БЕЗОПАСНОСТЬ

Уничтожить украденные данные можно через Интернет
28.06.2005

Боязнь утечки данных в случае утери или кражи персональных компьютеров заставляет пользователей прибегать к необычным средствам защиты. Одно из таких средств предлагает молодая канадская компания Absolute Software: ее программа обеспечивает невосстановимое стирание конфиденциальных данных с украденного ПК.

Подобные средства страховки привлекают сейчас многих клиентов как из мира бизнеса, так и из госструктур. Утечка секретных данных не только опасна сама по себе: закон обязывает компании делать публичные заявления по поводу таких случаев, а это вредит репутации.

Выпущенная Absolute Software программа Computrace отчасти решает проблему. В случае пропажи компьютера его владелец связывается со специальной экстренной службой Absolute и просит дистанционно уничтожить данные на диске при следующем подключении этого компьютера к Интернету.

Уничтожение заключается в многократной записи на диск случайных кодов и занимает, как правило, от нескольких минут до получаса, в зависимости от объема стираемых данных.

По словам Бена Хайдри, вице-президента Absolute Software, эту программу уже используют 400 тыс клиентов, в том числе представители 3000 компаний.

Стоимость трехлетней лицензии на Computrace - около 100 долларов в расчете на одного пользователя.

Источник: http://www.cybersecurity.ru/crypto/4943.html

Цифровые подписи можно подделать

Способ аутентификации веб-контента, электронных писем и юридических документов с помощью цифровых подписей, используемый в некоторых странах, казался совершенно надежным и безопасным до самого недавнего времени. И для этого были достаточно веские основания, поскольку такие подписи создаются из содержимого подписываемого документа или программного обеспечения и уникальны для каждого документа. Простая вставка подписи из одного документа в другой ничего не даст, так как подпись более не будет соответствовать содержанию нового документа.

Однако оказалось, что это далеко не так. Немецкие специалисты в области электронной криптографии Штефан Люкс (Stefan Lucks, cits.ruhr-uni-bochum.de/personen/daum.html) из университета Мангейма и Магнус Даум (Stefan Lucks, th.informatik.uni-mannheim.de/people/lucks) из Рурского университета в Бохуме обнаружили способ создания двух разных документов, засвидетельствованных одной и той же цифровой подписью. А это значит, что мошенники, в принципе, могут подделывать юридические документы, загружать программы с поддельным кодом или с помощью подложных писем получать доступ к чьей-то приватной информации.

Это оказывается возможным благодаря наличию недавно обнаруженных дыр в алгоритме, называемом хеш-функцией (от англ. hash 'рубить, крошить, перемешивать'), который преобразует файл в уникальную строку битов фиксированной длины (хеш). Затем из этой строки с помощью ключа того, кто подписывает документ или файл, генерируется цифровая подпись.

Впервые на потенциальную уязвимость цифровых подписей, генерируемых таким образом, еще в августе 2004 года указали китайские криптографы, в феврале 2005 года они продемонстрировали это в отношении, казалось бы, очень надежного алгоритма SHA-1, используемого правительством США. Правда, оставалось неясным, можно ли эту уязвимость использовать практически.

Люкс и Даум смогли это сделать, используя некоторые особенности postscript-файлов (и, соответственно, pdf-файлов). Они объединили два документа в один файл так, что можно было скрыть один из них и сделать видимым другой. Для этого каждому из документов присваивалась метка, но только одна из них помещалась в код ps-файла. В результате такой манипуляции можно было получать один и тот же хэш этого файла, независимо от того, метка какого из документов помещалась в код самого файла.

Практически это означает, что злоумышленник, используя такой способ, может создавать такой файл, открытую часть которого сотрудник какой-либо компании подпишет без всяких сомнений, тогда как вторая, скрытая, часть будет содержать разрешение на доступ к приватной информации данной компании. После этого мошенник, изменив метку в коде файла, получит такое разрешение без нарушения аутентичности подписи.

Ситуация уже озадачила специалистов по информационной безопасности. В частности, независимый консультант в этой области Дэн Камински (Dan Kaminsky) прокомментировал ситуацию следующим образом: "Это еще не конец света, но нам необходимо остановить использование MD-5 and SHA-1 (т.е. алгоритмов хеширования.- С.С.), пока это не случилось".

Источник: "New Scientist" (newscientist.com) от 14.06.2005. Подробности и некоторые примеры см. на cits.rub.de/MD5Collisions, doxpara.com.

Источник: http://www.kv.by/index2005252201.htm


Информационное ограбление века
24.06.2005

В конце минувшей недели известная компания MasterCard, управляющая одноименной платежной системой, сообщила о событии, которое можно назвать самым крупным преступлением в сфере информационных технологий в нынешнем недолгом пока веке. Компания распространила заявление, в котором указала, что один из ее партнеров - карточный оператор CardSystems Solutions из Атланты - стал объектом хакерского взлома, в результате которого высокотехнологичные злоумышленники получили доступ к 40 миллионам единиц данных о платежных реквизитах различных держателей банковских карт.

... заветные цифры и буквы были не записями в некой особой базе данных, а просто хранились в виде списков в простых файлах (например, текстовых), да еще и наверняка в незашифрованном виде. То есть хакерам, получившим над нужной компьютерной системой несанкционированный контроль, оставалось только открыть файл и прочитать, что там написано, при желании скопировав данные себе. Они и скопировали...

Самое занятное в этой ситуации то, что откровение MasterCard стало очередным (и самым серьезным) из серии аналогичных. Целый ворох сообщений о "пропаже персональных данных" из американских фирм был привнесен в мировое информационное пространство за последние полгода, причем масштабы и обстоятельства происшествий в ряде случаев поистине впечатляющие. Пропадают не только банковские и платежные реквизиты, но и различного рода паспортные данные, номера социального страхования, данные о водительских правах и прочая подобная информация, огромные массы которой хранятся в базах данных уполномоченных на всякого рода юридическую и финансовую деятельность фирм. Информация эта применяется для множества разных задач, связанных с множеством форм документооборота и платежных транзакций...

Источник: http://lenta.ru/articles/2005/06/22/data


В России запущен корневой центр ЭЦП
22.06.2005

Закон «Об электронной цифровой подписи», принятый три года назад, пока не приносил существенной пользы. ЭЦП не имела юридической силы.

Для полноценного запуска проекта был необходим корневой удостоверяющий центр, и он наконец-то был открыт 10 июня, передает CNews.

Корневой (он же — головной) удостоверяющий центр открыло федеральное агентство по информационным технологиям «Росинформтехнологии», являющееся уполномоченным федеральным органом в области использования ЭЦП. Центр начал свою работу на базе НИИ «Восход».

В соответствии с законом, чтобы подпись была признана юридически действительной, удостоверяющий центр, который ее выдал, должен быть занесен в единый государственный реестр. Ведение такого реестра и возлагается, как одна из главных функций, на открывшийся центр. С конечными получателями ЭЦП он работать не будет.

По данным «Росинформтехнологии», сегодня насчитываются 150 локальных удостоверяющих центров по всей России, однако эффективное использование ЭЦП, выдаваемых ими, так и не было развито. Некоторые компании использовали ЭЦП для своих частных нужд, однако на уровне взаимодействия с властью эти подписи не работали, так как не было единого реестра.

По словам Владимира Матюхина, возглавляющего «Росинформтехнологии», большинство из имеющихся сегодня удостоверяющих центров будут объединены в общую систему. Это позволит сформировать в стране единую национальную инфраструктуру открытых ключей (разновидность ЭЦП). Развитие же такой инфраструктуры, а также удостоверяющих центров является одним и из приоритетных направлений государственной политики. По данным г-на Матюхина, удостоверяющие центры появятся в ближайшее время в Администрации президента России, в аппарате правительства, в Государственной Думе и ряде министерств.

До января 2006 года корневой удостоверяющий центр будет работать в режиме опытной эксплуатации, затем предполагается ввод в «боевой» режим.

Источник: http://www.webplanet.ru/news/lenta/2005/6/14/ecp.html

ДОКУМЕНТООБОРОТ - РОССИЯ

eToken для аутентификации пользователей EMC Documentum

"Документум Сервисиз СНГ", официальный представитель EMC Documentum в СНГ, и Aladdin Software Security R.D., ведущий разработчик и поставщик систем аутентификации и защиты информации, объявляют о поддержке новой версией платформы для управления содержанием EMC Documentum 5.3 аутентификации пользователей с помощью универсального средства для безопасного доступа eToken компании Aladdin.

Корпоративные системы на платформе Documentum создаются для управления интеллектуальными активами предприятий, поэтому вопросы безопасности имеют при их создании особое значение. Одним из важных аспектов информационной безопасности в системах управления содержанием является аутентификация пользователей, которая позволяет предотвратить несанкционированный доступ в систему, а также доказать, что те или иные действия совершены именно этим пользователем.

При разработке версии 5.3 платформы в систему безопасности EMC Documentum были внесены улучшения, которые касаются, в том числе, расширения возможностей аутентификации. Стандартными возможностями предусмотрено, что EMC Documentum использует для аутентификации имя и пароль пользователя в операционной системе и поддерживает использование внешних каталогов LDAP, хранящих учетные записи пользователей. Для тех случаев, где этот уровень аутентификации является недостаточным, предусмотрена возможность использования дополнительных средств, позволяющих повысить степень защищенности решения в зависимости от требований конкретного заказчика.

Система аутентификации EMC Documentum основана на открытой архитектуре, что позволяет подключать внешние средства для аутентификации и однократной идентификации (Single Sign-On, SSO), а также применять строгую многофакторную аутентификацию, обеспечивая такие возможности ее реализации, как биометрический контроль, инфраструктура открытых ключей (PKI) и такие устройства для аутентификации, как смарт-карты и USB-ключи.

При создании корпоративных систем на платформе EMC Documentum перечисленные возможности позволяют применять для аутентификации электронные ключи (или смарт-карты) eToken производства компании Aladdin. eToken обеспечивает надёжную двухфакторную аутентификацию пользователей EMС Documentum, безопасное хранение ключевой информации, профилей пользователей и других конфиденциальных данных, а также реализует аппаратное выполнение криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509.

eToken имеет сертификаты Федеральной Службы по Техническому и Экспортному Контролю (ФСТЭК) и может использоваться в государственных структурах. Управление жизненным циклом ключей и смарт-карт производится централизовано с помощью системы eToken TMS. Применение eToken в сочетании с другими возможностями системы безопасности платформы EMC Documentum позволяет обеспечить необходимую степень защиты информации, соответствующую высоким корпоративным требованиям.

Компаниями "Документум Сервисиз СНГ" и Aladdin Software Security R.D. создана совместная рабочая группа для технической поддержки и консалтинга применения аутентификации пользователей посредством eToken в решениях на платформе EMC Documentum на территории России и СНГ. Ожидается, что в подобных решениях в первую очередь будут заинтересованы государственные организации и крупные корпоративные заказчики.

Источник: http://www.docflow.ru/full_news.asp?param=43229

DIRECTUM на DOCFLOW 2005

В гостинично-деловом комплексе «Рэдиссон-Славянская» в мае состоялась одиннадцатая конференция-выставка по электронному документообороту и автоматизации управления DOCFLOW 2005. Это значительное событие на рынке электронного документооборота России. Количество посетителей конференции по оценкам организаторов увеличилось почти в полтора раза по сравнению с прошлым годом, что свидетельствует о все возрастающем интересе различных организаций к данному классу программных продуктов.

Информационная составляющая конференции пополнилась новыми секциями. Значительный интерес был проявлен к докладам секции «Документооборот от А до Я». Аудитория данной секции – специалисты организаций, которые находятся на этапе выбора или еще только задумываются о внедрении систем электронного документооборота, желают изучить опыт выполненных проектов. Подтверждением статуса компании DIRECTUM, как эксперта в области электронного документооборота, стал доклад руководителя отдела внедрения DIRECTUM Перевозчикова Михаила на тему «Внедрение системы электронного документооборота: как достичь желаемого результата. В том числе для организаций с распределенной структурой», отобранный экспертным советом DOCFLOW для некоммерческой, просветительской секции.

В секции «Комплексные платформы» на другом докладе компании DIRECTUM на тему «Выбор системы электронного документооборота: платформа или готовое решение?», слушателям была настолько интересна данная тема, что к концу доклада завязался активный диалог докладчика с участниками конференции.

На выставке DOCFLOW 2005 был анонсирован выход новой версии системы DIRECTUM. В ней, по сравнению с предыдущим поколением DIRECTUM, произошли усовершенствования пользовательского интерфейса, переработана архитектура платформы IS-Builder, расширены функциональные возможности и сферы применения системы.

Основными посетителями выставки и стенда компании DIRECTUM были руководители IT-департаментов компаний, IT-специалисты предприятий, первые руководители организаций, представители различных промышленных, энергетических и торговых предприятий практически со всех регионов России и стран СНГ. Стоит отметить, что многие посетители стенда DIRECTUM уже знакомы с системой DIRECTUM, и эти специалисты пришли с целью налаживания плотного сотрудничества. Конференция позволила установить новые контакты и начать переговоры о поставке и внедрении системы DIRECTUM на ряде предприятий.

Источник: http://www.docflow.ru/full_news.asp?param=43205

Компания «Электронные Офисные Системы» предоставляет консультационные услуги в области документационного обеспечения управления

Компания «Электронные Офисные Системы» - одна из первых в России - предоставляет консультационные услуги в области документационного обеспечения управления (ДОУ).

Компания «Электронные Офисные Системы» (ЭОС) имеет более чем 10-летний опыт автоматизации делопроизводства и документооборота, который показал следующее: достаточно типовой является ситуация, когда внедрение автоматизированных технологий работы с документами тормозится недостаточным уровнем формализации и «отстроенности» самих процессов делопроизводства в организациях. При этом оптимизация ДОУ организации силами собственных специалистов часто оказывается затруднительной или вовсе невозможной.

Теперь ЭОС предлагает своим клиентам услуги консультантов, профессионально занимающихся постановкой эффективного делопроизводства, архивного учета и электронного документооборота. Специалисты компании проведут экспертную оценку состояния делопроизводства, документооборота и внутренней нормативной базы организации, выработают рекомендации по их совершенствованию и подготовят необходимые регламентирующие документы. В комплекс услуг входит также чтение лекций по актуальным проблемам делопроизводства и документооборота.

Консультационные услуги являются новым и самостоятельным направлением деятельности ЭОС. Они могут быть использованы как в процессе подготовки предприятий и организаций к внедрению автоматизированных систем делопроизводства и документооборота, так и самостоятельно – для оптимизации работы службы ДОУ.

Комментируя новое направление деятельности компании, Владимир Эдуардович Баласанян, генеральный директор ЭОС, отметил: «Область документооборота и делопроизводства повторяет сейчас путь других секторов рынка информационных технологий. Консалтинговые услуги уже давно оказываются разработчиками систем автоматизации бухучета, банковской деятельности и другими компаниями, работающими на корпоративный рынок. Теперь к консалтингу «созрел» и рынок автоматизации ДОУ. И наша компания, подтверждая свои лидирующие позиции, одна из немногих на рынке открывает соответствующее направление».


Источники: http://www.docflow.ru/full_news.asp?param=43187
http://eos.ru/eos/eos_consulting

АНОНСЫ

Эффективный документооборот в России

С 8 по 9 декабря 2005 г. в мэрии Москвы (Новый Арбат, 36) состоится 3-я международная практическая конференция “Эффективный документооборот в управлении бизнес-процессами”. Ee организаторами выступают РОО “Гильдия управляющих документацией” (ГДМ), Российский союз промышленников и предпринимателей (РСПП); Московская торгово-промышленная палата (МТПП); Всероссийский НИИ документоведения и архивного дела; неизменными спонсорами являются Microsoft, Xerox, “Открытые системы”, Рамблер, РосБизнесКонсалтинг, “Электронные офисные системы” и др.

Традиционно это масштабное мероприятие собирает руководителей и специалистов делопроизводственных подразделений, департаментов информационного обеспечения ведущих промышленных предприятий, компаний, банков России и зарубежных стран.

На форум будут вынесены для обсуждения проблемы, тенденции и перспективы развития электронного документооборота, систем автоматизации ДОУ в контексте задач документационного обеспечения управленческих процессов в бизнесе им взаимодействия различных автоматизированных систем ДОУ, предусмотренных федеральной целевой программой “Электронная Россия”.

На выставке, которая пройдет в рамках форума, будут показаны наиболее интересные решения по организации эффективного документооборота на ряде ведущих российских и зарубежных предприятий.

На конференции выступят представители федеральных и региональных органов власти, ответственные за реализацию федеральной целевой программы “Электронная Россия”.

Ожидается, что в мероприятии примут участие Газпром, “Норильский никель”, РАО ЕЭС, “Уралмашзавод”, Нижнетагильский и Магнитогорский металлургические комбинаты, “Лукойл”, “Татнефть”, Аэрофлот, “Бурятзолото”, Мосэнерго, “Омскшина”, Сбербанк, Внешторгбанк, Альфа-Банк, Газпромбанк и др. Дополнительную информацию можно получить по телефонам: (095) 955-0290, 745-2033.

Источник: http://pcweek.ru/?ID=493295

РАЗНОЕ

Электронное декларирование нефти
27.06.2005

По сообщению пресс-службы ФТС России 23 июня 2005 года Центральная энергетическая таможня (ЦЭТ) начала применять технологию электронного декларирования нефти.

Прием и оформление электронных деклараций осуществлялся в рамках проводимого в ЦЭТ эксперимента по внедрению электронного декларирования при таможенном оформлении нефти.

Согласно условиям эксперимента, электронное оформление производится в отношении нефти, поставляемой на экспорт трубопроводным транспортом, а также нефти, перемещаемой по таможенной территории Российской Федерации в режиме международного транзита по трубопроводной системе «Каспийский трубопроводный консорциум – Россия» с перевалкой на морской транспорт.

В эксперименте принимают участие НК «Лукойл» (оформление экспорта нефти) и таможенный брокер ООО «Даэрс-Финанс» (оформление транзита нефти).

Технология электронного декларирования позволила сократить время таможенного оформления декларации до 50 минут. Ранее эта процедура занимала до 1 суток.

Преимуществом системы электронного декларирования, применяемого в ЦЭТ, является отсутствие необходимости представления вместе с электронной декларацией каких-либо документов. Общение декларанта с инспектором таможни осуществляется по электронным каналам связи в режиме реального времени.

Справка: Первая электронная грузовая таможенная декларация с применением электронной цифровой подписи была оформлена 25.11.2002 года на таможенном посту «Каширский» Московской южной таможни. Начавшийся тогда эксперимент завершился в июле 2004 г., после чего электронное декларирование стало применяться на постоянной основе. Так, уже сегодня 28 таможенных постов, оснащенных соответствующим оборудованием, применяют электронное декларирование. К концу 2005 г. таких таможенных постов будет более 60.

Источник: http://www.tks.ru/cgi-bin/text.pl?id=yandex&file=200506270002


Госслужащим разрешат продавать информацию
24.06.2005

Все государственные органы по закону обязаны предоставлять о себе любую несекретную информацию всем желающим. Однако, если требуемая информация слишком объемна, ведомства могут брать за нее деньги. Таковы положения закона "Об обеспечении доступа к информации о деятельности госорганов", проект которого правительство должно одобрить сегодня.

Главное достоинство нового закона заключается в том, что он оговаривает перечень сведений, которые все государственные органы обязаны выставлять на всеобщее обозрение, в том числе на интернет-сайтах. Выставлять, например, надо все без исключения нормативные акты и законопроекты. Прочую информацию любой гражданин сможет получить по запросу в месячный срок. Однако, если объемы запрашиваемых сведений будут больше установленного предела (пока не ясно какого), министерства будут иметь право запросить за них деньги. Плата за информацию - главное новшество нового закона.

Председатель Союза журналистов России Всеволод Богданов сообщил "Известиям", что, разрабатывая проект данного закона, правительство не консультировалось с Союзом журналистов и вообще с журналистским сообществом. Введение платы за информацию Всеволод Богданов назвал "как минимум неразумным решением". По его мнению, плата за информацию о деятельности госорганов кажется особенно странной на фоне тех сумм, которые тратят некоторые ведомства на пиар-сопровождение своей деятельности. "Власть должна стараться показать свою работу населению, и делать это надо с помощью журналистики, а не пиара", - считает Всеволод Богданов.

Источник: http://www.aksionbkg.com/library/91/108/?i_695=39289