Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
есть у меня подозрение, что в бюджет он с готовым решением... 12.07.04 13:08 Число просмотров: 3346
Автор: uncle_Vasya Статус: Незарегистрированный пользователь
|
есть у меня подозрение, что в бюджет он с готовым решением не уложится... ;(((
опять же собственный удостоверяющий центр ему понадобится, не посылать же всех контрагентов в Питер, типа "Прибыть в Абонентский отдел «УДОСТОВЕРЯЮЩЕГО ЦЕНТРА» по адресу: Малоохтинский проспект д.55 со следующими необходимыми документами..." ;))))
Лучше взять за основу свои разработки (что-то там про Оракл было) и отдельно какое-нибудь сертифицированное средство, включающее Удостоверяющий Центр и шифровалку...
типа http://www.infotecs.ru/Soft/uc.htm#4
или того же Крипто-про...
а у www.nwudc.ru поучиться организации процесса... ;o)ъ
|
|
<law>
|
безопасность информации в эл.системе закупок 28.04.04 11:33
Автор: Организация Статус: Незарегистрированный пользователь
|
Я – организация, закупающая много и у многих поставщиков. Я намереваюсь использовать электронную систему для конкурсного выбора поставщиков (аукционы, конкурсы).
Поставщики заинтересованы работать со мной до такой степени, что примут предлагаемую мною технологию, в том числе готовы использовать мою электронную систему и пройти в ней регистрацию (с предоставлением любых документов), а также подписать со мной договор о признании легитимности сделок в моей эл.системе.
Для построения эл.системы я намереваюсь использовать хорошо зарекомендовавшее себя готовое ПО типа Oracle Sourcing. ПО устроено таким образом, что позволяет принимать предложения поставщиков через инет.
«Болезненными» вопросами по части информационной безопасности являются следующие:
1. Должно быть гарантировано, что предложение в эл.виде поступило от именно того поставщика, который задекларирован.
2. Должно быть гарантировано, что предложение поставщика не может быть подделано.
3. Должно быть гарантировано, что предложение поставщика не может быть «подсмотрено».
Я планирую решать вопросы аутентификации предложений поставщиков следующим образом:
• Все поставщики пройдут регистрацию в специально созданном мною подразделении, предоставив юридически заверенные документы, аутентифицирующие их как квалифицированных поставщиков; время от времени поставщики будут перерегистрироваться для подтверждения актуальности.
• После регистрации каждый поставщик получит свои имя и пароль для входа в мою эл.систему.
• Для подачи предложения поставщик должен будет войти в систему со своим паролем. Сеанс защищен SSL.
Я планирую решать вопросы защиты предложений поставщиков от подделки и утечки информации следующим образом:
• Предложения поставщиков передаются от рабочего места поставщика в систему по HTTPS (цифровой сертификат получен у Verisign).
• Поставщик видит в эл.системе, что его предложение поступило в систему.
• Предложения хранятся в базе в открытом виде.
• Разработаны процедуры эксплуатации системы, гарантирующие невозможность получения доступа к хранимой в базе информации со стороны обслуживающего персонала системы.
• Разработана методика выполнения процедур обслуживания системы в нештатных ситуациях, гарантирующие невозможность получения доступа к хранимой в базе информации со стороны обслуживающего персонала системы.
• Код ПО гарантирует невозможность получения сверх необходимого доступа к хранимой в базе информации со стороны пользователей системы. Код доступен для анализа в «исходниках». Процедуры обслуживания системы гарантируют невозможность внедрения в код «жучков» после анализа.
Вопрос:
I. Является ли описанная политика информационной безопасности адекватной по существу (и с юридической точки зрения) в случае, если я:
а) коммерческое предприятие,
б) государственное учреждение.
При проработке политики безопасности некоторые эксперты выразили мнение, что обязательным для реализации эл.системы подобного типа является применение ЭЦП и шифрования:
1) предложения поставщиков до пересылки должны быть подписаны и зашифрованы;
2) предложения должны храниться в базе в зашифрованном виде до момента официального вскрытия;
3) система должна присылать поставщику подписанное сообщение о приеме предложения.
В качестве аргументации своего мнения эти эксперты приводят наличие закона об ЭЦП.
Вопросы:
II. Должен ли я отказаться от использования запланированного мной готового ПО, не поддерживающего ЭЦП?
III. Есть ли готовые зарекомендовавшие себя системы конкурсного выбора поставщиков, использующие ЭЦП и шифрование?
IV. Смогу ли я за срок около полугода получить готовую систему, поддерживающую ЭЦП, заказав сейчас её разработку (бюджет на разработку около 200тыс.USD)?
Вопросы для меня являются очень насущными, потому что внедрение электронной системы позволило бы мне быстро и существенно поднять эффективность закупок и снизить уровень злоупотреблений.
Понятно, что затронутые проблемы являются комплексными и, более того, некоторые затрагиваемые аспекты законодательства и бизнес-практики до сих пор недостаточно проработаны. Однако, интересует мнение практикующих экспертов именно в этих условиях «неустоявшихся стандартов».
Если кто-то из экспертов считает, что он (фирма, организация) может провести анализ поднятых вопросов, но только на платной основе, просьба предоставить координаты. Если поднятые проблемы обсуждаются на другом форуме – тоже просьба сообщить.
С уважением и надеждой, что обсуждение поднятых вопросов окажется полезным не только для меня.
|
|
есть у меня подозрение, что в бюджет он с готовым решением... 12.07.04 13:08
Автор: uncle_Vasya Статус: Незарегистрированный пользователь
|
есть у меня подозрение, что в бюджет он с готовым решением не уложится... ;(((
опять же собственный удостоверяющий центр ему понадобится, не посылать же всех контрагентов в Питер, типа "Прибыть в Абонентский отдел «УДОСТОВЕРЯЮЩЕГО ЦЕНТРА» по адресу: Малоохтинский проспект д.55 со следующими необходимыми документами..." ;))))
Лучше взять за основу свои разработки (что-то там про Оракл было) и отдельно какое-нибудь сертифицированное средство, включающее Удостоверяющий Центр и шифровалку...
типа http://www.infotecs.ru/Soft/uc.htm#4
или того же Крипто-про...
а у www.nwudc.ru поучиться организации процесса... ;o)ъ
|
|
Важное дополнение:
29.04.04 06:58
Автор: Организация Статус: Незарегистрированный пользователь
|
Важное дополнение:
В моем конкретном случае можно считать, что существует поправка к законодательству о гос.закупках, предусматривающая определение процедур закупок с применением эл.системы в удобном для меня виде.
|
|
У меня очень серьезный объем закупок. очень. просьба это... 28.04.04 16:57
Автор: Организация Статус: Незарегистрированный пользователь
|
|
У меня ОЧЕНЬ серьезный объем закупок. ОЧЕНЬ. Просьба это учитывать...
|
|
Гораздо быстрее и за мЕньшие деньги ;)
28.04.04 12:54
Автор: cybervlad <cybervlad> Статус: Elderman
|
> IV. Смогу ли я за срок около полугода получить готовую
> систему, поддерживающую ЭЦП, заказав сейчас её разработку
> (бюджет на разработку около 200тыс.USD)?
Гораздо быстрее и за мЕньшие деньги ;)
Эту задачу уже комплексно решили в Питере для организации закупок правительством города. Созданный под это дело УЦ продает технологию "под ключ".
www.nwudc.ru
|
|
|
подробно о проекте
Анализ криптографических сетевых...
