Защита электронных документов

391
На современном этапе развития большинство топ-менеджеров рассматривают электронный документооборот как инструмент повышения эффективности управления. Современные системы документооборота охватывают всю структуру организации, обеспечивая как внутреннее взаимодействие сотрудников, так и внешнее взаимодействие с клиентами, партнерами, государственными структурами. В системе циркулирует большое количество информации и документов, содержащих данные о бизнесе компании, разглашение которых крайне нежелательно.

Развитие современной техники и информационных технологий стремительно расширяет границы СЭД за счет мобильности ее пользователей.  Исчезают традиционные барьеры, отделяющие внутреннюю сеть компании от сетей общего доступа. Сотрудник может работать на стационарном компьютере в офисе, на ноутбуке в командировке или дома, на смартфоне по дороге на деловую встречу и т.д.  Поэтому актуальными становятся вопросы информационной защиты, которые включают в себя:

  1. Вопросы организации защиты системы электронного документооборота:
  • антивирусная защита;
  • криптографическая защита;
  • межсетевое экранирование;
  • аудит информационной безопасности,
  • регистрация событий в информационных системах;
  • контроль целостности используемого программного обеспечения и т.д.

2.  Вопросы защиты электронных документов:

  • аутентификация пользователей и разделение доступа;
  • контроль целостности электронного документа;
  • конфиденциальность электронного документа;
  • подтверждение авторства электронного документа;
  • обеспечение юридической значимости электронного документа.

Электронная подпись. Виды электронной подписи

Электронные документы могут передаваться по различным каналам связи, а также с помощью различных носителей. Вопросы гарантии целостности, подлинности документа и авторства подписи электронного документа решает электронная подпись как реквизит электронного документа. Этот же реквизит придает и юридическую значимость электронному документу при условии соблюдения правил оформления остальных реквизитов документа.

Что же такое электронная подпись (ЭП)?

Федеральный закон РФ от 06.04.2011  № 63-ФЗ «Об электронной подписи» (далее – Закон «Об электронной подписи») (ст. 2) дает следующее определение ЭП:

«электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию».

Закон также устанавливает виды электронной подписи (рис. 1).

Защита электронных документов 

Рис. 1. Виды электронной подписи

Простой электронной подписью (ПЭП) является электронная подпись, которая «посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом» (ст. 5 п. 2 закона «Об электронной подписи»). Недостатком ПЭП является отсутствие возможности проверить документ на наличие изменений с момента его подписания. 

Неквалифицированная электронная подпись (НЭП) - это электронная подпись, которая создается с использованием криптографических преобразований и средств электронной подписи и позволяет определить автора документа и проверить его на наличие изменений после момента его подписания.

Квалифицированной электронной подписью (КЭП) является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи, ключ проверки электронной подписи указан в квалифицированном сертификате и  для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным законом «Об электронной подписи ».

В каких случаях применяются различные виды электронной подписи?

Простая электронная подпись

Простая электронная подпись может использоваться при оформлении электронных сообщений, направляемых в органы государственной власти, местного самоуправления или должностным лицам. Постановление правительства РФ от 25.01.2013 № 33 «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг» регламентируют правила использования ПЭП, основанные на идентификации граждан в соответствующих государственных системах.

Ключом ПЭП является сочетание двух элементов - идентификатора и пароля ключа. Идентификатором является страховой номер индивидуального лицевого счета (СНИЛС) заявителя - физического лица либо руководителя, а паролем ключа - последовательность символов, созданная в соответствии с утвержденными требованиями.

В соответствие с постановлением пароль ключа простой ЭП должен состоять не менее чем из восьми символов, включая буквы и цифры, и не может содержать знаки «*» или «#». Его можно самостоятельно изменить в личном кабинете на Едином портале госуслуг.

Выдается ПЭП любым органом государственной власти или местного самоуправления или подведомственной им организацией, оказывающей госуслуги при обращении граждан лично или по заявлению в электронной форме.Защита электронных документов

В настоящее время с использованием ключа электронной подписи на Едином портале государственных услуг можно получить сведения о штрафах за нарушение ПДД, задолженности по оплате налогов, сведения из Пенсионного Фонда России и иные информационные услуги.

Простая ЭП может быть использована при условии, что между участниками электронного взаимодействия установлены необходимые соглашения (нормативные правовые акты) о признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью. Такие соглашения должны предусматривать правила определения подписавшего документ лица по его простой электронной подписи и обязанность сторон по соблюдению конфиденциальности ключа подписи. Простую электронную подпись рекомендуется использовать только в случае доверительных отношений с партнером по бизнесу.

Электронный документ считается подписанным простой электронной подписью, если она содержится в самом электронном документе и ключ ПЭП применяется в соответствии с правилами, установленными оператором информационной системы, с помощью которой создается и отправляется электронный документ. При этом в электронном документе должна быть информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.

Что же все-таки представляет из себя простая электронная подпись? Однозначно, что имя автора документа, содержащееся в реквизите документа «подпись» не может считаться ПЭП, т.к. не удовлетворяет требованию нормативных документов в части «использования кодов, паролей или иных средств» для создания данного реквизита. Определить лицо, от имени которого послан документ, можно, например, с помощью идентификатора сообщения в сочетании с IP-адресом компьютера отправителя, подтверждающие, что конкретный пользователь, введя пароль, воспользовался почтовой системой для отправки документа. Но электронный адрес отправителя и имя отправителя можно считать простой электронной подписью только при условии, что оператор информационной системы обеспечивает их достоверность.

Компания Yota приняла решение подписывать договоры на оказание услуг связи в электронной форме (простой электронной подписью). Решение было принято для удобства клиентов, т.к. использование электронной подписи позволяет избавить клиентов от необходимости приезжать в офисы компании для того, чтобы повторно оформить какие-либо услуги.

Договор с клиентом в бумажном виде заключает удостоверяющий центр — ООО «Центр Идентификации», который является эксклюзивным партнером по обслуживанию электронной подписи группы компаний Yota. В данный момент электронная подпись используется только для заключения контракта на LTE. Код доступа к средствам простой электронной подписи содержится в приобретаемом в компании устройстве, например, в LTE-модеме.

Определение лица, подписывающего электронный документ, по его электронной подписи, производится на основе сведений, указанных в сертификате ключа проверки электронной подписи, содержащемся в электронной подписи. Сертификат ключа проверки электронной подписи содержит уникальный номер договора Клиента с УЦ, по которому УЦ в любой момент времени может определить конкретного Клиента.

Неквалифицированная электронная подпись

Неквалифицированная электронная подпись создается в результате криптографического преобразования информации с использованием ключа электронной подписи. Она позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в электронный документ после момента его подписания. Для создания НЭП может использоваться сертификат неаккредитованного удостоверяющего центра, также можно вообще обойтись без сертификата, если технические средства позволяют выполнить требования закона.

НЭП должна быть создана с помощью средств электронной подписи, к которым относятся шифровальные (криптографические) средства, используемые для создания и  проверки ЭП, создания и проверки ключа ЭП (рис. 2).

Защита электронных документов

Рис. 2. Создание ключей

Принципы работы ключей ЭП

Чтобы иметь возможность подписывать документы электронной подписью, необходимо иметь:

  • закрытый ключ ЭП - уникальная последовательность символов; с его помощью создается электронная подпись для документа;
  • открытый ключ ЭП (сертификат ключа проверки ЭП) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи;  с его помощью проверяется подлинность электронной подписи, т.е. подтверждается принадлежность ЭП определенному лицу.

Закрытый ключ остается у владельца подписи, открытый передается адресату. Каким образом работают эти ключи?

Подписание документа производится с помощью открытого ключа (рис. 3)

Защита электронных документов

Рис. 3. Процесс подписания документа

Хэш-функция – это идентификатор документа, последовательность символов, которая создается на основании текста самого документа. Она используется для проверки документа на соответствие оригиналу.

Проверка документа производится открытым ключом (рис. 4).

Защита электронных документов

Рис. 4. Проверка подписи

Проверка подписи документа идет по двум направлениям:

  1. Документ просматривается и создается ХЭШ-функция полученного документа.
  2. Выделяется электронная подпись, присоединенная к документу, с помощью открытого ключа производится расшифровка ХЭШ-функции, затем ее восстановление.

Результаты этих этапов сравниваются и если ХЭШ-функции одинаковые, то электронная подпись верна и сам документ идентичен отправленному документу.

Пример подписания документа в программе Word 2007

Рассмотрим пример подписания документа в программе Word 2007 с помощью встроенных механизмов электронной подписи.

Для этого определим место, куда будет помещена электронная подпись и с помощью команды Вставка-Текст-Строка подписи-Строка подписи Microsoft Office откроем окно настройки подписи (рис. 5).

Защита электронных документов

Введем необходимые данные – инициалы и фамилию подписывающего и его должность. Важно также в строке подписи указать дату проставления подписи. После нажатия ОК в документе появляется поле электронной подписи (рис. 6).

Защита электронных документов

При создании документа таких полей может быть введено несколько в зависимости от количества подписантов. При подписании документа можно добавить печатную версию подписи рядом со значком X (рис. 7) или вставить графическое изображение подписи либо ввести рукописную версию подписи (с планшетных компьютеров). Результат подписания документа показан на рис. 8.  После подписания документ может быть использован только в режиме чтения. При сохранении копии подписанного электронной подписью документа подпись становится недействительной, что отображается в документе (рис. 9).

Защита электронных документов

Рис. 7. Подписание документа

Защита электронных документов

Защита электронных документов

Если подпись в документе в принципе не требуется, но нужно гарантировать подлинность, целостность и происхождение документа, то можно подписать документ невидимой подписью. Для вставки такой подписи используется команда Office-Подготовить-Добавить цифровую подпись. В окне подписания указывается цель использования невидимой цифровой подписи (рис. 10), результат подписания документа такой подписью виден в строке состояний (рис. 11). Надо отметить, что этот значок появляется в строке состояния при подписании документа любым видом подписи.

Защита электронных документов

Защита электронных документов

Квалифицированная подпись

Квалифицированная подпись создается с помощью подтвержденных ФСБ криптографических средств и должна иметь сертификат от аккредитованного удостоверяющего центра, выступающего гарантом подлинности подписи. Электронный документ, подписанный КЭП, во всех случаях приравнивается законодательством к бумажному документу с собственноручной подписью. Квалифицированный сертификат выдается в форме, требования к которой устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности.

Сертификат ключа проверки электронной подписи должен содержать дату начала и окончания срока действия ключа, фамилию, имя и отчество владельца, ключ проверки электронной подписи, наименование используемого средства электронной подписи, наименование удостоверяющего центра.

В процессе создания сертификата ключа проверки ЭП каждому пользователю генерируются ключ ЭП и ключ проверки ЭП. Ключи хранятся в файлах, которые размещаются на защищенном ключевом носителе, снабженным PIN-кодом для дополнительной защиты.

В настоящее время в качестве специализированных носителей ограниченного доступа часто используются Rutoken (Рутокен) и еToken (Етокен).

Rutoken - это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.  

eToken – это защищенное устройство, предназначенное для строгой аутентификации и безопасного хранения ключей шифрования, цифровых сертификатов и любой другой секретной информации. eToken выпускается в двух формах: USB-ключа и смарт-карты.

Для обеспечения конфиденциальности ключа ЭП необходимо выполнять рекомендации по хранению и использованию ключа ЭП.

Создание электронной подписи представляет собой сложную математическую процедуру и ее выполняют специальные программы – криптопровайдеры. В современных операционных системах криптопровайдеры уже включены в их состав.

Например, в Windows XP встроен провайдер Microsoft Enhanced Cryptographic Provider.

При создании квалифицированной электронной подписи в соответствие с  Закон «Об электронной подписи» должны использоваться криптопровайдеры, сертифицированные государственными органами. В связи с этим подпись, проставленная в примере, описанном выше, считается неквалифицированной. Поэтому для обеспечения  квалифицированной электронной подписи на всех компьютерах, на которых будут подписываться документы или проверяться электронная подпись, необходимо установить сертифицированный криптопровайдер.

Известным поставщиком средств электронной подписи в России является компания КРИПТО-ПРО. Она также предоставляет услуги аккредитованного удостоверяющего центра. Многие компании, разработчики СЭД, используют продукты компании КРИПТО-ПРО для защиты своих решений.

Примеры использования ЭП

Компания Cognitive Technologies использует КриптоПро CSP в Модуле подписания ЭП в Торговой системе ОАО «Единая электронная торговая площадка» для проверки корректности документов и сведений, подписываемых ЭП пользователями площадки.

Компания DocsVision за счет использования в СЭД DocsVision средств криптографической защиты Крипто-Про, обеспечивает возможность подписания любого файла электронной подписью, что позволяет надежно определить обладателя подписи под документом и гарантировать отсутствие в нем изменений после подписания (рис. 12). При нажатии кнопки Подписать система предлагает выбрать сертификат ключа электронной подписи (рис. 13). Можно также выбрать вид подписи. Можно подписать сам файл документа, карточку документа, операцию с документом. Историю подписаний и результат проверки электронной подписи можно посмотреть в журнале подписей (рис. 14).

Защита электронных документов

Защита электронных документов

Защита электронных документов

Мы рассмотрели возможности защиты электронных документов с помощью электронной подписи, но как указывалось в начале статьи, этого не достаточно и нужно применять комплексные меры информационной безопасности, которые включают в себя как программно-технические, так и организационные мероприятия.

Т.В. Алексеева, доцент, Московский финансово-промышленный университет «Синергия»



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Мероприятия

Мероприятия

Проверь свои знания и приобрети новые

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Вебинар «Секретарь в соцсетях. Правила поведения»
Журнал «Справочник секретаря и офис-менеджера»

Рассылка




Вопрос - ответ

Отвечаем на Ваши вопросы

Какие реквизиты используются при оформлении приказов по основной деятельности?
Проекты приказов по основной деятельности готовятся по поручению руководителя организации в структурных подразделениях организации, оформляются на специальном бланке и содержат следующие реквизиты
Недавно устроилась секретарем в компанию, где передо мной встала задача наладить документооборот
Подскажите, как правильно начать формировать локальную нормативную базу и какие нормативные документы мне в этом помогут? Читайте ответ на вопрос
Задайте свой вопрос здесь>>> www.sekretariat.ru/pk

PRO Делопроизводство
Портал для руководителей служб ДОУ и секретарей всех уровней

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

E-mail: document@sekretariat.ru


  • Мы в соцсетях
Вы - делопроизводитель? Зарегистрируйтесь!

Регистрация бесплатная и займет всего 1 минуту!
После регистрации вы сможете:

  • читать любые статьи по делопроизводству на нашем сайте!
  • бесплатно подписаться на ежедневные новости по делопроизводству
  • участвовать в вебинарах
  • задавать вопросы экспертам

Оставайтесь с нами!
с заботой о Вас, портал PRO - делопроизводство

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Всего один шаг - и документ Ваш!

Только зарегистрированные пользователи могут скачивать материалы с сайта. Регистрация бесплатна и займет менее минуты. После нее Вы сможете загрузить документ, а также получите доступ к материалам и сервисам сайта.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль