Кафедра “Информационные системы” 
 

Реферат по дисциплине

 «Защита  и обработка конфиденциальных  документов» 
 

Системные особенности электронного документа 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Астрахань, 2010

• Содержание
 


Введение  3

1. Понятие «электронный  документ» 4

1.1. Определение   4

1.2. Понятия электронного  документа «экземпляр», «подлинник»,  «копия», «юридическая сила» 5

1.3. Особенности  электронных документов 6

2. Электронная цифровая подпись ...................................................................................................8

3. Аутентификация   электронных   документов…………………………………………………11

4. Выбор средства криптографической защиты информации для использования в системах электронного документооборота ………………………………………………………………...16

4.1. Правовые аспекты  18

Заключение  20

Список литературы 21 
 
 
 
 
 
 
 
 
 
 
 
 
 
 


Введение

На сегодняшний  день все большое значение приобретает информация, зафиксированная на электронных носителях. Хотя правовой статус электронных документов еще не до конца определен и требует более подробного рассмотрения.

Несмотря на это электронный документ можно определить как объем информации, который можно представить в электронно-цифровой форме, зафиксированный на электронном носителе и возможно представленным в форме, пригодной для восприятия человеком.

Таким образом, статус электронных документов не может  быть распространен на информацию, создаваемую средствами вычислительной техники в процессе их работы, которая не имеет аналоговых отображений и, соответственно, не может быть воспринята человеком.  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 


Понятие «электронный документ»

1.1 Определение

Приведем  основные  понятия  электронного документа, определения  законодательства в сфере электронного взаимодействия и предписания  законопроектов и  государственных законов РФ. Эти законы должны регулировать практическое использование электронного документа в ближайшем времени, и  соблюдение этих законов является обязательным  для всех субъектов права.

       Федеральный закон "Об обязательном  экземпляре документов": - "документ - материальный объект с зафиксированной на нем информацией в виде текста, звукозаписи или изображения, предназначенный для передачи во времени и пространстве в целях хранения и общественного использования".[1]

     Федеральный закон "Об информации, информатизации и защите информации", ГОСТ "Делопроизводство и архивное дело": - "документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать".

     ГОСТ "Делопроизводство и архивное дело: - "реквизит документа - обязательный элемент оформления официального документа";

     "подлинный документ - документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом документе или выявленные иным путем, подтверждают достоверность его происхождения".

     "документ на машинном носителе - документ, созданный с использованием носителей и способов записи, обеспечивающих обработку его информации ЭВМ";

     "юридическая сила документа - свойство официального документа, сообщаемое ему действующим законодательством, компетенцией издавшего его органа и установленным порядком оформления".

     Новая редакция Федерального закона "Об информации, информатизации и защите информации" предназначена для учета новых  технологических изменений, прошедших  за пять лет с момента принятия закона. В проекте утверждается: "электронный документ - сведения, представленные в форме набора состояний элементов электронной вычислительной техники (ЭВТ), иных электронных средств обработки, хранения и передачи информации, могущей быть преобразованной в форму, пригодную для однозначного восприятия человеком, и имеющей атрибуты для идентификации документа".

     Федеральный закон "Об информации, информатизации и защите информации"": - " электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети".

     Статья 11. Документирование информации.

     Электронное сообщение, подписанное электронной  цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе. [2]

Электронный документ - информация, зафиксированная на материальном носителе в виде набора символов, звукозаписи или изображения и предназначенная для передачи во времени и пространстве с использованием средств вычислительной техники и электросвязи с целью хранения и общественного использования.

Форма представления  информации в целях ее подготовки, отправления, получения или хранения с помощью электронных технических  средств, зафиксированная на магнитном  диске, магнитной ленте, лазерном диске  и ином электронном материальном носителе.[3]

1.2 Понятия электронного документа «экземпляр», «подлинник», «копия», «юридическая сила»

     Разрешенные к применению формы аналоговых документов регистрируются и систематизируются  Общероссийским классификатором управленческой документации (ОКУД). ОКУД является составной частью Единой системы классификации и кодирования технико-экономической и социальной информации и охватывает унифицированные системы документации и формы документов, разрешенных к применению в народном хозяйстве. Объектами классификации в ОКУД являются общероссийские (межотраслевые, межведомственные) унифицированные формы документов, утверждаемые министерствами (ведомствами) Российской Федерации.

     Согласно  Общероссийскому классификатору управленческой документации (ОКУД) аналоговые документы по виду оформления различаются как:

подлинник - первый или единичный экземпляр документа;

дубликат - повторный экземпляр подлинника документа, имеющий юридическую силу;

копия - документ, полностью воспроизводящий информацию подлинного документа и все его внешние признаки или часть их, не имеющий юридической силы;

заверенная  копия - копия документа, на которой в соответствии с установленным порядком проставляются реквизиты, придающие ей юридическую силу;

выписка - копия части документа, оформленная в установленном порядке.[4]

Рис. 1 электронный документ в системе электронного документооборота. 


     В статье 9 проекта Федерального закона "Об электронном документе" устанавливается: Электронный документ признается подлинным, если:  
     - документ в действительности создан тем лицом, которое считается его автором;  
     - в документ не вносились изменения с момента подготовки документа в окончательной форме в виде электронного документа, за исключением обычных изменений, происходящих в процессе демонстрации, хранения и использования документа.[5]  
 


1.3  Особенности электронных документов

Перечислим  некоторые особенности электронного документа:

• во-первых, электронный документ не может быть непосредственно воспринят   человеком, следовательно, возможны изменения при преобразовании его в доступный для восприятия вид. Здесь следует пояснить, что распечатанный или, допустим, выведенный

на экран  монитора экземпляр электронного документа  является уже не электронным документом в собственном смысле, а его аналоговым отображением. На объемы информации, не способные быть представленными в доступной для человека форме, как уже отмечалось выше, статус электронного документа не распространяется.

Хотя правильным решением в данной ситуации является повышение надежности данного преобразования и установление жесткой процедуры контроля за этим.

• во вторых особенностью электронного документа является возможность его копирования. Возникают два вида проблем:
 

1. определение правового режима подлинника
2. дубликата и копии электронного документа

Обычно  сделать абсолютно точную копию обычного (аналогового) документа невозможно в принципе, т. к. даже при применении самых совершенных современных средств копирования между первичным и вторичным документом будут определенные различия (в качестве бумаги, краске и т. п.). При копировании электронного документа речь о различиях бессмысленна. В этом случае отличить копию от подлинника невозможно.

Формулировка понятия подлинника документов на машинных носителях является не совсем удачной, поскольку до настоящего времени не существует технических средств и способов, позволяющих точно установить, какая из побитовых копий файла была записана на машинный носитель раньше. В силу этого многими предлагается считать полностью аутентичные копии документа подлинниками, т. е. признать, что электронный документ может иметь сколь угодно много подлинников. С таким подходом нельзя согласиться, т. к. оригинал единствен по определению. 


Вторая  группа проблем, связанная с легкостью  копирования электронного документа, заключается в соответствующей легкости массового нарушения авторских прав на электронные документы и повышенной сложности борьбы с этим явлением. Более того, на современном уровне развития информационных технологий, если определенная информация, являющаяся объектом авторского права, была размещена в сети Интернет, а затем незаконно скопирована, зачастую вообще невозможно определить, кто разместил ее первой и, соответственно, кому принадлежит авторское право.

• Третья особенность заключается в  возможности  изменения  электронного документа без ведома создателя.

Это проблема является на сегодняшний день одной из самых сложных. При размещении файлов в сети Интернет при возникновении таких споров обычно используются так называемые log-файлы сервера, где отмечаются операции чтения и записи данных. Однако они фиксируют только имя файла, например размещенного на сайте, и не фиксируют его содержания. Соответственно, ответчик может заявить, что раньше под этим именем был файл с одним содержанием, а теперь совсем другой.

И наконец, четвертая особенность заключается  в том, что электронный документ легко подделывается 

В настоящее  время эта проблема решается путем  применения электронной цифровой подписи. Рассмотрим подробнее этот вопрос в следующей главе. 
 
 
 
 


Электронная цифровая подпись

     В электронных документах большой объем занимает электронная цифровая подпись (ЭЦП). Подобные документы должны храниться длительное время. ЭЦП одного и того же юридического или физического лица неизбежно должна измениться за несколько лет, хотя бы в силу прогресса в криптографии. Поэтому ЭЦП регистрируется на определенный период, после которого аннулируется, теряет свою практическую значимость, и может быть заменена на новую. При запросе хранимого электронного документа из архива документ должен заверяться действующей в данный момент подписью владельца архива, не имеющей прямого отношения к автору документа. Приведем основные понятия ФЗ связанные с электронной цифровой подписью.     

Статья 3. Основные понятия, используемые в настоящем Федеральном законе. Для целей настоящего Федерального закона используются следующие основные понятия:

• электронный документ - документ, в котором информация представлена в электронно-цифровой форме;
• электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
• владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);
• средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
• сертификат средств электронной цифровой подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;
• сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
• подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;[6]
     

   Основной принцип работы ЭЦП основан на технологиях шифрования с ассиметричным ключом. Т.е. ключи для шифрования и расшифровки данных различны. Имеется «закрытый» ключ, который позволяет зашифровать информацию, и имеется «открытый» ключ, при помощи которого можно эту информацию расшифровать, но с его помощью невозможно «зашифровать» эту информацию. Таким образом, владелец «подписи» должен владеть «закрытым» ключом и не допускать его передачу другим лицам, а «открытый» ключ может распространяться публично для проверки подлинности подписи, полученной при помощи «закрытого» ключа.

Для наглядности  ЭЦП можно представить как  данные, полученные в результате специального криптографического преобразования текста электронного документа. Оно осуществляется с помощью так называемого «закрытого ключа» - уникальной последовательности символов, известной только отправителю электронного документа.

Эти «данные» передаются вместе с текстом электронного документа его получателю, который  может проверить ЭЦП, используя так называемый «открытый ключ» отправителя - также уникальную, но общедоступную последовательность символов, однозначно связанную с «закрытым ключом» отправителя. Успешная проверка ЭЦП показывает, что электронный документ подписан именно тем, от кого он исходит, и что он не был модифицирован после наложения ЭЦП.

В соответствии с ФЗ «Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи»;

«Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе»;[6]

Рис.2 Устройства, в которых хранится закрытые ключи и сертификаты открытых ключей

Таким образом, подписать электронный  документ с использованием ЭЦП может  только обладатель «закрытого ключа», а проверить наличие ЭЦП - любой участник электронного документооборота, получивший «открытый ключ», соответствующий «закрытому ключу» отправителя. Подтверждение принадлежности «открытых ключей» конкретным лицам осуществляет удостоверяющий центр - специальная организация или сторона, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.[7]

Удостоверяющий  центр:

— изготавливает  сертификаты ключей подписей;

— создает  ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;

— приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;

— ведет  реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;

— проверяет  уникальность открытых ключей электронных  цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;

— выдает сертификаты ключей подписей в форме  документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;

— осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;

— может  предоставлять участникам информационных систем иные, связанные с использованием электронных цифровых подписей услуги.

Удостоверяющий  центр до начала использования электронной  цифровой подписи для заверки соответствующих сертификатов обязан представить в уполномоченный федеральный орган исполнительной власти сертификат ключа подписи уполномоченного лица удостоверяющего центра в форме:

— электронного документа;

— документа  на бумажном носителе с собственноручной подписью указанного уполномоченного лица, заверенного подписью руководителя и печатью удостоверяющего центра. [8]

Обращение в удостоверяющие центры позволяет каждому участнику убедиться, что имеющиеся у него копии «открытых ключей», принадлежащих другим участникам (для проверки их ЭЦП), действительно принадлежат этим участникам. 
 


Аутентификация   электронных   документов

  

С  ростом  применения электронной  передачи и хранения документов возросли требования к защите  и  аутентификации  документов. Исходя из этого, можем сказать, что основным понятием в системе обмена электронными документами является аутентификация. 
         Под аутентификацией информации в компьютерных системах понимают установление подлинности данных, полученных по сети, исключительно на основе информации, содержащейся в полученном сообщении.

Если  конечной целью шифрования информации является обеспечение защиты от несанкционированного ознакомления с этой информацией, то конечной целью аутентификации информации является обеспечение защиты участников информационного обмена от навязывания ложной информации. Концепция аутентификации в широком смысле предусматривает установление подлинности информации как при условии наличия взаимного доверия между участниками обмена, так и при его отсутствии. [9]

В компьютерных системах выделяют два вида аутентификации информации:  

• аутентификация хранящихся массивов данных и программ — установление того факта, что данные не подвергались модификации;  
• аутентификация сообщений — установление подлинности полученного сообщения, в том числе решение вопроса об авторстве этого сообщения и установление факта приема.

Задачи  аутентификации можно разделить  на следующие типы:

• аутентификация абонента,
• аутентификация принадлежности абонента к заданной группе,
• аутентификация хранящихся на машинных носителях документов.

Основные  характеристики системы аутентификации:

• время реакции на нарушение, требуемые для реализации вычислительные ресурсы,
• степень защищенности (стойкость) к возможным (известным на сегодня) атакам на средства защиты (например, криптостойкость).

Целью аутентификации документов является защита от возможных видов злоумышленных  действий, среди которых выделим:

1. активный перехват;
2. нарушение конфиденциальности;
3. переделка документа (измененный);
4. подмена документа (новый);
5. потеря или уничтожение документа любым из абонентов;
6. фальсификация времени отправления сообщения,
7. разрушение электронных архивов.
8. отказ от факта получения
9. компрометация секретного ключа;
10. включение в каталог неверефецированного открытого ключа;
11. несанкционированный доступ к терминалу.
         

 Эти  виды злоумышленных действий  наносят существенный вред функционированию  банковских, коммерческих структур, государственным предприятиям и организациям, частным лицам, применяющим в своей деятельности компьютерные информационные технологии. Кроме того, возможность злоумышленных действий подрывает доверие к компьютерной технологии. В связи с этим задача аутентификации представляется важной.         

 При выборе технологии аутентификации сообщений в сети необходимо предусмотреть надежную защиту от всех вышеперечисленных видов злоумышленных действий.        

Безопасность  электронных документов должна достигаться  применением взаимосвязанного комплекса  мер, к числу которых относятся:

• электронная подпись документов;
• шифрование сообщений при передаче по каналам связи;
• управление ключевой системой;
• разграничение полномочий при работе с электронными документами;
• защита на уровне протоколов связи;
• защита архивов от разрушения;
• существование арбитра;
• организационные меры.
 
 
 
 
 
 
 
 
 
 
 
 


Таблица 1.

Приведем  примеры характеристики различных  видов средств защиты электронных документов.

Продукт	Описание	Преимущества	Недостатки
Сертифицированные модели eToken PRO	персональное  средство строгой аутентификации и безопасного хранения данных, аппаратно поддерживающее работу с электронной цифровой подписью (ЭЦП) и сертификатами, служащий для защиты электронных документов.	работает и  интегрируется со всеми основными  системами и приложениями, использующими  технологии смарт-карт и PKI, а также для замены паролей на усиленную аутентификацию (password replacement) в унаследованных приложениях	Моделям eToken присущи  недостатки, в которых PIN-код вводится не с собственной клавиатуры устройства, а с клавиатуры терминала, к которому устройство подключено: с помощью  троянской программы злоумышленник  может перехватить PIN-код и произвести неоднократное несанкционированное подписывание или шифрование любой информации от имени владельца устройства
Электронный идентификатор Rutoken	компактное  устройство, которое служит для авторизации  пользователя в сети или на локальном  компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.	предназначен  для использования в качестве интеллектуального ключевого носителя в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии электронной цифровой подписи.	недостаток  применения данных устройств защиты, относящийся к определённому неудобству использования, так как пользователю приходится производить некоторые дополнительные действия

          


 Основой  комплекса мер по защите информации  является электронная подпись, при отсутствии которой трудно достичь приемлемого уровня безопасности в системе. Исключением могут быть ситуации, где существует полное доверие между обменивающимися сторонами. В этом случае меры защиты должны быть направлены на предотвращение возможного проникновения в систему посторонних лиц. 


Помимо  угроз, связанных с нарушением целостности, конфиденциальности и подлинности сообщений в системах электронных документов, существуют угрозы, связанные с воздействием на сообщения. К их числу относятся уничтожение, задержка, дублирование, переупорядочивание, переориентация отдельных сообщений, маскировка под другого абонента или другой узел. Угрозы этого типа нейтрализуются использованием в системе защищенных протоколов связи.          

  


Защита  на уровне протоколов достигается принятием следующих мер:

• управление соединением;
• квитирование;
• нумерация сообщений;
• поддержание единого времени.
         

 Управление соединением необходимо при использовании коммутируемых линий связи и включает в себя – запрос идентификатора, аутентификацию источника сообщении и разрыв соединения при получении неправильного идентификатора.  
          Существует несколько схем управления соединением.  
          Как правило, дается несколько попыток для ввода идентификатора, и если все они оказываются неудачными, связь разрывается.  
          Более надежным способом управления соединением является автоматический обратный вызов. При попытке установить соединение приемной стороной запрашивается идентификатор, после чего связь разрывается. Затем в зависимости от результатов проверки либо производится повторное соединение по выбранному из списка номеру, либо связь прекращается. Надежность такого способа зависит от качества каналов связи и правильности заполнения списка доступных номеров.          

 Квитирование это процедура выдачи подтверждения (квитанции) о получении сообщения узлом или адресатом, позволяющая отслеживать состояние переданного документа. Дополнительной гарантией может быть включение в состав квитанции электронной подписи. Для предотвращения возможности отказа одной из сторон от факта получения сообщения протокол может предусматривать возврат копий полученных документов (по аналогии с бумажным документооборотом) с электронной подписью получателя. 
          Значительное число умышленных атак и случайных ошибок можно выявить, если ввести нумерацию сообщений. Получение документа с уже использованным номером или номером, значительно превышающим текущий, является событием, указывающим на нарушение правильности работы системы и требующим немедленной реакции со стороны ответственного за безопасность.         

 Установление и поддержание в системе электронных платежей единого времени для всех абонентов значительно снижает вероятность угроз, связанных с отказом от авторства сообщения, а также уменьшает количество ошибок. При этом передаваемый документ должен содержать неизменяемые дату и время подписания, заносимые в него автоматически. 
          Защита от несанкционированного доступа (НСД) к терминалам, на которых ведется подготовка и обработка сообщений, должна обеспечиваться применением программных и программно-аппаратных средств и организационной поддержкой. Средства защиты должны обеспечивать идентификацию и надежное опознавание пользователей, разграничение полномочий по доступу к ресурсам, регистрацию работы и учет попыток НСД. [10]         

 Обязательным  условием существования системы  электронных платежей является поддержание архивов электронных документов. Срок хранения архивного документа может составлять несколько лет. Поэтому необходимо принимать меры для защиты архивов от разрушения. Достаточно эффективным способом защиты является помехоустойчивое кодирование. 


Таблица 2.

Таким образом, можно каждому виду угроз  поставить в соответствие определенные меры защиты.

Нейтрализуемые  угрозы              Меры  защиты Подделка  документа. Отказ от авторства.  Несанкционированная модификация. Применение  электронной цифровой подписи  Ведение электронных архивов Нарушение конфиденциальности Криптографическое закрытие Ошибки  при заполнении документов Контроль правильности ввода документов  Прохождение документов по строго определенному маршруту Ввод  ложных данных Контроль маршрута прохождения документа  Персонификация документов Ошибки  в работе системы Регистрация и  учет документов на этапах подготовки Дублирование  документов Нумерация документов Контроль времени отправки документа Обеспечение единственности исполнения документа Попытки получения секретного ключа Управление  ключевой системой Несанкционированная модификация ПО Верификация ПО Разрушение  данных Резервное копирование Несанкционированный доступ к конфиденциальной информации Физическая защита помещений Разграничение прав участников электронного документооборота Применение средств защиты информации от НСД Кражи и утери документов Контроль за выводом документов на печать

 
 
 
 


Выбор средства криптографической защиты информации для использования в системах электронного документооборота

Одним из важнейших требований к любой  системе электронного документооборота (ЭДО) является обеспечение безопасности электронного обмена документами, а именно обеспечение конфиденциальности передаваемой информации, которое достигается путем использования участниками ЭДО средств криптографической защиты информации.

17 февраля  2006 г. вступил в силу Приказ  Федеральной службы по финансовым  рынкам от 8 декабря 2005 г. № 05-77 "Об утверждении Положения о требованиях к осуществлению деятельности участников финансовых рынков при использовании электронных документов", который определил условия применения документов, информация в которых представлена в электронно-цифровой форме с электронной цифровой подписью. [11]

•        Одним из важнейших требований к любой системе ЭДО является обеспечение безопасности электронного обмена документами, а именно обеспечение конфиденциальности передаваемой информации, которое достигается путем использования участниками ЭДО средств криптографической защиты информации (СКЗИ). 
         В соответствии с Постановлением Правительства РФ от 29 декабря 2007 года N 957 Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств (с изменениями на 24 сентября 2010 года) относятся:
1. средства  шифрования - аппаратные, программные  и аппаратно-программные средства, системы и комплексы, реализующие  алгоритмы криптографического преобразования информации и предназначенные для  защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
2. средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
3. средства ЭЦП - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание ЭЦП с использованием закрытого ключа ЭЦП, подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП, создание закрытых и открытых ключей ЭЦП;
4. средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
5. средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
6. ключевые документы (независимо от вида носителя ключевой информации).[12] 
       

Основной  задачей СКЗИ является обеспечение конфиденциальность передаваемых документов и требуемого уровня доверия к ним за счет шифрования данных и использования ЭЦП. В частности, использование СКЗИ обеспечивает:

• недоступность информации в электронном документе для сторонних лиц;
• авторство электронного документа (поступление информации из достоверного источника);
• неотказуемость электронного документа (признание равнозначности ЭЦП собственноручной подписи на бумажном документе);
• подлинность электронного документа (гарантия поступления информации в неискаженном виде);
• целостность электронного документа (обеспечение целостности передаваемых данных).  
       

Выбор СКЗИ организатором ЭДО производится, основываясь на требованиях действующего законодательства и на требованиях, предъявляемых к уровню безопасности электронного документооборота. Для принятия решения в выборе средств криптографической защиты ЭДО необходимо учитывать следующие моменты.  


Технология  шифрования    


    СКЗИ используют различные механизмы обеспечения защиты и подписи электронного документа. Так выделяют одноключевые (симметричные) и двухключевые (ассиметричные) системы.  
       Одноключевые системы, или системы, использующие симметричные ключи, предлагают участникам ЭДО использовать один и тот же закрытый ключ как для шифрования, так и для расшифровывания сведений, содержащихся в электронных документах. Такие системы обладают высокой скоростью передачи данных между участниками ЭДО, однако при их использовании существуют значительные трудности в надежной и безопасной передаче закрытого ключа отправителя электронного документа его получателю, и, более того, все участники ЭДО должны обладать высоким уровнем доверия друг к другу. 
       Двухключевые системы, или системы, использующие асимметричные ключи, предлагают участнику ЭДО два ключа (пару), определенным образом связанных друг с другом, - открытый ключ и закрытый (секретный) ключ, один из которых используют для шифрования данных, а второй - для их расшифровывания. Закрытый ключ доступен только его владельцу и хранится в тайне, а соответствующий ему открытый ключ свободно предоставляется всем заинтересованным в ЭДО лицам. Дополнительная безопасность таких систем основывается на том факте, что знание открытого ключа не позволяет по нему определить парный закрытый ключ. 


Прохождение сертификации 


В настоящее  время на рынке СКЗИ представлены два вида средств защиты: 


• сертифицированные
• Несертифицированные
 


 Сертификация  СКЗИ подразумевает под собой  получение в уполномоченных органах  разработчиком СКЗИ сертификата,  подтверждающего соответствие систем шифрования и ЭЦП принятым в Российской Федерации стандартам, которые заданы ГОСТом.  
       Федеральным законом от 10 января 2002 г. №1-ФЗ "Об электронной цифровой подписи" (далее - Закон об ЭЦП) определены участники и виды систем ЭДО, для которых выбор СКЗИ ограничен только сертифицированными средствами. К ним относятся информационные системы общего пользования, а также корпоративные информационные системы федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления. Для всех остальных организаторов корпоративных информационных систем существует возможность выбора.  
    Дополнительно возможность использовать несертифицированные средства подтверждена в Положении о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005), утвержденном Приказом Федеральной службы безопасности РФ от 9 февраля 2005 г. № 66, п. 8 которого гласит, что "при организации обмена информацией, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем), не являющихся организациями, выполняющими государственные заказы, или уполномоченными ими лицами (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ), необходимость ее криптографической защиты и выбор применяемых СКЗИ определяются соглашениями между участниками обмен". 
         Таким образом, так как участники рынка ценных бумаг организуют электронный документооборот путем создания корпоративной информационной системы, то организатор ЭДО вправе самостоятельно определить, будет он использовать в своей системе СКЗИ, и если да, то сертифицированные или нет. 


Надежность   


Прохождение процедуры  сертификации СКЗИ позволяет участнику  ЭДО с большей долей вероятности  получить продукт, отвечающий принятым к уровню безопасности требованиям. При этом надежность СКЗИ подтверждена уполномоченным государственным органом власти, в то время как для несертифицируемых средств гарантом надежности системы выступает только сам ее разработчик.  
        Однако необходимо отметить, что отсутствие такого сертификата не всегда означает, что СКЗИ предоставляет низкий или недостаточный уровень защиты передаваемой информации.  
        Вне зависимости от наличия или отсутствия сертификата качественная и надежная работа СКЗИ, кроме всего прочего, зависит от корректной интеграции средства в систему ЭДО. 
 


4.1  Правовые аспекты  


Нормативная составляющая включает в себя два  аспекта. 
Во-первых, Федеральным законом от 8 августа 2001 г. № 128-ФЗ "О лицензировании отдельных видов деятельности" установлен перечень видов деятельности, подлежащих обязательному лицензированию, которое осуществляет Федеральная служба безопасности РФ, в соответствии с утвержденным порядком:  


1. деятельность  по распространению шифровальных (криптографических) средств;
2. деятельность по техническому обслуживанию шифровальных (криптографических) средств;
3. предоставление услуг в области шифрования информации;
4. разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.[13]
      


Таким образом, в случае использования  несертифицированных СКЗИ организатор  ЭДО должен убедиться, что его  деятельность не попадает под действие указанного Закона о лицензировании, или, как и в случае использования сертифицированных СКЗИ, обратиться к услугам сторонних организаций, обладающих необходимыми лицензиями. 
          Во-вторых, Закон об ЭЦП дает определение подтверждения проверки подлинности ЭЦП в электронном документе, а именно "подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе". Таким образом, в рамках действующего законодательства существует противоречие: с одной стороны, Закон об ЭЦП и другие подзаконные акты не запрещают в корпоративных информационных системах использовать несертифицированные СКЗИ, с другой стороны, Закон об ЭЦП дает возможность оспорить подлинность ЭЦП в электронном документе, подписанном с помощью таких средств  

   Делая выводы все вышеописанное, необходимо отметить, что выбор СКЗИ при организации ЭДО является важной основой конкурентоспособности электронного документооборота. Выбор должен строиться в зависимости от предполагаемого круга участников ЭДО и приемлемого уровня надежности ЭДО в рамках реализуемых задач. 
     
      
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 


Заключение

Основное место  при организации защиты системы  электронного документооборота, как  отмечают большинство разработчиков  систем защиты, это  криптографические средства и лояльность пользователей

Электронный документооборот  - это один из видов информационного  взаимодействия, коммуникации. Поэтому  часто понимание его защищенности сводится к доверенному обмену электронными документами между пользователями системы. Это очень важный, но не единственный аспект электронного документооборота, нуждающийся в контроле.

Техническая система  далеко не всегда выполняет исключительно  транспортную функцию в обмене электронными документами. Зачастую документы формируются не пользователями, а техническими средствами часто полностью автоматизированной является большая часть этапов обработки ЭлД, производимая совершенно без участия человека.

Таким образом, взаимодействие системы, достоверность  производимых ими процедур над  электронным  документом должны обеспечиваться стационарными, встраиваемыми в систему средствами защиты, которые контролируют среду существования электронного документа как совокупность программных и технических  средств,   обеспечивающих только достоверные преобразования ЭД, гарантирующие достоверность документа. 
 
 
 
 
 
 
 
 
 
 
 
 


Список  литературы:

1. ФЗ ОБ ОБЯЗАТЕЛЬНОМ ЭКЗЕМПЛЯРЕ ДОКУМЕНТОВ    29 декабря 1994 года N 77-ФЗ(в ред. Федерального закона от 11.02.2002 N 19-ФЗ, с изм., внесенными Федеральными законами от 27.12.2000 N 150-ФЗ, от 24.12.2002 N 176-ФЗ)

2. Федеральный закон № 149 ФЗ «Об информации, информационных технологиях и защите информации», от 27 июля 2006г

3. Проект "Федеральный закон об электронном документе". Глава 1. Общие положения

4. "ОК 011-93. Общероссийский классификатор управленческой документации" (ред. от 01.04.2005) (утв. Постановлением Госстандарта РФ от 30.12.1993 N 299)

5. Федеральный закон "Об электронном документе" ГЛАВА III. ОБМЕН ЭЛЕКТРОННЫМИ ДОКУМЕНТАМИ

6. ФЗ РФ «Об электронной цифровой подписи» № 1-ФЗ от 10.01.2002 г.

7. http://ru.wikipedia.org/

8. http://www.xrm.ru/uc/law/273/

9. В.Г.Олифер, Н.А.Олифер    Сетевые операционные системы

10. http://www.digitalsecurity.ru

11. Приказ Федеральной службы по финансовым рынкам от 8 декабря 2005 г. № 05-77/пз-н «Об утверждении Положения о требованиях к осуществлению деятельности участников финансовых рынков при использовании электронных документов»

12. ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 29 декабря 2007 года N 957 Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (с изменениями на 24 сентября 2010 года)

13. Федеральный закон от 8 августа 2001 г. N 128-ФЗ "О лицензировании отдельных видов деятельности" (с изменениями от 13, 21 марта, 9 декабря 2002 г…8 ноября 2010 г.)