Преподаватель который помогает студентам и школьникам в учёбе.

Защита информации в системах электронного документооборота

Содержание:

Введение

Сегодня всё больше встречается фраза «информационное общество». Анализируя изменения производительных сил и производственных отношений, «информационным обществом» можно назвать то общество, в котором информация и знания являются основным пред-метом и результатом труда большинства людей, а инструментом труда выступают информационные системы различных катего-рий. Информационные техноло-гии, основанные на последних разработках ЭВМ, называемые Новые Информационные Технологии (НИТ), все больше и больше применяются в различных сферах деятельности. С каждым днём возроствет число кибер преступников, которые взламывают банковские системы или устраивают сбои в работе информаци-онных систем крупных компаниях и воруют важную документацию. Даже небольшой сбой в работе информационных системах которые применяются в управлении атомными электро-станциями или предприятиями по произ-водству хими-ческих веществ может привести к экологическим катастро-фам. Целью данной работы является изучение методики защиты инфор-мации в электронных системах документационного оборота.

Для реализации поставленной цели нужно выполнить несколько за-дач: Изучить определение электронной документации; Рассмотреть защиту электронных документов; Изучить основные механизмы защиты; Рассмотреть примеры программных реализаций систем электронного документооборота; Рассмотреть использование механизма электронной подписи в электронном документообороте; Изучить защитные системы информации в электронном документообороте и т.д.

При написании данной работы были использованы современные научные и учебные источники.

Глава 1. Определение электронной документации и её защиты

1.1 Электронная документация: определение и особенности

Электронную документацию можно разделить на два основных типа: неформальные (личные) и официальные (служебные). Неформальный элек-тронный документ это любой текст, сообщение или скандированное изоб-ражение находящиеся на цифровом носителе. Официальным электронным документом является сообщение, оформление и реквизиты которого соот-ветствуют определенным служебным требованиям и нормативам, и также находящиеся на цифровом носителе.

Электронная документация (ЭД) переставляет собой структуриро-ванный информационный объект, в соответствие которому может быть по-ста-лена совокупность файлов, хранящихся на цифровом носителе. Не-обходимым признаком ЭД является «регистрационная карточка», состоящая из реквизитов документа, содержащих перечень необходимых данных о нем. Согласно законодательству, электронной считается та документация, в кото-рой информация представлена в одном из цифровых форматов.

Электронные документы имеют следующие преимущества над бу-мажными документами: низкая стоимость и меньшие временные затраты на передачи документа из одного места в другое; быстрое тиражирование; уменьшение стоимости архивного хранения; быстрый поиск по контексту; новые возможности защиты документов; упрощение подготовки ЭД в сочетании с широкими возможно-стями; принципиально новые возможности представления ЭД. Доку-мент может иметь динамическое содержание (например, аудио, ви-деовставки).

Основные принципы построения системы электронного документо-оборота: соответствие требованиям стандартов на формы и системы документации; распределенность; масштабируемость; модульность; открытость; переносимость на другие аппаратные платформы.

Главными функциями системы цифрового документооборота являются:

регистрация документов;
проверка исполнения документов;
составление справочников и работа с ними;
контроль перемещения бумажного и электронного документов, ведение истории изменения с документов;
создание и изменение реквизитов документов;
организация отчетов по обороту весей информации на предприятии;
импорт документов с внешних цифровых носителей информации и Интернета;
быстрое создание нового документа на основе шаблона (прямая интеграция);
возможность работы с предыдущими версиями документов, со сложными многокомпонентными и много форматными файлами, а также с вложениями;
онлайн распространение документов;
работа с файлами в папках;
оцифровка документов посредством сканирования и распознавания;
снижением временных затрат на доступ к информации и её обработку.

Информационные системы для цифрового документооборота чаще всего внедряются, для того что бы ускорить процесс решения определенных задач, стоящие перед организацией. Вот несколько подобных задач:

получение более результативного управления за счет автоматизироного процесса контролирования выполнения работ, законности в делопроизводстве всей организации на всех уровнях;
поддержка результативного управления и получение доступа к информации и знаниям;
исключение лишних бумажных документаций во внешнем обороте предприятия;
значительное облегчение и снижение стоимости хранения документации за счет наличия структурированного цифрового архива;
экономия финансовых средств организации за счет сокращения расходов на контролирование потоками оборотов бумажной документации в организации;
поддержка системы контроля качества, отвечающим международным стандартам;
обеспечение кадровой эластичности за счет большей формализации деятельности каждого сотрудника и возможности хранения всей предыстории его деятельности;
составление протоколов о деятельности организации в целом (внутренние и служебные расследования, анализ занятий подразделений, обнаружение «горячих точек» в процессе работы организации и каждого сотрудника в частности, оптимизация бизнес-процессов и автоматизирование способа их выполнения и системы контроля и проверки.

1.2 Защита электронного документооборота

С развитием все организации или производственные предприятия сталкиваются с необходимостью перехода с бумажного документооборота на электронный. Как бумажные так и элек-тронные документы обладают различной степенью конфиденциальности. А так-же они содержат различные сведения от документо свободного доступа и до коммерческих тайн, определенной организации или ее владельцев и их компаньёнов. Также, существует проблема подлинности документов в циф-ровом формате, полученных, скажем, по электронной почте, потому что документ в цифровом виде не подпишешь от руки и не подтвердишь печатью как на бумажном носителе.

Вывод: документооборот в электроном виде должен поддерживаться разного рода организационно-техническими службами и процессами, которые позволят защищать пересылаемые цифровым сетям электронную документацию, во первых от умышленного перехвата и прочтения, и во вторых от случайного или преднамеренного изменения содержимого документации.

Защита оборота документации в цифровом формате актуальна для многих задач, например:

защита цифрового документооборота на промышленных предприятиях;
реализация конфиденциальности информации о пациентах в медицинских учреждениях и клиентов в финансовых организациях;
защита баз данных с цифровыми документами;
обеспечивающих функционирование платежной сети в банковской сфере.

Одним из самых весомых вопросов о защите является, вопрос защиты внутреннего документооборота для организаций, имеющих территориально-распределенную структуру. В таких организациях как правило несколько локальных вычислительных сетей (англ. Local Area Network, LAN), которые териториально находятся в разных удалённых друг от друга местах, в том числе в различных регионах России, и даже на разных материках. И они вынуждены использовать для передачи информации различные неконтролируемые глобальные вычислительные сети (англ. Wide Area Network, WAN) общественного пользования. Существуют методы и системы защиты во время передачи по WAN электронных документов. Перечисленные рекомендации также будут полезны и для таких организаций, которые имеют единственную LAN, так как, применение систем защиты не будут лишними и в любом случае.

При электронном документообороте возникают различные угрозы от пользователей WAN, которые можно поделить на две ключевые категории:

угрозы конфиденциальности информации;
угрозы сохранности информации.

Шифрование это процесс преобразования открытых данных в закрытые по определенному крипто-графическому алгоритму с использованием секретного элемента, это - ключ шифрования. По этому шифрование считается наиболее надежным и безопасным средством обеспечения конфиденциальности информации в сетях LAN и WAN. Хорошим и сильным считается шифрование с длиной ключа от 128 бит и выше.

Рассмотрим симметричное шифрование. Название подразумевает то, что для зашифровки и последующей дешифровки информации используется одно и то же криптографическое преобразование. Секретный элемент криптографического преобразования может храниться, например, на флэшке, или на каком-либо другом цифровом носителе. Для того, чтобы все пользователи, имеющие права доступа к зашифрованным документам, необходимо данным пользователям владеть определенным набором ключей что бы произвести дешифровку, что позволит без затруднения расшифровывать зашифрованные отправителем документы.

Элементарная ситуация когда все участники локальной коммерческой сети в организации принимают одинаковый для всех секретный ключ шифрования. Как и все элементарное, такой метод имеет несколько неприятных недостатков.

Если все участники сети имеют одинаковый для вех ключ шифрования. То в таким случае, любой зашифрованный таким ключом файл или документ может быть дешифрован любым участником LAN, по этому, невозможно отправить отдельный документ какому-либо отдельному участнику LAN лично. При компрометации ключа для дешифрования (его утере, хищении и т. д.) конфиденциальность окажется под угрозой нарушения весь зашифрованный пакет данных, ключи шифрования будет необходимо срочно изменить. Если к примеру, факт кражи ключа шифрования не удалось обнаружить сразу, останется только догадываться, сколько документов (и ка-кой важности) успеет прочесть или испортить злоумышленник. При использовании такого метода ключи необходимо передавать из рук в руки, по этому, переслать их по электронной почте не безопасно, так как сообщение может быть перехвачено. И по этому такой метод не очень удобен.

Такие недостатки, к примеру устраняются использованием криптографической системой типа «full matrix» (полная матрица). Метод «full matrix» представляет собой матрицу состоящую из ключей для связи «каждый с каждым» (ключи для парной связи), получается что., матрица содержит набор ключей для связи пользователей попарно. Это означает, что каждый из ключей матрицы доступен только двум участникам из все сети. Каждый пользователь получает набор ключей из данной матрицы, чтобы у него была связь с остальными участниками LAN. Из этого следует что, становиться возможна отправка документов любому участнику лично, зашифровав их на ключе парной связи, без возможности несанкционированного доступа всем остальным пользователям. Так же и при компрометации какого-либо ключа под угрозой будут лишь те пакеты документов, которые посылались владельцами определённого ключа. Получается что, на замену скомпрометированному ключу надо будет его заменить только у двух участников, вместо того что бы менять его у каждого участника сети.

И дальше о несовершенствах, в случаи когда необходимо переслать один и тот же пакет информации группе пользователям в зашифрованном виде, его необходимо будет зашифровывать столько раз сколько будет адресатов-получателей, а потом еще надо не запутаться, кому какой пакет информации из зашифрованных надо отправить. Получается что нужда передавать ключи «из рук в руки» остается. Но схема шифрования документов, позволяющая создавать один зашифрованный документ для передачи нескольким пользователям с использованием ключей парной связи, все же существует.

Проблема распространения ключей решается посредством использования схемы открытого распределения ключей. Это значит, что с помощью алгоритма такой схемы ключ шифрования «делится на секретную и открытую части». Секретная часть, называемая «secret key», хранится у его отправителя, а открытая часть («public key») передается всем остальным пользователям LAN. Получается что, каждый отдельный участник LAN получает в свое распоряжение свой личный secret key и комплект public key всех остальных пользователей LAN. С помощью индивидуального secret key и public key пользователя-получателя пользователь-отправитель вычисляет ключ парной связи, в результате чего зашифровывает нужную информацию для отправления определенному получателю. А получатель в свою очередь, благодаря своему конфиденциальному ключу и существующей у него открытой части ключа отправителя, получает точно такой-же ключ для парной связи, с помощью чего потом может эту информацию расшифровать и использовать в дальнейшей работе.

Получается что, при применении такой схемы как с открытым распределением ключей получаются те же позитивные результаты, что и во время применении схемы «full matrix», но по мимо этого также еще и нейтрализуется недостаток проблемы распространения ключей. Public keys можно не скрывать передавать по открытым каналам связи, поскольку, даже имея полный набор public keys всех пользователей LAN, злоумышленники не смогут расшифровать закодированный файл или документ, потому как, он пред-назначен одному из адресатов.

Так же и в случае с другими пользователями LAN, потому что файл или любая другая информация зашифрованы на ключе парной связи, это могут сделать только отправитель и получатель могут вычислить, у других просто не будет достаточно частей исходных данных для полного ключа парной связи. Ключ у парной связи может вычисляться, например, с помощью алгоритма Диффи-Хеллмана. Его алгоритм (и многие другие) подробно описан в выпущенной в 1999 году издательством «Радио и Связь» книге Ю.В.Романца, П.А.Тимофеева и В.Ф.Шаньгина «Защита информации в компьютерных системах и сетях». Тем, кому очень интересна эта тема, настоятельно рекомендую данную книгу к прочтению.

Существенное еще одно преимущество в распределении public keys состоящее в том, что могут быть применены одни и те же ключи и для зашифровки информации, и для электронной подписи. При использовании других шифровальных схем этого не достичь. Электронная цифровая подпись (ЭЦП) необходимое средство, позволяющее на базе криптографических методов подтверждать авторство и целостность электронного документа.

Secret key (SK) генерируется пользователем LAN. ЭЦП формируется на основе SK и вычисленного с помощью хэш-функции значения хэша документа. Хэш или хэш-функция одна из основных составляющих современной криптографии. При замене любого из символа в документе, хэш документа тоже изменится. Модернизировать информацию в документе так, чтобы хэш документа не поменялся, применяя современные алгоритмы для создания ЭЦП (например, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94) просто невозможно.

Secret key может защищаться паролем. Public Keys (PK) вычисляется как значение одной из функций из SK и применяеться для проверки ЭЦП. PK может свободно рассылаться адресатам по открытым каналам связи, получается что, PK должен быть передан всем пользователям LAN, с которыми будет совершаться обмен зашифрованной информацией. При проверке ЭЦП вычисляется значение хэша документа, таким образом, за любой модернизацией документа последует изменение значения хэша, и вычисленная ЭЦП измененного документа не совпадет с переданной, что явится сигналом нарушения его целостности.

Как мы уже знаем для шифрования и проверки ЭЦП может исполь-зоваться одна и та же пара ключей пользователя.

Метод комплексной защиты используется непосредственно для за-щиты и сохранения конфиденциальности и целостности цифровой ин-формации необходимо применить в комплексе шифрование и ЭЦП это так-же совместимо и с какими-либо дополнительны-ми сервисами например сжатием информации архивацией в качестве таких систем рекомендуются использовать специализированные архиваторы электронных документов. Создаваемый таким образом файл-архив можно передавать по сети без каких-либо опасений. При архивации исходные файлы подписываются на конфиденциальном ключе пользователя сети после чего файлы сжимаются и полученный в результате сжатия архив шифруется на случайном временном ключе. Пользователи которым пред-назначается архив могут расшифровать его с помощью записанного в архив зашифрованного временного ключа. Временный ключ зашифровыва-ется на парно-связном ключе вычисляемом по алгоритму Диффи-Хеллмана из SK от-правителя и открытого ключа ЭЦП OK пользователя-адресата.

В таком случае, выполняются определённые цели: рассылаемые электронные документы сопровождаются кодом подтверждения подлинности ЭЦП, который защищает их от нарушения целостности или несанкционированной модернизации. Документы отправляются в зашифрованном виде, что позволяет обеспечить их конфиденциальность и целостность. Пользователи-адресаты могут расшифровать информацию, используя свой SK и OK отправителя. Пользователи LAN, которые не имеют доступа к информации в данном архиве, не могут прочесть и изменить содержащуюся в нём информацию, из за того что не имеют временного ключа и не могут его вычислить.

Сложности распространения и хранения ключей с использованием ЭЦП и показанного ранее метода комплексной защиты электронной информации, те ключевые элементы в алгоритме которые должны распределяться вытекающим образом:

SK должен иметь его владелец, парный ему PK необходимо отправителю передать всем пользователям-адресатам LAN, с которыми он собирается делиться защищенной документацией.
PK являются открытыми и не зашифрованными, существует возможность их подмены.

Например, представляем такую ситуацию, что у злоумышленника (хакера) есть доступ к компьютеру, на котором пользователь №1 хранит Public Keys. Злоумышленник собирает необходимую для него информацию с содержанием: ФИО и ID, из PK, например, пользователя №2, после чего он генерирует где-либо SK и PK из скопированных данных и заменяет на компьютере пользователя №1 PK пользователя №2 на фиктивный. Выполнив необходимые действия хакер может подписать любой документ своим SK с данными пользователя №2 и переслать его пользователю №1. При проверке ЭЦП такого документа будет выдано сообщение типа «Подпись лица ФИО, ID, идентифицирована», что, можно сказать приведёт пользователя №1 в некое заблуждение. Выходит что, определенно должна быть защита и Public Keys ключей. Подобную защиту можно обеспечить одним из доступных способов. Использовать персональный цифровой носитель.

Персональный Secret keys и Public Keys иных пользователей можно записать на личную flash-карту, доступ к которой обязательно должен иметь только её владельца. Но, при большом количестве пользователей сети и большом потоке документов такой сценарий нецелесообразен, потому как понижается скорость обработки информации.

Суть предоставленного примера заключается в применении системы Certificate Keys. Предположительно, имеется некий сертификационный центр (Certified Center, CC), в котором на особом ключе (Certificate Keys подписывается Public Keys пользователя LAN до передачи его другим пользователям. Public Certificate Keys необходимо хранить у всех пользователей LAN для проверки целостности всех используемых в LAN PK. В та-ком случае лучше всего во время проверке ЭЦП какого-либо документа что бы, автоматически проверялась подпись соответствующего PK (что обычно и делается автоматически программными инструментами.

Значит что, сами PK могут храниться в открытом виде, а персональная flash-карта, помимо SK владельца, должна содержать еще и Certificate Keys. CC рекомендуется совместить с Key Generation Center (KGC). В этом случае выделяеться рабочее пространство, необходимое как для генерации ключей пользователей, так и для их сертификации и отправки пользователям. Даже в случае генерации ключей самими пользователями на местах, CC можно использовать для рассылки пользователям заверенных Public Keys.

Данная схема особенно применима для осуществления электронного документооборота между разными юридическими лицами.

Ряд распределения ключей получается следующим образом: пользователь создает индивидуальную flash-карту с собственными ключами. Secret keys защищаются паролем. Для собственных PK формируется подпись на личном SK. PK записывается на flash-карту для передачи.

Создаётся юридический документ в бумажной форме например, письмо в котором указываются: данные о владельце (Ф.И.О., должность, место работы), сам PK (код в шестнадцатеричном виде), полномочия владельца (перечень документов, которых уполномочен удостоверять владелец открытого ключа). Данный документ должен быть оформлен таким образом, чтобы иметь юридическую силу если вдруг возникнут спорные вопросов о оригинальности подписи и допуске владельца.

Когда в письме не указано полномочий, то они определяются по должности и служебному месту сотрудника. Затем этот документ вместе с PK поподает в CC. Certified Center проверяет юридическую силу полученного документа, а также идентичность PK на flash-карте и в документе.

В ответ пользователь получает:

сертифицированные PK всех пользователей (в том числе, и свой);
сертифицированные файлы с полномочиями владельцев PK;
Certificate Keys;
как в виде файла;
так и в виде юридического документа.

Владелец проверяет истинность ключа-сертификата, а также подписи всех полученных им PK и файлов. При успешной проверке PK записываются в соответствующий каталог, а ключ -сертификат на индивидуальную flash-карту.

В таком варианте работы пользователь создает ЭЦП документов и не отвлекается на обмен Public Keys и полномочиями. Но не мало нагрузки по рассылке PK и полномочий выполняется на Certified Center. Для предотвращения фальсификации PK Certified Center должен использовать организационные-защитные меры. В таком варианте как, если у пользователя LAN имеются какие-либо сомнения по поводу конкретного PK, он может запросить распечатку PK и полномочий напрямую у его владельца. Можно оставить за CC только сертификацию ключей и полномочий, освободив его от рассылки PK. В этом случае, при первой посылке в любой адрес документов, пользователю надо послать по этому же адресу также сертифицированные ОК и полномочия.

Обычно, Certified Center бывает несколько. Пользователь может сертифицировать свой PK в разных, не связанных друг с другом, CC. Кроме того, CC могут быть связаны в сеть с несколькими необходимыми иерархическими системами для обмена либо только Certificate Keys, либо дополнительно еще и открытыми ключами. Тогда пользователю достаточно сертифицировать PK только в одном из таких CC для обмена информацией с абонентами всех охватываемых CC сетей.

При большом количестве абонентов сети рекомендуется использование баз данных (DATA BASE “DB”) PK. В этом случае, вместо отдельных ОК, Certified Center передает пользователю схожий для всех пользователей файл DB, содержащий все используемые PK.

Согласно приведённое примеру, индивидуальная flash-карта должна содержать следующую информацию:

PK владельца;
Public Keys, сертификаты по числу сертификационных центров.

В качестве ключа Certified Center может быть использован личный SK абонента, в этом случае, при получении PK другого абонента, его необходимо подписать. При этом на персональную дискету следует записать свой PK для проверки целостности PK других пользователей.

На замену персональной flash-карты могут использоваться другие индивидуальные носители, например, цифровая таблетка (Touch Memory “TM”) или smart-карта (SC), которые иногда удобней для использования чем flash-карта, потому как, с SC ключи шифрования могут быть непосредственно загружены в устройство криптографической защиты данных, не используя ОЗУ ПК.

Нет особой надобности в специальных системах по защите ключей в том случае, если на компьютере используется система ЗНСД, блокирующая доступ всем неавторизованным пользователям, или использующая прозрачное шифрование информации на пользовательском компьютере.

В том случае, если используются персональные flash-карты с централизованной генерацией ключей пользователей, использование систем ЗНСД все же лучше использовать для защиты ЦГК.

Мероприятия по организации. Следует учесть, что пользование любыми системами защиты в электроном документообороте будет недостаточно без введения организационных мер. К ним относятся вот несколько этих пунктов:

разделение доступа на рабочие места, как административными мерами (напр., разделение доступа в помещения ), так и с использованием различных систем ЗНСД, что очень актуально для тех же ЦГК и CC;
назначение на предприятии ответственного должностного лица (администратора по безопасности), отвечающего за правильную работу всей систем защиты электронного документооборота.

Основные функции администратора по безопасности:

Разработка и контроль практического осуществления мероприятий по обеспечению безопасного функционирования систем защиты.;
Периодический контроль целостности систем защиты, состояния охранной сигнализации и соблюдения режима охраны помещений, в которых расположены системы защиты;
Периодический контроль журналов операций, автоматически создаваемых программными модулями, входящими в системы защиты;
Создание и хранение резервных копий цифровых носителей всех операторов, работающих в системах защиты.;
Предотвращение получения злоумышленниками ключевых носителей и их тиражирования владельцами. Рекомендуется использовать в качестве ключевых носителей микропроцессорные SC.

Глава 2. Механизмы и средства защиты информации в информационных системах документооборота

2.1 Основные механизмы защиты

Известно, что фокус всех систем ИБ в ЭДО сформирован на применении средств аутентификации должностных лиц в виде электронной подписи (ЭП), на разграничении доступа к документам на основе определения ролей пользователей, на возможном шифровании содержимого хранилища документов и применении крипто-туннелей: либо для доставки документов до пользователей, либо для обеспечения доступа пользователей к серверам ЭДО в случае коллективной обработки документов.

Следует рассмотреть все эти механизмы защиты, общие для всех систем ЭДО, в их современном понимании. Например, электронная подпись. В соответствии с современными требованиями к ЭП, сформулированными в № 63-ФЗ "Об электронной подписи", сегодня вполне правомерно использование простой и неквалифицированной ЭП в системах ЭДО, что раньше было недопустимо. Это, с одной стороны, существенно упрощает жизнь разработчикам и заказчикам, но с другой – существенно усложняет сам процесс аутентификации. С использованием ЭП достоверность механизмов защиты, ранее внедряемых посредством ЭЦП (электронно-цифровая подпись), существенно снижается. Это послабление делает этот механизм защиты дополнительным, но никак не основным (как было ранее ). Известны решения, построенные на принципах кросс-сертификации, что в целом поддерживает прежний status-quo, но необходимо использование иных механизмов защиты в качестве основных.

Системы разграничения доступа в ЭДО обычно практически полностью основаны на аналогичных из состава СУБД, обслуживающей документооборот. Мало того, что часто такие системы не проходят необходимые процедуры сертификации в качестве средств контроля НСД (несанкционированного доступа), так они опираются на столь же несертифицированные, хотя и более развитые средства СУБД. В результате в целом системы ЭДО имеют низкие классы защищенности и уж тем более не имеют возможности обрабатывать сведения, составляющие гостайну РФ.

Использование внешних по отношению к ЭДО криптосредств сегодня является, пожалуй, "последним рубежом обороны" в таких системах. Однако вопросы применения разнородных средств шифрования в единой СЭД и сертификации этих средств по соответствующим требованиям в необходимом объеме здесь остаются открытыми. Не говоря уже о проведении необходимых процедур оценки корректности встраивания криптомодулей в прикладные задачи и т.п.

2.2 Примеры программных реализаций систем электронного документооборота

Система автоматизации документооборота, система электронного документооборота (СЭДО) — автоматизированная многопользовательская система, сопровождающая процесс управления работой иерархической организации с целью обеспечения выполнения этой организацией своих функций. При этом предполагается, что процесс управления опирается на человеко -читаемые документы, содержащие инструкции для сотрудников организации, необходимые к исполнению.

СЭД — программно -аппаратный комплекс, предназначенный для передачи информации по телекоммуникационным каналам связи между территориально удаленными информационными массивами.

Базовой единицей СЭД является электронный документ (ЭД). В общем случае ЭД представляет собой совокупность файлов разного типа (составных частей документа) и снабжен регистрационной карточкой.

Регистрационно-контрольная карточка содержит набор реквизитов, таких как название организации, вид документа, отметки о согласованиях и утверждениях, даты, адреса сторон и т.д., и позволяет регистрировать, идентифицировать и находить документ, контролировать исполнительскую дисциплину, отслеживать историю документа и архивировать его.

Основная задача СЭД – управление полным жизненным циклом документа, начиная с его создания и заканчивая списанием в архив и уничтожением, т.е. управление движением документов (документооборотом ).

Как правило, СЭД состоит из двух основных блоков: статического (электронный архив) и динамического (документооборот). Первый блок обеспечивает первичную обработку документов (регистрация входящей и исходящей информации, поиск, составление отчетов и пр.), а второй – организацию информационных потоков, по которым проходят документы, контроль исполнения, групповую работу над документом и т.п.

Помимо базовых функций в современных СЭД реализовано множество других подсистем, обеспечивающих такие функции как: потоковый ввод бумажных документов; поддержка истории работы с документом (для учета обращений и подготовки отчетов ), поиск по атрибутам документа и по его содержанию, разграничение прав доступа, маршрутизация документов по рабочим местам пользователей, интеграция с почтовыми системами, формирование отчетов, защита документов с помощью шифрования и ЭП.

Виды СЭД:

АСКИД – автоматизированные системы контроля исполнения документов;

- электронные архивы;

- СОГР – системы организации групповой работы (GroupWare);

- САДП – системы автоматизации деловых процессов (WMS – Workflow Management System);

- СУД – системы управления документами (DMS – Document Management System).

Среди плюсов внедрения электронного документооборота – экономия, которая получается при отказе от ежемесячных закупок бумаги, чернил и других расходных материалов, а также оплату почтовых услуг. К тому же, реализация общего доступа к документам, находящимся при таком раскладе в цифровом формате, повышает мобильность сотрудников, многие из которых получают возможность работать удаленно. Наконец, стоит вспомнить и о том, что в компьютере или облачном хранилище быстро найти нужный документ в разы проще, чем в куче бумаг.

По мнению экспертов, главный минус введения электронного документооборота заключается в том, что пока что нельзя полностью утверждать о достойном уровне конфиденциальности информации. Локальные сервера, ограничения доступа и различные способы шифрования способны решить проблему лишь частично, поэтому особо важные документы необходимо иметь и в бумажном виде.

Это спасет и в том случае, если вся база данных будет утеряна по причине какого-то технического сбоя; впрочем, хранение данных в облачных сервисах сводит на нет этот минус. Наконец, многих останавливает то, что переход с бумаг на электронные документы – дело довольно длительное и сложное.

2.3 Использование механизма электронной подписи в электронном документообороте

Сфера действия:

Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско -правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.

Принципами использования электронной подписи являются:

право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;
возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или ) технических средств, позволяющих выполнить требования настоящего Федерального закона применительно к использованию конкретных видов электронных подписей;
недопустимость признания электронной подписи и (или ) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или ) автоматической проверки электронных подписей в информационной системе.

Виды электронных подписей:

Существует простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись и усиленная квалифицированная электронная подпись.

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Неквалифицированной электронной подписью является электронная подпись, которая:

получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
позволяет определить лицо, подписавшее электронный документ;
позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
создается с использованием средств электронной подписи.

При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи

Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

ключ проверки электронной подписи указан в квалифицированном сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

Порядок признания электронной подписи:

Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:

квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;
квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи;
квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены ).

2.4 Система защиты информации в электронном документообороте

Построение системы информационной безопасности, также, как и информационной безопасности организации требует к себе системного подхода, который предполагает оптимальную пропорцию между организационными, программными, правовыми и физическими свойствами информационной безопасности, подтвержденной практикой создания средств защиты информации.

Для любой концепции информационной безопасности, тем более, если используются методы защиты информации в локальных сетях и компьютерных системах, принцип непрерывного развития является основополагающим, ведь информационная безопасность информации постоянно подвергается все новым и новым с каждым разом еще более изощренным атакам, поэтому обеспечение информационной безопасности организации не может быть разовым актом, и созданная однажды технология защиты информации, будет постоянно совершенствоваться вслед за ростом уровня взломщиков. Обязательно необходимо обеспечить контроль и управление информационной безопасностью, для отслеживания и регулирования механизмов защиты.

Также необходимо обеспечение средств борьбы с вредоносным ПО. Например, всевозможные программы для защиты информации и система защиты информации от вирусов.

Проблема создания системы защиты информации включает две взаимодополняющие задачи:

разработка системы защиты информации (ее синтез);
оценка разработанной системы защиты информации. Вторая задача решается путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты, информации комплексу требований к данным системам.

Рис 1. Методы и средства обеспечения безопасности информации

Препятствия - методы физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. д.).

Управление доступом - метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств ). Управление доступом включает следующие функции защиты:

Идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора, сопоставление отпечатка пальца, либо сетчатки глаза);
Опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
Проверку полномочий;
Разрешение и создание условий работы в пределах установленного регламента;
Регистрацию (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка - метод защиты информации путем ее криптографического закрытия. Этот метод широко применяется за рубежом, как при обработке, так и при хранении информации, в том числе на флешках.

Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Принуждение - метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение - метод защиты, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические. К основным средствам защиты, используемым для создания механизма обеспечения безопасности, относятся следующие:

Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством многоуровневых паролей, электронных замков, ключей ). Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации.

Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации. В такую группу средств входят: механизм шифрования (криптографии ), механизм цифровой подписи, механизмы контроля доступа, механизмы обеспечения целостности данных, антивирусные программы, программы архивации (например, zip, rar, arj и др.), защита при вводе и выводе информации и т. д. Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации компьютерной техники. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, использование).

Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения электронной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека. Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Все рассмотренные средства защиты разделены на формальные и неформальные. В настоящее время наиболее острую проблему безопасности составляют вирусы. Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может «приписывать » себя к другим программам (т. е. «заражать » их), а также выполнять различные нежелательные действия на компьютере.

Основным средством защиты от вирусов служит архивирование. Другие методы заменить его не могут, хотя и повышают общий уровень защиты. Архивирование заключается в создании копий используемых файлов и систематическом обновлении изменяемых файлов. Это позволяет сохранить важную информацию при несанкционированном доступе.

В целях профилактики для защиты от вирусов рекомендуется:

• разделение хранения вновь полученных программ и эксплуатировавшихся ранее;

• проверка вновь полученного программного обеспечения на наличие в них вируса тестирующими программами;

• хранение программ на жестком диске в архивированном виде;

Для того чтобы избежать появления компьютерных вирусов, необходимо соблюдать прежде всего следующие меры:

• не переписывать программное обеспечение с других компьютеров, если это необходимо, то следует принять перечисленные выше меры;

• не допускать к работе на компьютере посторонних лиц;

Можно выделить следующие типичные ошибки пользователя, приводящие к заражению вирусами:

. отсутствие надлежащей системы архивации информации;

. запуск полученной программы без ее предварительной проверки на зараженность и без установки максимального режима защиты винчестера с помощью систем разграничения доступа и запуска резидентного сторожа;

. анализ и восстановление программ на зараженной операционной системе.

В настоящее время наиболее популярные в России антивирусные средства:

• антивирус Kaspersky Internet Security;

• антивирус ESET NOD32;

• полифаг Aidstest (полифаг - это программа, выполняющая действия обратные тем, которые производит вирус при заражении файла, т. е. пытающаяся восстановить файл);

• ревизор Adinf;

• лечащий блок AdinfExt;

• полифаг DoctorWeb.

Существуют программы -фильтры, проверяющие, имеется ли в файлах специальная для данного вируса комбинация байтов. Используется также специальная обработка файлов, дисков, каталогов - вакцинация. В качестве примера резидентной программы для защиты от вирусов можно привести программу VSAFF фирмы CarmelCentralPointSoftware.

B качестве программ ранней диагностики компьютерного вируса могут быть рекомендованы программы CRCLIST и CRCTEST.

Заключение

Миссия обеспечения информационной безопасности трудна и во многих случаях невыполнима надо хорошо представлять то что ника-кие аппаратные программные технические либо любые другие меры по достижению безопасности не дадут абсолютной гарантии и надежности в безопасности данных для информационных системах.

Средства защиты информации нельзя проектировать покупать или устанавливать до тех пор пока специалистами не произведен соответствующий анализ. Анализ дол-жен дать объективную оценку основных факторов максимально возможной защиты своевременное выявление угроз целостности важ-ной документации вероятность нарушения в работе системы ущерб от ком-мерческих потерь и др. И предоставить информацию для определения под-ходящих средств защиты административных аппаратных программных и прочих. Но в то же время можно существенно уменьшить риск потерь при правельном и комплексном подходе к вопросам о безопасности.

В россии на рынке защитных средств присутствуют такие продукты как Avast, drWeb, Smart Sesurity, Kaspersky Internet Security, ESET Nod32 и много других. Но не-смотря на то что существует много бесплатных программ и сервисов по за-щите информации хорошее и профессиональное обеспечение безопас-ности информации достаточно дорогостоящее дело. Большая концентрация защитных средств в информационной системе может привести не только к тому что система окажется очень до-рогостоящей и потому нерентабельной и неконкурентоспособной но и к тому что у нее произойдет существенное снижение коэффициента готов-ности. Например если такие системные ресурсы пк как время работы цен-трального процессора будут постоянно тратиться на работу антивирусных программ шифрование резервное архивирование создание протоколов безопастности и тому подобное скорость работы пользователей в такой си-стеме может упасть практически до нуля. В

ыходит что главное при определении мер и систем защиты информации это квалифицированно определить границыне-обходимой безопасности и затрат на средства защиты с одной стороны и поддержания системы в работоспособном режиме и приемлемого риска с другой стороны.

Список использованной литературы

1. Андреева, В.И. Делопроизводство. Требования к документообороту фирмы (на основе ГОСТов РФ) / В.И. Андреева. - М.: Бизнес-школа Интел-Синтез; Издание 2-е, перераб. и доп., 2016. - 222 c.

2. Барихин, А. Б. Делопроизводство и документооборот / А.Б. Барихин. - М.: Книжный мир, 2014. - 416 c.

3. Басаков, М. И. Документы и документооборот коммерческой организации / М.И. Басаков. - М.: Феникс, 2016. - 416 c.

4. Брызгалин, А. В. Свод хозяйственных договоров и документооборота предприятий с юридическим, арбитражным и налоговым к / А.В. Брызгалин, В.Р. Берник, А.Н. Головкин. - М.: Налоги и финансовое право, 2010. - 656 c.

5. Даниленко, А. Ю. Безопасность систем электронного документооборота. Технология защиты электронных документов / А.Ю. Даниленко. - М.: Ленанд, 2015. - 232 c.

6. Документооборот в бухгалтерском и налоговом учете (+ CD-ROM). - М.: АБАК, 2014. - 728 c.

7. Документооборот в бухгалтерском и налоговом учете. Учебное пособие (+ CD-ROM). - М.: АБАК, 2016. - 832 c.

8. Документооборот в государственных и муниципальных учреждениях. - М.: АБАК, 2013. - 336 c.

9. Документооборот. Основные средства / Под редакцией Г.Ю. Касьянова. - М.: АБАК, 2010. - 256 c.

10. Жеребенкова, А.В. Документооборот на предприятии / А.В. Жеребенкова. - М.: Вершина; Издание 2-е, перераб. и доп., 2011. - 384 c.

11. Захаркина, О. И. Кадровая служба предприятия. Делопроизводство, документооборот и нормативная база / О.И. Захаркина, Д.Е. Гусятникова. - М.: Омега-Л, 2010. - 264 c.

12. Карсетская, Е. Кадровый документооборот. Локальные нормативные акты, которые проверит трудовая инспекция / Е. Карсетская. - М.: АйСи Групп, 2011. - 168 c.

13. Куняев, Н. Н. Конфиденциальное делопроизводство и защищенный электронный документооборот / Н.Н. Куняев, А.С. Демушкин, А.Г. Фабричнов. - М.: Логос, 2011. - 118 c.

14. Логинова, А.Ю. Правда об электронном документообороте / А.Ю. Логинова. - М.: Книга по Требованию, 2015. - 220 c.

15. Лушников, В. В. 1С: Документооборот. 200 вопросов и ответов / В.В. Лушников, А.В. Бондарев. - М.: 1С-Паблишинг, 2014. - 298 c.

16. Майкл, Майкл Дж. Саттон Д. Саттон Корпоративный документооборот: принципы, технологии, методология внедрения / Майкл Дж. Майкл Д. Саттон Саттон. - М.: Азбука, БМикро, 2013. - 448 c.

17. Прохоренко, Д. М. Электронный документооборот в программе Microsoft Outlook 2007 / Д.М. Прохоренко. - М.: РИВШ, 2010. - 518 c.

18. Рогожин, М. Ю. Делопроизводство и документооборот в бухгалтерии / М.Ю. Рогожин. - М.: ГроссМедиа, РОСБУХ, 2011. - 248 c.

19. Саттон Корпоративный документооборот. Принципы, технологии, методология внедрения / Саттон, М.Д.Д.. - М.: СПб: Азбука, 2013. - 448 c.

20. Семенихин, В.В. Кадровый документооборот / В.В. Семенихин. - М.: Эксмо, 2014. - 384 c.

21. Суслова, Ю. А. Индивидуальный предприниматель. 5 в 1. Налогообложение и налоговая отчетность. Взносы во внебюджетные фонды. Документооборот. Трудовые отношения. Применение ККМ / Ю.А. Суслова. - М.: Рид Групп, 2011. - 256 c.

22. Усманова, Н.Р. Документооборот предприятия / Н.Р. Усманова. - М.: Приор, 2015. - 400 c.