Если у тебя депрессия, поговори с бомжом и дай ему кусок хлеба. Твоя депрессия развеется, как утренний туман! © Александр Дьяков 1157 - | 1046 - или читать все...
Обратная связь Пожаловаться на материал

Основные проблемы обеспечения аутентичности электронных документов


Стр 1 из 2Следующая ⇒

Глава 1. Анализ деятельности и существующей системы документооборота ООО «АМПИР. Архитектура. Интерьер.»

Понятие электронного документооборота и его особенности

В современном обществе, где преобладают компьютерная техника и информационные технологии, большое значение имеют электронные документы.

С электронными документами намного проще работать: нет бумажной волокиты, значительно упрощается поиск документов благодаря использованию электронной базы данных. Кроме того, электронный документ имеет значительное преимущество по сравнению с бумажным – возможность вносить изменения в текст документа без лишних трудозатрат, таких, например, как необходимость перепечатывать вручную весь документ целиком (даже при необходимости внесения самых незначительных корректировок).

Долгие годы в России весь документооборот был бумажным и только сейчас он постепенно переходит в смешанную фазу. Это результат усилий и госчиновников, и коммерческих организаций. Однако же процессы информатизации идут медленно.

Зачастую под электронным документооборотом понимается способ организации работы с документами, при котором основная масса документов организации (предприятия) используется в электронном виде и хранится централизованно в так называемых электронных архивах, своеобразных информационных складах, или хранилищах данных.

На мой взгляд наиболее оптимальное определение электронного документооборота: «электронный документооборот — единый механизм по работе с документами, представленными в электронном виде, с реализацией концепции «безбумажного делопроизводства».

Электронный документооборот может быть внутренним и внешним, и это налагает определённую специфику на информационный обмен. Внутренний электронный документооборот характеризуется обменом информацией или движением электронный документов в рамках организации. Внешний электронный документооборот характеризуется обменом корреспонденции между организациями.

Соответственно, под системой электронного документооборота (СЭД) в узком смысле понимается программное обеспечение (компьютерная программа, система), которое позволяет организовать работу с электронными документами (создание, изменение, поиск, хранение), а также взаимодействие между сотрудниками: передачу документов, выдачу заданий (распоряжений, поручений) и контроль за ними, отправку уведомлений и т. п. В более широком смысле под СЭД понимается современная организационно-технологическая структура, пронизывающая весь производственный организм, включающая в себя и программную, и техническую, и методологическую составляющую, а также организационные и нормативно-правовые аспекты. Эту систему можно сравнить с «кровеносной системой» компании.

В настоящее время электронный документооборот между организациями способен в значительной мере заменить бумажный, и автоматизация процесса обмена документами – не дань моде, а веление стремительного времени, поскольку на доставку бумажного документа почтой или курьером может уходить несколько дней, а электронный документ доставляется в течение нескольких секунд независимо от местонахождения адресата. Перевод документооборота в электронный формат может сэкономить не только время и силы, но и пространство. В некоторых компаниях бумажные архивы за многие годы занимают площади, сопоставимые с площадями торговых залов. Однако может ли электронный документооборот заменить бумажный полностью, или юридически значимые документы обязательно должны храниться в бумажном варианте, заверенные собственноручной подписью и печатью?

Многие до сих пор считают, что юридически значимый документ - это бумага, оформленная по определенным правилам, подписанная собственноручной подписью и заверенная печатью организации, которая этот документ (удостоверение, справку, выписку и т.д.) выдала. Но технологические возможности развиваются, и сегодня электронные документы также могут быть юридически значимыми, поскольку в них используется электронная цифровая подпись (ЭЦП), которая является электронным аналогом собственноручной подписи. ЭЦП – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Согласно российскому законодательству ЭЦП признается равнозначной собственноручной подписи. В соответствии с нормой, зафиксированной в Федеральном законе от 06.04.2011г. № 63-ФЗ «Об электронной подписи», «электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи».

Технология ЭЦП создавалась как надежный способ защиты пересылаемого документа (файла). Для этого, в первую очередь, на каждый компьютер и отправителя, и получателя устанавливается специальная криптографическая программа. Для каждого пользователя она генерирует индивидуальный ключ ЭЦП, представляющий собой сложный пользовательский пароль для доступа к зашифровке и расшифровке документов – уникальный ряд символов длиной до 1000 знаков, точнее два ряда, связанных между собой, т.к. каждый индивидуальный ключ ЭЦП является двойным: состоит из открытого ключа, который нужно сообщить своим партнерам по переписке, и закрытого (тайного) ключа, который держится в секрете. Шифруется документ при помощи открытого ключа получателя. Если документ предназначен для отправки нескольким адресатам, то при шифровании одновременно используются открытые ключи каждого из получателей. Каждый получатель расшифровывает документ при помощи собственного закрытого ключа. Таким образом, зашифровать и отправить документ может любой человек, знающий открытый ключ адресата, а вот расшифровать – только сам адресат. При подписании документа все происходит наоборот – отправитель подписывает документ при помощи собственного закрытого ключа ЭЦП, который является тайным, поэтому подделать подпись отправителя невозможно. Чтобы проверить, действительно ли зашифрованное письмо отправлено от того лица, которым подписано, нужно знать его открытый ключ. Программа «проверит», соответствует ли открытый ключ закрытому ключу, использованному при шифровании. Такая система шифрования с помощью пар закрытых и открытых ключей ЭЦП называется ассиметричной криптографией.

Лица, установившие криптографическую программу, объединяются в единую систему. Они обмениваются между собой открытыми ключами, а закрытый ключ каждый из них держит в тайне. Такая система криптографического шифрования обеспечивает решение проблем защиты пересылаемых файлов, но не позволяет решать задачи придания юридической значимости документам. Поэтому и были созданы удостоверяющие центры – организации, которые имеют полномочия выдавать и учитывать сертификаты, подтверждающие, что владельцем данного ключа ЭЦП является определенное физическое лицо, представляющее юридическое лицо

Следует отметить, что у ЭЦП есть и другие преимущества перед собственноручной подписью. Например, в подписанном бумажном документе можно произвести изменения: впечатать абзац в свободное место или изменить сумму по договору, а в заверенном ЭЦП электронном документе изменить хотя бы один символ невозможно. Такое свойство позволяет говорить, что ЭЦП подтверждает целостность электронного документа раз и навсегда.

Одним из чисто технических факторов, которые сдерживают распространение СЭД, является несовершенство механизмов, однозначно идентифицирующих документы. Если на листе бумаги под текстом человек собственноручно ставит свою подпись, это автоматически означает полную ответственность данного лица за написанное выше. Под электронным документом поставить «личную подпись» в традиционном понимании невозможно — требуется мощный и надежный механизм идентификации, в качестве которого сегодня выступает цифровая подпись — реквизит электронного документа, предназначенный для его однозначной идентификации на предмет принадлежности определенному лицу и защиты от подделки. Проверить подлинность подписи любого человека под любым электронным документом очень просто — открывается подписанный электронный документ, нажимается соответствующая кнопка и автоматически происходит проверка.

Цифровая подпись абсолютно идентична обычной подписи даже на законодательном уровне и позволяет исключить вероятность подделки как самой подписи, так и подписанных документов, а это уже весьма серьезно. По своей природе цифровая подпись практически не подвержена процедурам дешифрации с последующим взломом, по крайней мере на сегодня не существует достаточных вычислительных мощностей, позволяющих за приемлемое время «взломать» цифровую подпись методом перебора — другие методы здесь нереализуемы.

Что касается функциональности, то традиционные функции отечественного делопроизводства и документооборота известны: они включают прием и отправку документов, их регистрацию, рассмотрение и оформление решений, доведение их до исполнителей, контроль движения и исполнения документов, их уничтожение или передачу в архив. Но по сравнению с традиционным бумажным делопроизводством система электронного документооборота должна обеспечивать реализацию целого ряда новых функций. К наиболее важным из них относятся:

- поддержка работы с файлами электронных документов, обеспечение их создания и редактирования, сканирования и печати, приема и отправки, хранения и поиска;

- распространение технологий документооборота, отработанных для проходящих через канцелярию или секретариат организационно-распорядительных документов (приказов, распоряжений и т. п.), на более широкий круг документов (в идеале – на все документы организации). Для этого система должна обладать возможностью создания специфического набора реквизитов для документов каждого вида (например, договоры должны содержать информацию о контрагентах, этапах и т. д.);

- разработка и реализация технологий в масштабе организации, связанных с коллективной работой по созданию и реализации документов в рамках компьютерных сетей. Традиционно регламентированные технологии делопроизводства, как правило, не распространялись на процесс подготовки документа и работу с его проектами;

- создание «единого офиса». Традиционный документооборот локализован в рамках отдельного офиса. Взаимодействие между офисами одной или различных организаций осуществляется на уровне обмена входящей/исходящей корреспонденцией. В результате практически исключается возможность создания единого документального пространства и сквозного контроля за прохождением и исполнением документов как внутри одной распределенной организации, так и между различными организациями. Огромный управленческий эффект – в самой ближайшей перспективе – сулит переход от электронного документооборота в отдельных локальных офисных сетях к единой системе документооборота территориально распределенной системы организаций, которую с точки зрения документооборота можно рассматривать как один единый офис;

- взаимодействие персонала и внешних пользователей с системой документооборота предприятия или организации, основанное на веб-технологиях. Речь идет о важном интерфейсном компоненте современной системы электронного документооборота – так называемом документальном портале;

- обеспечение безопасности, гарантирующей подлинность электронного документа и его защиту от несанкционированного доступа (например, средства электронно-цифровой подписи и шифрования на основе криптоалгоритмов).

 

Основные проблемы обеспечения аутентичности электронных документов

При использовании СЭД на сегодняшний день основным и практически единственным предлагаемым на рынке решением для обеспечения подлинности электронного документа является электронно-цифровой подписи (ЭЦП). Основной принцип работы ЭЦП основан на технологиях шифрования с ассиметричным ключом. Т.е. ключи для шифрования и расшифровки данных различны. Имеется «закрытый» ключ, который позволяет зашифровать информацию, и имеется «открытый» ключ, при помощи которого можно эту информацию расшифровать, но с его помощью невозможно «зашифровать» эту информацию. Таким образом, владелец «подписи» должен владеть «закрытым» ключом и не допускать его передачу другим лицам, а «открытый» ключ может распространяться публично для проверки подлинности подписи, полученной при помощи «закрытого» ключа.

Для наглядности ЭЦП можно представить как данные, полученные в результате специального криптографического преобразования текста электронного документа. Оно осуществляется с помощью так называемого «закрытого ключа» — уникальной последовательности символов, известной только отправителю электронного документа. Эти «данные» передаются вместе с текстом электронного документа его получателю, который может проверить ЭЦП, используя так называемый «открытый ключ» отправителя — также уникальную, но общедоступную последовательность символов, однозначно связанную с «закрытым ключом» отправителя. Успешная проверка ЭЦП показывает, что электронный документ подписан именно тем, от кого он исходит, и что он не был модифицирован после наложения ЭЦП.

Таким образом, подписать электронный документ с использованием ЭЦП может только обладатель «закрытого ключа», а проверить наличие ЭЦП – любой участник электронного документооборота, получивший «открытый ключ», соответствующий «закрытому ключу» отправителя. Подтверждение принадлежности «открытых ключей» конкретным лицам осуществляет удостоверяющий центр - специальная организация или сторона, которой доверяют все участники информационного обмена. Обращение в удостоверяющие центры позволяет каждому участнику убедиться, что имеющиеся у него копии «открытых ключей», принадлежащих другим участникам (для проверки их ЭЦП), действительно принадлежат этим участникам.

Большинство производителей СЭД уже имеют встроенные в свои системы, собственноручно разработанные или партнерские средства для использования ЭЦП, как, например, в системах Directum или «Евфрат-Документооборот». Такой тесной интеграции с ЭЦП немало способствовал и выход федерального закона о ЭЦП, в котором электронная цифровая подпись была признана имеющий юридическую силу наряду с собственноручной подписью. Стоить заметить, что согласно законам РФ, свою систему электронной цифровой подписью может разрабатывать только компания, имеющая на это соответствующую лицензию от ФАПСИ (ныне от ФСБ). Равно как и компания, использующая в своих разработках ЭЦП, должна иметь лицензию от органов государственной власти.

Протоколирование действий пользователей — немаловажный пункт в защите электронного документооборота. Его правильная реализация в системе позволит отследить все неправомерные действия и найти виновника, а при оперативном вмешательстве даже пресечь попытку неправомерных или наносящих вред действий. Такая возможность обязательно должна присутствовать в самой СЭД. Кроме того, дополнительно можно воспользоваться решениями сторонних разработчиков и партнеров, чьи продукты интегрированы с СЭД. Говоря о партнерских решениях, прежде всего речь идет о СУБД и хранилищах данных, любой подобный продукт крупных разработчиков, таких как Microsoft или Oracle, наделен этими средствами. Также не стоит забывать о возможностях операционных систем по протоколированию действий пользователей и решениях сторонних разработчиков в этой области.

Российское законодательство в течение последних нескольких лет начинает активно проявлять интерес к высоким технологиям. Однако пока мы идем с отставанием, по сравнению с рядом зарубежных стран, в области правового регулирования информационных технологий и документооборота в частности. Своего рода прорывом можно назвать принятие федерального закона от 10 января 2002 «Об электронной цифровой подписи». В нем ЭЦП приравнена к собственноручной подписи при соблюдении соответствующих условий указанных в законе и даже может рассматриваться заменой печати организации, естественно так же при соблюдении соответствующих условий. Помимо указанного ФЗ «Об ЭЦП» (на сегодняшний день – редакции соответствующих федеральных законов) сейчас электронный документооборот в нашей стране регулируется рядом специальных законов, одним из главных в которых является ФЗ «Об информации, информатизации и защите информации», который содержит формальные определения таких понятий, как «информация», «документированная информация», «документ», «информатизация», «информационные ресурсы».

Федеральный законы «О связи» и «Об участии в международном информационном обмене» также определяют понятия «документированная информация», «информационные ресурсы», «информационные продукты», «информационные услуги». Например, под «документом» здесь понимается «зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать». Косвенно электронного документооборота также касается закон «О лицензировании отдельных видов деятельности», устанавливающий обязательность лицензирования деятельности по выдаче сертификатов ключей ЭЦП, регистрации владельцев ЭЦП, оказанию услуг, связанных с использованием ЭЦП, и подтверждению подлинности ЭЦП. Здесь же предусмотрено лицензирование деятельности: по распространению шифровальных (криптографических) средств, по техническому обслуживанию шифровальных (криптографических) средств, по предоставлению услуг в области шифрования информации, по разработке, производству шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.

Правовой основой обеспечения безопасности информационных технологий являются:

1. Доктрина информационной безопасности Российской Федерации.

2. Федеральный закон от 27 июля 2006 г. N 149-ФЗ"Об информации, информационных технологиях и о защите информации". Принят Государственной Думой 8 июля 2006 года. Одобрен Советом Федерации 14 июля 2006 года

3. Федеральный закон от 4 июля 1996 г. «Об участие в международном информационном обмене».

4. Федеральный закон от 06 апреля 2011 г. N 63-ФЗ "Об электронной подписи".

5. Концепция национальной безопасности Российской Федерации. Утверждена Указом Президента Российской Федерации от 17 декабря 1997 г. N1300. (В редакции Указа Президента Российской Федерации от 10 января 2000 г. N24.

6. Окинавская хартия глобального информационного общества. Принята 22 июля 2000 года. Окинава.

7. Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"

8. Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"

9. Приказ ФСБ РФ от 9 февраля 2005 г. N 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных криптографических средств защиты информации (Положение ПКЗ-2005)»

10. Государственная техническая комиссия России. (ФСТЭК) Руководя-щие документы. М., ГТК, 1992, 1997.

Кроме того, есть целый ряд ГОСТов. Например, ГОСТ 28147-89. «Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.»; ГОСТ 6.10.4-84 «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники», определяющий требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинных носителях, информации, создаваемым средствами вычислительной техники, а также порядок внесения изменений в указанные документы; ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования»; ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

Список законов и государственных стандартов представлен здесь не в полном объеме, кроме указанных существует еще ряд постановлений, указов, писем, стандартов. Следует заметить, что работа в области правового регулирования ИТ продолжается и сейчас. Например, 28 декабря 2013 года был принят Федеральный закон № 398-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации». Он определяет порядок сбора, передачи, производства и распространения информации в РФ, использования информационно-телекоммуникационных сетей, устанавливает ответственность за нарушения в сфере информационных технологий и коммуникаций. Вводятся новые понятия («обладатель информации», «информационная технология», «оператор информационной системы» и другие), обеспечивающие однозначное толкование законодательных норм. За обладателем информации закрепляются исключительные права на определение доступа к информационным ресурсам и их использование. Данный закон вводит классификацию информации по критериям доступности и способам распространения. Фиксируется «презумпция открытости информации о деятельности государственных органов и органов местного самоуправления». Также в нем записано, что «право на доступ к какой-либо информации не может быть использовано для насильственного изменения основ конституционного строя, нарушения территориальной целостности РФ, создания угроз обороне страны, безопасности государства и охране правопорядка». Поправки о запрете использования импортного программного оборудования (ПО) на стратегических объектах России были отклонены депутатами Государственной Думы и в итоговую версию принятого закона не вошли.

Основное проблемное место при организации защиты СЭД, как отмечают большинство разработчиков систем защиты, это не технические средства, а лояльность пользователей. Как только документ попадает к пользователю, конфиденциальность этого документа по отношению к пользователю уже нарушена. Техническими мерами в принципе невозможно предотвратить утечку документа через этого пользователя. Он найдет множество способов скопировать информацию, от сохранения его на внешний носитель до банального фотографирования документа с помощью камеры, встроенной в сотовый телефон. Основные средства защиты здесь — это организационные меры по ограничению доступа к конфиденциальным документам и работы с самим пользователем. Он должен понимать степень своей ответственности, которую несет перед организацией и законом Российской Федерации.

Системы российских разработчиков условно можно поделить на две группы — ориентированные на коммерческое использование (Directum, «Ефрат-документооборот», LanDoc, Optima-WorkFlow) и ориентированные на использование в государственных структурах («Гран-Док» и «Золушка»). Это не означает, что их применение строго ограничено, некоторые системы вполне успешно применяются как в государственных структурах, так и в коммерческих организациях. Просто каждая их этих групп имеет свою специфику не только в технологиях организации документооборота и делопроизводства, но и свои отличительные черты в системах защиты.

Основное отличие в системах защиты — это алгоритмы, применяемые в шифровании и ЭЦП К сожалению, пока вопрос защищенности систем документооборота только начинает интересовать конечных пользователей и разработчиков соответственно. Практически все системы обладают парольной аутентификацией и разграничением прав доступа пользователей. Некоторые из них имеют также возможности интеграции с Windows-аутентификацией, что дает возможность пользоваться дополнительными средствами аутентификации, поддерживаемыми Windows. Не все из перечисленных решений имеют свою криптографическую защиту — шифрование документов или ЭЦП. В ряде продуктов это возможно только при помощи дополнительных средств сторонних разработчиков.

Подход к защите электронного документооборота должен быть комплексным. Необходимо трезво оценивать возможные угрозы и риски СЭД и величину возможных потерь от реализованных угроз. Как уже говорилось, защиты СЭД не сводится только лишь к защите документов и разграничению доступа к ним. Остаются вопросы защиты аппаратных средств системы, персональных компьютеров, принтеров и прочих устройств; защиты сетевой среды, в которой функционирует система, защита каналов передачи данных и сетевого оборудования, возможно выделение СЭД в особый сегмент сети. Комплекс организационных мер играют роль на каждом уровне защиты, но им, к сожалению, часто пренебрегают. А ведь здесь и инструктаж, и подготовка обычного персонала к работе с конфиденциальной информацией. Плохая организация может свести к нулю все технические меры, сколь совершенны они бы не были.

 

Дата добавления: 2018-08-06; просмотров: 745; Мы поможем в написании вашей работы!

Поделиться с друзьями:


12Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.034)