, включая заказ, перевозку, получение, выписку счетов и платежный цикл, может быть проведена электронным способом. Взаимодействие с авторизованными центрами с далью выполнения таможенных и налоговых обязательств, а также со статистическими институтами уже достаточно хорошо развито. Однако некоторые моменты, как, например, безопасность, защита прав на интеллектуальную собственность, правовые вопросы и процедуры, являющиеся частью электронной коммерции, все еще остаются невыясненными. Следует делать различие между электронной торговлей реальными товарами и услугами и электронной торговлей информационным материалом, который может быть получен непосредственно по сети (текст, звук, графика, программное обеспечение).
Электронная торговля реальными товарами и услугами является качественно новым шагом по сравнению с существующими способами проведения торговых операций. Она включает в себя новые возможности, предоставляемые технологией, для увеличения эффективности бизнеса через снижение стоимости, расширение потенциала рынка и более полное удовлетворение запросов клиентов посредством взаимодействия поставщика с заказчиком.
Торговля электронными материалами (программным обеспечением, видео-, аудиопродукцией, графикой, играми, мультимедийными приложениями и т.д.) представляет собой абсолютно новый и поистине революционный способ ведения продаж, для которого полный цикл коммерческой сделки может быть проведен одновременно через одну и ту же сеть (включая и доставку), учитывая конкретные требования, относящиеся к оплате, контролю за правами на интеллектуальную собственность и т.д. В зависимости от успешных решений на рынке «электронные товары» могут создать абсолютно новый рынок и произвести революцию в отдельных отраслях промышленности (как, например, в издательстве). Эта инновационная форма электронной коммерции оказывает огромное влияние на конкурентоспособность и создание новых рабочих мест.
Электронная коммерция может вестись на различных уровнях, начиная с простого представительства компании в сети, до электронной поддержки процессов, совместно осуществляемых несколькими компаниями.
На интернациональном уровне, по сравнению с внутринациональным, электронная коммерция усложняется, что вызвано такими факторами, как налогообложение, соглашения между странами, таможенные сборы и различия в правилах банковской деятельности.
Работа на нижних уровнях электронной коммерции связана с представительством компании в сети, рекламой, а также пред- и послепродажной поддержкой. Доступные на сегодняшний день готовые технологии делают работу на таком уровне недорогой и простой, чем уже пользуются тысячи мелких компаний. Напротив, более развитые формы электронной коммерции ставят более сложные проблемы, скорее культурно-правового, чем технологического характера, поэтому первопроходцами на этом уровне часто выступают достаточно крупные и богатые компании.
Обычно выделяют 5 категорий электронной коммерции:
• бизнес - бизнес;
• бизнес - потребитель;
• бизнес - администрация;
• потребитель — администрация;
• потребитель - потребитель.
Примером из категории электронной коммерции «бизнес - бизнес» может служить компания, использующая сеть для заказов поставщикам, получения счетов и оплаты. Эта категория электронной коммерции успешно складывалась в течение нескольких лет, с частичным использованием технологии электронного обмена данными в частных сетях или сетях с дополнительными услугами - VAN (Value Added Networks).
Категория «бизнес - потребитель» - это электронная розничная торговля. Эта категория сильно расширила свои рамки с появлением World Wide Web (WWW). На сегодняшний день в Интернете открыто множество магазинов, предлагающих потребителям всевозможные товары - от печенья и вина до компьютеров и автомобилей.
В категорию «бизнес - администрация» входят все сделки, заключаемые между компаниями и правительственными организациями. Например, в США информация о планируемых правительством закупках публикуется в Интернете, и компании могут посылать свои предложения электронным способом. Сегодня эта категория пока находится в зачаточном состоянии, но может быстро разрастись при условии, что правительства используют собственные возможности для поддержки и развития электронной коммерции.
Категория «потребитель - администрация» еще не существует. Однако с разрастанием категорий «бизнес - потребитель» и «бизнес - администрация» правительства могут расширить электронное взаимодействие в таких областях, как, например, социальные выплаты.
Нас же в первую очередь будет интересовать категория «бизнес - бизнес», так как накопленный именно в данной области мировой опыт может помочь российским бизнесменам воспользоваться всеми преимуществами, которые предлагает на современном этапе электронная торговля.
Сам процесс электронной торговли можно разделить на три этапа;
1. этап поиска, во время которого производители и потребители (продавцы и покупатели) устанавливают первый контакт;
2. этап размещения заказа и его оплаты после того, как сделка согласована;
3. этап поставки.
При этом вся деятельность может вестись не только между фирмами, находящимися на почтительном расстоянии друг от друга (Экстранет), но и внутри отдельной компании (Интранет).
Первый этап - этап поиска включает первый контакт между потребителями и поставщиками. Эта стадия может приводить или нет к заключению конкретной сделки.
Второй этап влечет за собой заказ и платеж за товар или услугу, обычно через электронную передачу информации с банковского счета или кредитной карты:
Третий этап - поставка. В случае поставки товаров или услуг, представляющих собой информацию в цифровом формате, все три стадии можно осуществить с помощью Интернета. Электронная торговля в Интернете обычно заканчивается на второй стадии, когда речь идет о товарах и услугах, которые не могут быть поставлены в электронном виде, а также услугах, реализуемых только посредством физического контакта поставщика и потребителя услуги. Однако в будущем можно смело прогнозировать увеличивающееся распространение электронной поставки товаров и услуг по мере роста потребления таких продуктов, как программное обеспечение, аудиовизуальные объекты и пр.
Глобальная сеть Интернет сделала электронную коммерцию доступной для фирм любого масштаба. Если раньше организация электронного обмена данными требовала заметных вложений в коммуникационную инфраструктуру и была по плечу лишь крупным компаниям, то использование Интернета позволяет сегодня вступить в ряды «электронных торговцев» и небольшим фирмам. Электронная витрина в Интернете дает любой компании возможность привлекать клиентов со всего мира. Подобный онлайновый бизнес формирует новый канал для сбыта - «виртуальный», почти не требующий материальных вложений. Если информация, услуги или продукция (программное обеспечение) могут быть поставлены через каналы сети, то весь процесс продажи (включая оплату) может происходить в режиме онлайн.
-
Налоговая отчетность
В соответствии с приказом ФНС от 17.12.08 № ММ-з-6/665, при передаче налоговой отчетности хозяйствующими субъектами в электронном виде с использованием ЭЦПviii, в отношениях между ФНС и хозяйствующими субъектами, наравне с бумажной отчетностью, МИФНС и другие подразделения Федеральной Налоговой службы, могут принимать налоговую отчетность в электронном виде с обязательным заверением ЭЦП хозяйствующего субъекта.
Каждому хозяйствующему субъекту присваивается номер ИНН, в соответствии с которым, выдается открытый и закрытый ключи ЭЦП, которыми подписываются и проверяются налоговые документы.
Электронный документооборот между участниками системы осуществляется в несколько неделимых этапов передачи информации между субъектами. Электронные документы передаваемые между Участниками СЭД ФНС в обязательном порядке подписываются и шифруются на автоматизированных рабочих местах Абонентов СЭД. Перемещение документов от одного участника СЭД ФНС к другому через транспортные сервера осуществляется только в зашифрованном виде. В рамках каждого этапа передачи информации формируется один транспортный пакет, представляющий из себя один архивированный файл. Транспортный пакет содержит информацию, позволяющую провести контроль его целостности. То есть в случае повреждения пакета при пересылке, пакет не будет обработан принимающем субъектом, а будет сгенерировано сообщение об ошибке. Все документы в транспортном пакете передаются в зашифрованном виде, а служебный файл и файл – описатель в открытом виде с ЭЦП. Требования к процедуре обмена электронными документами определяются «Протоколом обмена документами индивидуального (персонифицированного) учета налоговой отчетности по телекоммуникационным каналам связи в системе электронного документооборота ФНС».
Передача почтовых сообщений и файлов между Абонентами и органом ФНС может осуществляться с применением любых программных продуктов, принятых к использованию в ФНС.
При составлении любой формы налоговой отчетности, хозяйствующий субъект в заполняет налоговую отчетность, в специально разработанном программно продукте, ежеквартально обновляемом, подписывает её зарезервированной за ним ЭЦП и отправляет её по защищенному каналу связи в ближайшую инспекцию ФНС. В инспекции, при приеме документов, автоматически обрабатывается входящий пакет, из которого выделяется идентификационный номер плательщика, и по этому номеру, подтвержденному ЭЦП, отчетность заносится в базу документов для дальнейшей обработки.
А)ПОРЯДОК ИСПОЛЬЗОВАНИЯ ЭЦП в документообороте ФНС
Все документы, исходящие от участников документооборота, подписываются ЭЦП этих участников. За неправомерное подписание электронного документа ЭЦП ответственность несет участник информационного обмена, допустивший это нарушение.
- Открытый ключ считается действующим, если на момент получения адресатом электронного документа, подписанного ЭЦП, не было заявлено о его недействительности.
- Участники информационного обмена должны обеспечить сохранность открытых ключей ЭЦП и их сертификатов в течение всего периода хранения электронных документов в архивном хранилище.
- Плановая замена сертификатов ключей ЭЦП участников информационного обмена производится не реже одного раза в год, а также при смене уполномоченных лиц.
- В случае компрометации закрытого ключа ЭЦП, участник информационного обмена должен немедленно известить об этом Удостоверяющий центр, который должен произвести отзыв и внеплановую замену ключа ЭЦП и сертификата участника информационного обмена.
- Удостоверяющий центр должен поддерживать в актуальном состоянии списки отозванных сертификатов и предоставлять их участникам информационного обмена в соответствии с Регламентом УЦ или по оперативному запросу.
- При организации документооборота между органом ФНС и Абонентами на стороне органов ФНС используются СКЗИ, разрешенные в органах ФНС.
- Абонентами СЭД используются СКЗИ, совместимые с СКЗИ используемыми в ФНС
Данная часть документа, является выдержкой из регламента по электронному документообороту ФНС РФ.
-
Примеры применения защиты информации
- В электронной торговле
Электронная коммерция класса business-to-business (business-to-business e-commerce) представляет собой систему осуществления электронных транзакций (взаимодействий) между двумя деловыми партнерами (процессами) При таком взаимодействии каждая сторона получает определенные преимущества, в частности, снижение временных затрат на взаимодействие и низкие закупочные цены.
Так как электронная коммерция предполагает обмен конфиденциальной информацией, Web-сайты, ориентированные на работу с системами класса Business-to-business, должны обеспечивать должный уровень безопасности информации. Следовательно, транзакции должны устанавливаться лишь между доверительными сторонами, именуемыми электронными партнерами (e-Partners). Только им предоставляется доступ к охраняемой конфиденциальной информации.ix
Организации различного масштаба быстро продвигаются в направлении электронной коммерции на основе internet, сетей intranet, extranet, а также так называемых сетей с «добавленной стоимостью» (дополнительными услугами) для того, чтобы усовершенствовать взаимодействие между фирмами.
Электронная коммерция класса В2В всецело относится к автоматизации процессов, используемых покупателями и продавцами для ведения бизнеса. Эти процессы обычно включает в себя онлайновую продажу товаров и услуг в Web. При электронном способе взаимодействия между покупателем и продавцом время отклика значительно снижается, особенно при использовании стандартных коммуникационных форматов.
Электронная коммерция обеспечивает преимущества интеграции бизнес-процессов. Например, отдел закупок приобретает каталог продукции у поставщика и обеспечивает доступ к нему пользователей через intranet. Пользователи просматривают каталог и заказывают продукцию. Этот процесс заказа продукции и, соответственно, генерации счетов является автоматизированным. Допустимый объем пользовательского заказа также определен и является частью автоматизированного процесса. До недавнего времени воспользоваться преимуществами электронной коммерции могли только самые крупные компании. Сегодня, однако, с развитием internet это стало доступным и для малых предприятий. Организации любого масштаба могут взаимодействовать друг с другом на основе электронных технологий не только при помощи Internet, но также посредством intranet,extranet или частных интегрированных сетей.
Вот несколько неоспоримых доводов, свидетельствующих о целесообразности использования электронной коммерции класса В2В.
- Низкие закупочные цены
- Малая продолжительность цикла
- Эффективный сервис
- Низкие цены и издержки сбыта
- Новая конъюнктура рынка.
Безопасность является важным аспектом любого Web-сайта электронной коммерции класса В2В. Ни одно предприятие не заинтересованно в разглашении информации, предназначенной для строго определенного круга сотрудников, следовательно, необходимо, чтобы такая информация была доступна только тем, кто имеет на это соответствующие полномочия. Например, покупателю не понравится, если номер его кредитной карты или другая персональная информация станут известны третьей стороне, которая может воспользоваться ею в корыстных целях.
Методы защиты
В электронной коммерции класса В2В обычно принимают участие известные друг другу торговые партнеры. Однако при передаче уязвимых данных в сети любого типа очень важно не только аутентифицировать отправителя и получателя, но и обеспечить целостность и секретность самих данных. Меры по обеспечению безопасности включают в себя аутентификацию бизнес-транзакций, управление доступом к таким ресурсам, как Web-страницы, зарегистрированных или выбранных пользователей, шифрование сообщений, и проверку секретности и эффективности транзакций.
Аутентификация
Одним из наиболее важных факторов, влияющих на безопасность электронной коммерции, является аутентификация. Аутентификация предотвращает неавторизованный доступ к информации ограниченного распространения и обычно осуществляется при помощи паролей. При подключении пользователя у него запрашивается регистрационный идентификатор (имя для регистрации) (login ID) и пароль, которые позволяют ему получить доступ к частному Web-сайту продавца.
Другой уровень безопасности предоставляет пользователям, которые хотят скачать по сети (download) цифровой сертификат с Web-сайта продавца на компьютер, который они будут использовать для подключения к данному сайту. Применение цифрового сертификата гарантирует, что данное соединение шифруется с помощью протокола SSL. К тому же сервер продавца верифицирует компьютер пользователя по мере того, как пользователь получает доступ к учетной записи (бюджету) сайта.
Шифрование
Шифрование обеспечивает, что информация, передаваемая по сети, может быть прочитана и модифицирована только авторизованными пользователями. В данном методе по протоколу SSL шифруется информация, передаваемая между компьютером пользователя и продавца, тем самым обеспечивается целостность передаваемых данных.
Авторизация
Системы авторизации гарантируют , что неавторизованные пользователи не смогут получить доступ к файлам и данным, предназначенным для ограниченного распространения. Эти системы обычно требуют однократной регистрации пользователя, а затем предоставляют доступ ко всем приложениям и компьютерам, на работу с которыми у пользователя есть соответствующие полномочия.
Примерами таких электронных магазинов, могут являться:
ссылка скрыта, ссылка скрыта и другие.
-
В банковской среде
Для того, чтобы клиенту, хозяйствующему лицу, начать работать с банковской системой «Клиент-Банк», необходимо установить ПО на рабочее место, следуя следующей инструкции:
КРАТКОЕ РУКОВОДСТВО ПО УСТАНОВКЕ СИСТЕМЫ "КЛИЕНТ-БАНК"
Для начала работы в системе Клитент-банк Вам понадобится:
компьютер с доступом в интернет
принтер
Шаг 1. Установите на Ваш компьютер программное обеспечение Java. Необходимые файлы Вы можете скачать с нашего сайта либо с сайта ссылка скрыта
Шаг 2. Зайдите на главную страницу сайта ссылка скрыта и перейдите по ссылке «Вход в клиент-банк». При открытии страницы Вы можете увидеть предупреждение системы безопасности, в котором необходимо подтвердить, что Вы доверяете владельцу сертификата.
ссылка скрыта
ссылка скрыта ссылка скрыта
Шаг 3. Вам необходимо зарегистрироваться в системе Клиент-банк. Процесс регистрации включает в себя предварительную регистрацию клиента в системе "Регистратор для корпоративных клиентов" через Интернет и окончательную регистрацию в офисе банка.
Выберите пункт "Предварительная регистрация юридических лиц", при этом начнется загрузка программы "Регистратор" которая может занять 15..30 секунд. Перед запуском программы Вы можете увидеть предупреждение системы безопасности, в этом случае в окне предупреждения поставьте галочку напротив пункта "Always trust content from this publisher." и нажмите кнопку "Run".
ссылка скрыта
Шаг 4. Появится окно Мастера регистрации. В окне приветствия и в окне «настройки подключения» нажмите кнопку «Вперед». В третьем окне, необходимо выбрать пункт «Новые ключи ЭЦП».
ссылка скрыта
Для генерации открытого и секретного ключа Вам необходимо ввести информацию о владельце ключа ЭЦП, а так же секретный пароль для входа в систему который необходимо запомнить. Секретный ключ ЭЦП сохраняется на компьютере клиента.
ссылка скрыта
По завершении указанных действий предлагается вывести на печать сертификат открытого ключа ЭЦП клиента.
В распечатанный сертификат следует от руки вписать:
сведения о владельце ключа ЭЦП
заполнить поле «Достоверность приведенных данных подтверждаю»
поставить личную подпись и печать организации
Для окончательной регистрации Вам необходимо лично явиться в офис банка, имея при себе распечатанный сертификат открытого ключа ЭЦП и обратиться к сотрудникам юридического отдела. После этого Вы можете работать в системе. С полным руководством по прохождению процесса регистрации Вы можете ознакомиться на нашем сайте ссылка скрыта
ВНИМАНИЕ: В случае утери пароля или ключа процедуру регистрации будет необходимо пройти повторно.
После установления соединения, через интернет, с защищенным сайтом банка, владелец счета получает полный доступ к нему, может видеть текущие остатки и совершать любые банковские операции . Все операции он подтверждает своей ЭЦП, сгенерированной в соответствии с инструкцией и переданной в банк.
-
В налоговой сфере
В сфере налогового учета, примером может служить ПО «Налогоплательщик», бесплатно распространяемый налоговыми инспекциями, в котором вводятся все данные хозяйствующего субъекта, и при соединении с сервером налоговой инспекции, эти данные подписанные ЭЦП владельца , передаются по защищенному каналу.
i РФ ФЗ «Об электронной цифровой подписи», гл.1, ст.3
ii РФ ФЗ «Об электронном документе», ст. 4
iii РФ ФЗ «Об электронном документе», ст.5
iv Дорохов В.Я. Понятие документа в советском праве // Правоведение. 1982. № 2. С.55
v Международный стандарт ИСО/МЭК 14888-1-98
vi РФ ФЗ «Об электронной цифровой подписи», гл.1,ст.3, абз.3
vii Положение о порядке использования системы «Клиент-Банк». КБ «Банк Новый Символ»,ЗП-15.03.06
viii ФНС РФ. Приказ от 17.12.08 № ММ-3-6/665@
ix «Электронная коммерция. Практическое руководство». Microsoft Press., 2001