О защите электронного документооборота

В последние 2–3 года существенно возрос практический интерес к электронному документообороту в  целом и к его защищенному варианту  — в частности. До недавнего времени понятие защищенного электронного документооборота (ЗЭД) было расплывчато и неполно. В нормативных документах это понятие не раскрывается. На сайтах разработчиков систем электронного документооборота (СЭД) до сих пор можно найти ряд определений, из которых следует, что для того, чтобы защитить СЭД, достаточно использование электронно-цифровой подписи (ЭЦП). Как правильно использовать ЭЦП, какая инфраструктура при этом нужна и какие защищенные сервисы необходимо развернуть на ее основе, зачастую также не раскрывается. В этом материале постараемся затронуть некоторые наиболее актуальные вопросы защиты СЭД, тем самым развивая и раскрывая само понятие ЗЭД и его компонентов.

Почему задача защиты документооборота становится особенно актуальной?

Если  формулировать предельно коротко, то просто пришло время. Можно выделить несколько основных причин, по которым именно сейчас вопросы развития ЗЭД становятся объектом внимания:

•  при непосредственном участии первых лиц государства интенсивно развиваются государственные услуги, оказываемые в электронном виде, обмен электронными документами быстро набирает критическую массу, при которой неизбежно встают вопросы защиты конфиденциальной информации, в частности персональных данных;

•  услуги, предоставляемые в электронном виде, должны базироваться на ЗЭД, поскольку формированию электронного документа в ответ на запрос от физического или юридического лица, как правило, предшествует огромная работа по обмену документами многих ведомств, которые далеко не всегда надо делать общедоступными;

•  наконец, приходит массовое понимание необходимости: а) внедрения СЭД в государственных организациях, работающих с гражданами и юридическими лицами,

б) применения средств защиты для обеспечения целостности и конфиденциальности информации, содержащейся в электронных документах, в) подтверждения авторства электронных документов;

•  появился проект закона «Об электронной подписи», который дает возможность более широко подойти к защите электронных документов, в частности, использовать различные технологии для защиты СЭД в зависимости от их принадлежности и других условий;

•  появляется реальная необходимость обеспечения и понимания механизмов придания электронным документам юридической силы наравне с бумажными документами.

Что такое защищенный электронный документооборот?

Основной идеей построения ЗЭД является то, что к задаче защиты системы электронного документооборота надо подходить классически с точки зрения защиты информационной системы. А именно, кроме известных уже среди разработчиков СЭД задач по защите электронных документов, таких как:

•  аутентификация пользователей и разделение доступа;

•  подтверждение авторства электронного документа;

•  контроль целостности электронного документа;

•  конфиденциальность электронного документа;

•  обеспечение юридической значимости электронного документа.

Для организации ЗЭД необходимо использовать механизмы, обеспечивающие:

•  контроль целостности используемого программного обеспечения,

•  регистрацию событий в информационных системах;

•  криптографическую защиту;

•  межсетевое экранирование;

•  построение виртуальных частных сетей;

•  антивирусную защиту;

•  аудит информационной безопасности;

которые хорошо известны специалистам по защите информации.

Роль защищенного документооборота?

Безусловно, строительство электронного правительства должно дать мощный толчок развитию систем ЗЭД. Например, развитие таких массовых систем, как система госзакупок, невозможно без ЗЭД. По сути, сами торги должны являться своего рода вершиной айсберга, основу которого должен составлять защищенный обмен документами (сбор заявок от потребителей, бюджетирование, обоснование стоимости и т. д.). Не менее важна роль ЗЭД и при оказании государственных услуг с применением электронных документов. Здесь в полный рост встают вопросы межведомственного обмена защищенными документами, который должен быть основой подготовки электронного документа, выданного по заявке гражданина или организации, подписанного уполномоченными лицами и имеющего правовые последствия.

Хотелось бы, чтобы законодательные нововведения почаще шли в ногу со временем, как в рассмотренном случае закона «Об электронной подписи». И не тормозили, а помогали развитию перспективных технологий, служащих повышению защищенности взаимодействия «человек — информационные ресурсы», а число мошенничеств, в частности с персональнымиданными, неуклонно снижалось.

НА ЗАМЕТКУ

Если раньше защищались сами электронные документы или информационные ресурсы, содержащие документы, то теперь изменяется основной вектор атак и соответственно изменяется объект защиты. Кроме традиционных атак на информационные ресурсы все чаще и чаще объектом защиты становится взаимодействие «человек — электронный документ», «человек — информационный ресурс». Главный тезис: защищать надо не документы, а сами системы передачи, обработки и хранения электронных документов при доступе легальных пользователей систем к работе с электронными документами.