Забезпечення безпеки при роботі з електронними документами
Вступ.
Розділ 1. Теоретико-методологічні аспекти роботи з електронним документом.
1.1. Поняття «електронного документу» та його особливості.
1.2. Суб’єкти електронного документообігу та проблеми його захисту.
Розділ 2. Особливості захисту при роботі з електронними документами.
2.1. Основні засоби захисту електронних документів.
2.2. Склад та спрямування захисту документної інформації.
Розділ 3. Забезпечення безпеки при роботі з електронними документами.
3.1. Особливості забезпечення безпеки при роботі з електронними документами.
3.2.Вимоги щодо надійності комунікаційних і документаційних систем.
3.3. Вдосконалення законодавства щодо захисту електронного документообігу та безпеки роботи з електронними документами.
Висновки.
Список використаної літератури.
Вступ
Актуальність теми. Порядок електронного документообігу визначається державними органами, органами місцевого самоврядування, підприємствами, установами та організаціями всіх форм власності згідно з законодавством.
Найбільш важливим стримуючим фактором розвитку електронної комерції є відсутність документального оформлення угод, проведених за допомогою Інтернету. Дана ситуація робить актуальною проблему оформлення і використання електронного документа (документа в електронній формі). Для виконання електронним документом функцій, що покладаються на нього, використовується електронно-цифровий підпис (ЕЦП), який являє собою вид аналога власноручного підпису.
Останнім часом, у зв'язку з бурхливим розвитком комп'ютерної техніки і комп'ютерних мереж загального доступу, виникла можливість перенесення частини діяльності господарюючих суб'єктів і державних органів управління в так званий “кіберпростір”, під яким варто розуміти циркуляцію вмісту локальних і глобальних мереж, об'єднаних Інтернетом.
У результаті виникло таке нове поняття як “електронна комерція”. Проведене дослідження дозволяє зробити та обґрунтувати висновок про те, що електронну комерцію можна розглядати як одну із сучасних форм організації і здійснення господарської, переважно банківської і торговельної, діяльності. Відмінною рисою даної форми діяльності є використання загальнодоступних інформаційних систем та комп'ютерних мереж, об'єднаних Інтернетом. Електронна комерція має ряд переваг в економічному відношенні, але в Україні вона ще не одержала достатнього розвитку.
Слід відзначити, що у сучасній вітчизняній науковій юридичній літературі відсутні комплексні роботи з питань правового регулювання електронної комерції та електронного документообігу. Існуюче становище дуже далеке від ідеального і не відповідає інтересам ні держави, ні самих учасників електронної комерції, що також обумовлює актуальність дослідження. Таким чином, комплексне теоретичне дослідження аспектів електронної комерції, а також тісно пов'язаного з нею процесу електронного документообігу, є доцільним та актуальним.
Поняття ЕД в основному розглядається як частина електронного документообігу і тому є предметом дослідження багатьох галузей як гуманітарних (документознавства, права), так і технічних наук (інформатика, кібернетика). Але, незважаючи на це, у вітчизняній юридичній науці вивченню цього питання, на нашу думку, приділяється недостатньо уваги. Більшість досліджень проводилися в межах господарського права, де ЕД розглядався як інструмент щодо електронної комерції. Серед українських дослідників-правознавців необхідно відмітити праці А.В. Чучковської та М.М. Дутова. У російській юридичній науці зазначеній проблемі присвячено більше уваги. Питання визначення поняття ЕД висвітлювали такі дослідники, як І.Л. Бачило, О.Л. Градов, Я.О. Карев, Т.Ю. Кулик, О.В. Ткачьов, О.Ю. Шишаєва, О.О. Шелепіна, А.В. Шамраєв та ін.
Метою роботиє аналіз теоретичних підходів до визначення поняття "електронний документ" та формулювання безпеки при роботі з електронними документами.
Реалізація зазначеної мети обумовила необхідність вирішення наступних задач:
· визначення поняття електронного документу;
· аналіз суб’єктів електронного документообігу та проблеми його захисту;
· формулювання на основі проведеного аналізу понять “електронний документ”, “електронно-цифровий підпис”, “електронний документообіг”;
· розробка пропозицій щодо створення законодавства у сфері електронного документообігу.
Об'єктом дослідженнявиступає електронний документ як специфічна нова форма організації і здійснення господарської діяльності.
Предметом дослідженняявляються теоретичні й практичні проблеми забезпечення розвитку електронної комерції, основна увага серед яких приділяється створенню захисту та безпечної роботи електронного документообігу.
Методи дослідження. У рамках порівняльно-правового і формально-юридичного методів був здійснений порівняльний аналіз різних підходів до правового регулювання тих самих питань у вітчизняній і міжнародній практиці, наукових позицій вчених, поглядів практиків на актуальні питання, досліджувані в дисертаційній роботі.
Спеціально-юридичний метод дозволив знайти відмітні ознаки правового регулювання електронної комерції і систем електронного документообігу.
Розділ 1.Теоретико-методологічні аспекти роботи з електронним документом
1.1. Поняття «електронного документу» та його особливості
Поняття "електронний документ" є полісемічним за своєю сутністю. Це пов'язано з тим, що на відміну від документа в традиційному розумінні ЕД нерозривно пов'язаний з програмно-апаратними засобами ЕОТ, за допомогою якої він створюється, підписується, передається та зберігається.
Електронний документ буде обмежений такими параметрами, як його вміст, структура даних, формати й стандарти режиму передачі й, найважливіше, характер його використання. При зміні кожного із цих параметрів відповідно буде змінюватися документ. Він буде відкритим, гнучким, адаптуємим, багатомірним.
Законом України "Про електронні документи й електронний документообіг" від 22.05.2003 р. регулюються організаційно-правові основи використання електронних документів у всіх сферах економіки. [1]
Електронний документ- це зафіксована інформація у виді електронних даних, включаючи обов'язкові реквізити документа відповідно до Положення про документальне забезпечення записів затвердженим Міністерством фінансів України.
Електронний документ може бути створений, переданий, збережений і перетворений електронними засобами у візуальну форму. Візуальною формою представлення електронного документа є відображення даних, що містяться в ньому, електронними або засобами на папері у формі, придатній для сприйняття його змісту людиною.
Електронний документ повинний мати обов'язкові підписи осіб, що дозволили виконання господарської операції і її оформлення електронними засобами, а також осіб, що виконали цю операцію. У випадку відсутності одного з цих підписів електронний документ не може мати юридичного статусу.
Оригіналом електронного документа вважається електронний екземпляр документа з обов'язковими реквізитами, у тому числі з електронними цифровими підписами осіб, що приймали участь у його створенні. При використанні електронного документа різними користувачами, його зберегають на декількох електронних носіях інформації, кожний з електронних екземплярів вважається оригіналом електронного документа. У випадку перетворення його в паперову форму в декількох екземплярах кожний з документів є оригіналом і має однакову юридичну силу.
Оригінал електронного документа повинний давати можливість довести його цілісність і дійсність у порядку, визначеному законодавством; у визначених законодавством випадках він може бути пред'явлений у візуальній формі відображення, у тому числі в паперовій копії. Електронна копія електронного документа засвідчується в порядку, установленому законом.
Копією документа на папері для електронного документа є візуальне представлення електронного документа на папері, засвідчений у порядку, установленому законодавством для первинних документів[9, c. 15-16].
Юридична сила електронного документа і його використання як доказу не можуть бути спростовані винятково через те, що він має електронну форму.
Електронний документ не може бути застосований як оригінал при оформленні наступних операцій:
· одержанні свідчення про право на спадщину;
· створенні його лише в одному оригінальному екземплярі, крім випадків, коли мається централізоване сховище оригіналів електронних документів;
· в інших випадках, передбачених законом.
Нотаріальне посвідчення цивільно-правової угоди, укладеного шляхом створення електронного документа (електронних документів), здійснюється в порядку, установленому законодавством про господарські договори.
Електронний документообіг– це сукупність процесів створення, обробки, відправлення, передачі, одержання, збереження, використання і знищення електронних документів, що виконуються з застосуванням перевірки цілісності й у разі потреби з підтвердженням факту одержання таких документів.
Представлений аналіз дозволяє стверджувати, що електронний документ може виконувати всі зазначені функції, що дозволяє говорити про нього як про юридично значимий аналог паперового документа.
Однак поряд з цим електронний документ має відмітну особливість у порівнянні з документом на папері: він не має жорсткої прив'язки до носія. Схематично складові частини паперового документа можна представити (рис. 1)[10, c. 36-37].
Відрив електронного документа від носія означає, що його (носія) не можна використовувати для встановлення дійсності документа.
Залишаються дві можливості:
· простежити шлях електронного документа, що можливо тільки в замкнутій системі (тобто системі з жорстким протоколом зв'язку і третьою особою, яка відповідає за доставку і доступність повідомлень);
· мати в наявності допоміжну інформацію, яка підтверджує автентичність змісту документа, що дозволить відрізнити електронний документ від простого електронного повідомлення.
Такою допоміжною інформацією може бути електронний цифровий підпис (ЕЦП). Останній являє собою інформацію, яка додається до електронного документа, і:
· дозволяє ідентифікувати укладача документа;
· забезпечити неможливість укладача відректися від власного документа;
· гарантувати незмінність документа під час передачі його по системах електронного обміну даними.
Порядок електронного документообігу визначається державними органами, органами місцевого самоврядування, підприємствами, установами й організаціями усіх форм власності відповідно до законодавства.
Відправлення і передача електронних документів здійснюються чи автором посередником в електронній формі за допомогою засобів інформаційних, телекомунікаційних, інформаційно-телекомунікаційних чи систем шляхом відправлення електронних носіїв, на яких записано цей документ. Якщо автор і адресат у писемній формі попередньо не домовилися про інше, датою і часом відправлення електронного документа вважаються дата і час, коли відправлення електронного документа не може бути скасовано особою, що його відправила. У випадку відправлення електронного документа шляхом пересилання його на електронному носії, на якому він записаний, датою і часом відправлення вважаються дата і час здачі його для пересилання. Вимоги підтвердження факту одержання документа, установлені законодавством при відправленні документів рекомендованим чи листом передачі їх під розписку, не поширюються на електронні документи. У таких випадках підтвердження факту одержання електронних документів здійснюється відповідно до вимог спеціального законодавства і їхнім призначенням[6, c. 122-123].
Електронний документ вважається отриманим адресатом з часу надходження автору повідомлення в електронній формі від адресата про одержання цього електронного документа, якщо інше не передбачено чи законодавством попередньою домовленістю між суб'єктами електронного документообігу. Якщо попередньою домовленістю між суб'єктами електронного документообігу не визначено порядок підтвердження факту одержання електронного документа, таке підтвердження може бути здійснене в будь-якому порядку автоматизованим чи іншим способом в електронній чи у формі документа на папері. Зазначене підтвердження повинне містити дані про факт і час одержання електронного документа і про відправника цього підтвердження.
У випадку ненадходження до автора підтвердження про факт одержання електронного документа вважається, що цей електронний документ не отриманий адресатом. Якщо автор і адресат у писемній формі попередньо не домовилися про інше, електронний документ вважається відправленим автором і отриманим адресатом по їхньому місцезнаходженню (для фізичних осіб — місце проживання), у тому числі якщо інформаційна чи телекомунікаційна, інформаційно-телекомунікаційна система, за допомогою якої отримано документ, знаходиться в іншому місці. Місцезнаходження (місце проживання) сторін визначається відповідно до законодавства.
При фінансовому контролі досліджуються причини порушення правил створення електронних документів і їхнього використання (звертання) у фінансово-господарській діяльності підприємств різної форми власності.
Експертне дослідження цілісності електронного документа здійснюється шляхом перевірки електронного цифрового підпису[8, c. 17-19].
1.2. Суб’єкти електронного документообігу та проблеми його захисту
Суб'єкти електронного документообігу можуть забезпечувати дотримання вимог щодо збереження електронних документів шляхом використання послуг посередника, у тому числі архівної установи, якщо така установа дотримується законодавства про архівну справу в Україні. Створення архівів електронних документів, представлення електронних документів архівним установам України і їхнє збереження в цих установах здійснюються в порядку, визначеному законодавством.
Організація електронного документообігу здійснюється на підставі договорів, яким визначаються взаємини суб'єктів електронного документообігу. Так, Національний банк України установлює взаємини із суб'єктами електронного документообігу, якими виступають комерційні банки України. Комерційні банки вступають у договірні відносини зі своїми клієнтами-підприємствами й організаціями з питань електронного документообігу (створення електронного документа, його носія, підпису, транспортування електронною мережею, обробки в банку і зворотному зв'язку).
Суб'єкти електронного документообігу, що здійснюють його на договірних засадах, самостійно визначають режим доступу до електронних документів, що містять конфіденційну інформацію, і встановлюють для них систему (способи) захисту.
В інформаційних, телекомунікаційних, інформаційно-телекомунікаційних системах, які забезпечують обмін електронними документами, що містять інформацію, яка є власністю держави, чи інформацію з обмеженим доступом, забезпечують захист цієї інформації відповідно до законодавства.
Суб'єкти електронного документообігу користаються правами і мають обов'язки, установлені для них законодавством та договорами. Якщо в процесі організації електронного документообігу виникає необхідність визначення додаткових прав і обов'язків суб'єктів електронного документообігу, що не визначені законодавством, такі права й обов'язки можуть установлюватися цими суб'єктами на договірних засадах.
Застосування електронних документів і їхній документообіг в управлінні підприємством базується на електронному цифровому підписі. Закон України "Про електронний цифровий підпис" від 22.05.2003 р. регулює відносини, що виникають при використанні електронного цифрового підпису. Цим Законом визначені терміни професійного використання.
Суб'єктами правових відносин у сфері послуг електронного цифрового підпису є підписант, користувач, центр сертифікації ключів, акредитований центр сертифікації ключів, центральний орган, що засвідчує, а також засвідчує центр органа виконавчої чи влади іншого державного чи контролюючого органу[2, c. 22-23].
Електронний цифровий підпис по правовому статусі прирівнюється до власноручного підпису (печатки) у випадку, якщо:
електронний цифровий підпис підтверджений з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;
під час перевірки використовувався посилений сертифікат ключа, що діяв на момент накладення електронного цифрового підпису;
особистий ключ подписанта відповідає відкритому ключу,- зазначеному в сертифікаті.
Електронний підпис не може бути визнаним недійсним лише через те, що він має електронну чи форму, яка не базується на посиленому сертифікаті ключа. Такий підпис призначений для забезпечення діяльності фізичних і юридичних осіб, що ведуть бухгалтерський облік з використанням електронних документів і застосовується ними для ідентифікації підписанта і підтвердження цілісності даних в електронній формі. Використання електронного цифрового підпису не змінює порядку підписання договорів і інших документів, установленого законом для здійснення правовідносин у письмовій формі. Це стосується також документів з господарської і фінансової діяльності суб'єктів господарювання, за допомогою яких ведеться бухгалтерський облік.
Використання ЕЦП породжує специфічну для електронного документа проблему: забезпечення належного функціонування алгоритмів підпису і перевірки, а також їхньої експертизи. Складність тут полягає в тому, що, на відміну від паперових документів, особа, яка генерує ЕЦП, не може безпосередньо контролювати процес створення свого підпису. Одержувач електронного документа не може проконтролювати процес перевірки ЕЦП.
Для вирішення даної проблеми пропонується використання процедури страхування ризиків при обміні електронними документами в процесі здійснення електронної комерції. Альтернативний спосіб – державне ліцензування діяльності виготовлювачів засобів ЕЦП і сертифікація алгоритмів і засобів ЕЦП, що пропонується законопроектами, які зараз перебувають на стадії обговорення у Верховній Раді, не здатні вирішити всіх зазначених проблем. З таких причин:
· не ясно, за якими параметрами буде здійснюватися сертифікація;
· не зрозуміло, чи можна буде її проконтролювати майбутнім користувачам;
· не конкретизовано, чим організація, яка ліцензує ЕЦП, гарантує свої висновки[3, c. 24-25].
Розділ 2.Особливості захисту при роботі з електронними документами
2.1. Основні засоби захисту електронних документів
Елемент організаційного захисту є стержнем, який зв'язує в одну систему всі інші елементи. Центральною проблемою при розробці методів організаційного захисту інформації є формування дозвільної (обмежувальної) систем і доступу персоналу до конфіденційних відомостей, документів і баз даних. Важливо чітко і однозначно встановити: хто, кого, до яких, відомостей, коли, на який період і як допускає.
Дозвільна система доступу вирішує наступні задачі: забезпечення співробітників всіма необхідними для роботи документами і інформацією; обмеження кола осіб, які допускаються до конфіденційних документів; виключення несанкціонованого ознайомлення з документу Ієрархічна послідовність доступу реалізується по принципу "чим вища цінність конфіденційних відомостей, тим менша чисельність співробітників можуть їх знати". У відповідності з цією послідовністю визначається необхідний ступінь посилення захисних мір, структура рубежів (ешелонів) захисту інформації.
Доступ співробітника до конфіденційних відомостей, який здійснюється у відповідності з дозвільною системою, називається санкціонованим. Дозвіл (санкція) на доступ до цих відомостей завжди є строго персоніфікованим і видається керівником в письмовому вигляді: наказом, що затверджує схему посадового чи іменного доступу до інформації, резолюцією на документі, списком-дозволом в карточці видачі справи або на обложці справи ознайомлення з документом.
Організаційні міри захисту відображаються в нормативно-методичних документах служби безпеки фірми. У зв'язку з цим часто використовується єдина назва двох розглянутих вище елементів системи захисту — елемент організаційно-правового захисту інформації. Елемент технічного захисту включає: засоби захисту технічних каналів витоку інформації, що виникають під час роботи ЕОМ, засобів зв'язку, копіювальних апаратів, принтерів, факсів та інших приладів і обладнання; засоби захисту приміщень від візуальних та акустичних способів технічної розвідки; засоби охорони будівель і приміщень від проникнення сторонніх осіб (засоби спостереження, сповіщення, сигналізації, інформування і ідентифікації, інженерні споруди); засоби протипожежної охорони; засоби виявлення приладів і пристроїв технічної розвідки (підслуховувальних та передавальних пристроїв,звукозаписувальної та телевізійної апаратури і т.д.).
Елемент програмно-математичного захисту інформації включає: регламентацію доступу до електронних документів персональними паролями, що ідентифікуються командами та іншими найпростішими методами захисту; регламентацію спеціальних засобів і продуктів програмного захисту; регламентацію криптографічних методів засобів захисту інформації в ЕОМ та мережах, криптографування (шифрування) тексту під час передачі їх по каналам звичайного та факсимільного зв'язку, під час пересилки поштою. В кожному елементі захисту можуть бути реалізовані на практиці тільки окремі складові частини[8, c. 17-18].
Наприклад, в організаційному захисті можна регламентувати тільки прийоми обробки конфіденційних документів і систему доступу до них персоналу. Методи і засоби захисту інформації в рамках системи захисту повинні регулярно змінюватись з метою попередження їх розкриття зловмисником. Конкретна система захисту інформації фірмі завжди є строго конфіденційною. Спеціалісти, які розробляли що систему, ніколи не повинні бути її користувачами.
Отже, система захисту конфіденційної інформації, яка використовується фірмою, є індивідуалізованою сукупністю необхідних елементів захисту, кожний з яких окремо вирішує свої специфічні для даної фірми задачі і володіє конкретизованим відносно цих задач змістом. В комплексі ці елементи формують багатограничний захист секретів фірми і дають відносну гарантію безпеки підприємницької діяльності фірми.
Документообіг як об'єкт захисту представляє собою сукупність (мережу) каналів розповсюдження документованої конфіденційної інформації по споживачам у процесі управлінської та виробничої діяльності.
Рух документованої інформації не можна розпродати тільки як механічне переміщення документів по інстанціям, як функцію поштової доставки кореспонденції адресатам. Основною характеристикою такого руху є його технологічна комплексність, тобто з'єднання в єдине ціле управлінських, діловодних та поштових задач, що визначають в сукупності зміст переміщення документів.
При русі документів (в тому числі електронних) по інстанціях створюються потенційні можливості втрати цієї інформації за рахунок розширення числа джерел, що володіють цінною інформацією. Загрози документам в документопотоках включають в себе: викрадення, копіювання паперових і електронних документів, фото-, відео-, аудіодокументів і баз даних; підміну документів, носіїв і їх окремих частин з метою фальсифікації або приховування факту загублення, викрадення; таємне чи дозволене ознайомлення з документами і базами даних, запам'ятовування і переказ інформації зловмиснику; дистанційний перегляд документів і зображення дисплея за допомогою спеціальних технічних засобів; помилкові дії персоналу під час роботи з документами (порушення дозвільної системи, порядку обробки документів, правил роботи з документами і т.д.); випадкове або зловмисне знищення цінних документів і баз даних, їх несанкціонована модифікація, спотворення і фальсифікація, зчитування даних в чужих масивах за рахунок роботи з залишковою інформацією на копіювальній стрічці, папері, дискам ЕОМ; маскування під зареєстрованого користувача; витік інформації по технічним каналам під час обговорення і диктування тексту документа, виготовлення документів[5, c. 209-211].
Головним напрямом захисту документованої інформації (документів) від всіх видів загроз є формування захищеного документообігу і використання в обробці і зберіганні, документів технологічної системи, що забезпечує безпеку інформації на любому типі носія. За рахунок цього досягається можливість контролю конфіденційної інформації в її джерелах і каналах розповсюдження.
Окрім загальних для документообігу принципів захищений документообіг базується на ряді додаткових принципів: персональної відповідальності співробітників за збереження носія і таємницю інформації; обмеженні ділової необхідності доступу персоналу до документів, справ і базам даних; операційному обліку документів і контролю за їх збереженням у процесі руху, розгляду, виконання і використання; жорсткій регламентації порядку роботи з документами, справами і базами даних для всіх категорій персоналу. В великих підприємницьких структурах з великим об'ємом документів в потоках захищеність документообігу досягається за рахунок: формування самостійних, ізольованих потоків конфіденційних (грифованих) документів і, часто, додаткового дроблення їх на ізольовані потоки у відповідності з рівнем конфіденційності (рівнем грифу) документів, що переміщаються; використання централізованої автономної технологічної системи обробки і зберігання конфіденційних документів, ізольованої від системи обробки інших документів; організації самостійного підрозділу (служби) конфіденційної документації або аналогічного підрозділу, що входить у склад служби безпеки, аналітичної служби фірми.
В підприємницьких структурах з невеликим складом штатних співробітників та об'ємом опрацьованих документів (наприклад, в малому бізнесі), а також в структурах, основна маса документів в яких є конфіденційною (наприклад, в банках, страхових компаніях), конфіденційні документи можуть не виділятися з загального документопотоку і оброблятися в рамках єдиної технологічної системи. Підрозділ конфіденційної документації в таких підприємницьких структурах зазвичай не створюється. Функції централізованої обробки і зберігання конфіденційних документів покладаються на керуючого справами, референта або інколи досвідченого секретаря-референта фірми. При любому варіанті побудови захищеного документообігу вжиті для безпеки інформації міри не повинні збільшувати терміни руху та виконання документів[11, c. 24-25].
Однією з найважливіших вимог до захищеного документообігу є вибірковість у доставці і використання персоналом цінної інформації. Вибірковість призначена не тільки для забезпечення оперативності в отримання користувачем цінної інформації, але й обмеження у доставці йому тієї інформації, робота з якою йому дозволена у відповідності з його функціональними обов'язками.
В основі вибірковості в доставці і використанні конфіденційних документів лежить діюча у фірмі дозвільна (розмежувальна) система доступу персоналу до конфіденційної інформації, документам, справам і базам даних. Система в даному випадку передбачає цілеспрямоване дроблення конфіденційної інформації між співробітниками на складові елементи, кожний з яких окремо значної цінності не представляє. Захист документованої інформації в потоках досягається одночасним використанням як дозвільних (розмежувальних) мір, так і комплексом технологічних процедур і операцій, які входять в систему обробки і зберігання документів, що забезпечує розгляд, виконання, використання і рух документів. В захищеному документообігу у більшості випадків використовується традиційна (ручна, діловодна) технологічна, система обробки і зберігання конфіденційних документів. В окремих випадках автоматизуються (при збереженні традиційного обліку документів) довідкові та пошукові завдання, контроль виконання. Технологічна система набуває змішаного характеру[9, c. 16].
2.2. Склад та спрямування захисту документної інформації
Розвиток глобальних комунікацій в діловому і повсякденному житті привів до появи нової області взаємовідносин, предметом яких є електронний обмін даними. У такому обміні даними можуть брати участь органи державної влади, комерційні і некомерційні організації, а також громадяни в своїх офіційних і особистих стосунках.
Проблема збереження електронних документів від копіювання, модифікації і підробки вимагає для свого вирішення специфічних засобів і методів захисту. Одним з поширених в світі засобів такого захисту є Електронний цифровий підпис (ЕЦП), який за допомогою спеціального програмного забезпечення підтверджує достовірність інформації документу, його реквізитів і факту підписання конкретною особою.
Програма електронного документообігу з використанням ЕЦП на сьогодні активно впроваджується в державних установах і органах державної влади, що істотно розширює можливості застосування ЕЦП і розвиток електронного документообігу в Україні.
Електронний цифровий підпис може використовуватися юридичними і фізичними особами як аналог власноручного підпису для надання електронному документу юридичної сили. Юридична сила електронного документу, підписаного ЕЦП, еквівалентна юридичній силі документу на паперовому носії, підписаного власноручним підписом правомочної особи і скріпленим печаткою.
Електронний цифровий підпис функціонально аналогічний звичайному рукописному підпису на папері і володіє всіма його основними перевагами:
· засвідчує, що підписаний документ надходить від особи, що його підписала;
· гарантує цілісність підписаного документа (захист від модифікацій);
· не дає можливості особі, що підписала документ, відмовитися від зобов'язань, пов'язаних з підписаним документом.
Закони України прирівнюють за юридичною силою електронні документи, підписані ЕЦП, до документів з власноручним підписом або печаткою, а також створюють правову основу для застосування ЕЦП і здійснення юридично значущих дій шляхом електронного документообігу.
Безпека використання ЕЦП забезпечується тим, що засоби, які використовуються для роботи з ЕЦП, проходять експертизу та сертифікацію в Департаменті спеціальних телекомунікаційних систем СБУ, що гарантує неможливість злому і підробки ЕЦП.
Застосування ЕЦП дозволяє значно скоротити час руху документів в процесі оформлення звітів і обміну документацією. Документи, підписані ЕЦП, передаються через Інтернет або локальну мережу протягом декількох секунд. Всі учасники електронного обміну документами дістають рівні можливості, незалежно від їх віддаленості один від одного[10, c. 38-39].
Використання ЕЦП дозволяє:
· замінити при безпаперовому документообігу традиційні печатку та підпис;
· удосконалити і здешевити процедуру підготовки, доставки, обліку і зберігання документів, гарантувати достовірність документації;
· значно скоротити час руху документів, прискорити і полегшити процес візування одного документа декількома особами;
· використовувати одні і ті ж засоби ЕЦП при обміні інформацією зі всіма міністерствами, відомствами, адміністраціями на території України;
· побудувати корпоративну систему обміну електронними документами;
· забезпечити цілісність — гарантію того, що інформація зараз існує в її початковому вигляді, тобто при її зберіганні або передачі не було проведено несанкціонованих змін;
· мінімізувати ризик фінансових втрат за рахунок забезпечення конфіденційності інформаційного обміну документами (при використанні функції шифрування).
Для забезпечення надійності системи електронних підписів центри сертифікації мають нести відповідальність за неналежне зберігання даних про видані ними сертифікати, внаслідок чого клієнтам може бути завдано матеріальної шкоди. Однак Закон обмежується лише загальною фразою у вигляді „відповідальності згідно з чинним законодавством”. Така форма змусить клієнтів центрів сертифікації в угодах про сертифікацію передбачати відповідальність центрів сертифікації за дії або бездіяльність, які завдадуть збитків, аби в разі виникнення конфліктів можна було вирішувати спори в рамках цивільного та господарського кодексів.
Не менш серйозною прогалиною обговорюваного законопроекту є недостатня увага до питання захисту інформації про особу. Законопроект досить широко як для такого документу говорить про те, що в сертифікаті вказуються необхідні дані про особу. Тоді як Директива ЄС передбачає лише ім ’ я особи, яка буде користуватись підписом, а за бажанням може бути вказано псевдонім у формі, що дозволяє встановити особу.
Одним із основних реквізитів документів, що підписуються юридичними особами або фізичними особами-підприємцями, є печатка. Електронний цифровий підпис може також функціонувати і в цій якості. Порядок отримання Електронної цифрової печатки юридичними особами і фізичними особами-підприємцями аналогічний порядку отримання Електронного цифрового підпису[4, c. 29-30].
Розділ 3. Забезпечення безпеки при роботі з електронними документами
3.1. Особливості забезпечення безпеки при роботі з електронними документами
Робота з електронними конфіденційними документами дозволяється тільки при наявності у фірмі сертифікованої системи захисту комп'ютера і локальної мережі.
Суб'єкти електронного документообігу повинні зберігати електронні документи на електронних носіях інформації у формі, що дає змогу перевірити їх цілісність на цих носіях.
Строк зберігання електронних документів на електронних носіях інформації повинен бути неменшим відстроку, встановленого законодавством для відповідних документів на папері.
У разі неможливості зберігання електронних документів на електронних носіях інформації протягом строку, встановленого законодавством для відповідних документів на папері, суб'єкти електронного документообігу повинні вживати заходів щодо дублювання документів на кількох електронних носіях інформації та здійснювати їх періодичне копіювання відповідно до порядку обліку та копіювання документів, встановленого законодавством. Якщо неможливо виконати зазначені вимоги, електронні документи повинні зберігатися у вигляді копії документа на папері (уразі відсутності оригіналу цього документа на папері). При копіюванні електронного документа з електронного носія інформації обов'язково здійснюється перевірка цілісності даних на цьому носії.
При зберіганні електронних документів обов'язкове додержання таких вимог:
1) інформація, що міститься в електронних документах, повинна бути доступною для її подальшого використання;
2) має бути забезпечена можливість відновлення електронного документа у тому форматі, в якому він був створений, відправлений або одержаний;
3) у разі наявності повинна зберігатися інформація, яка дає змогу встановити походження та призначення електронного документа, а також дату і час його відправлення чи одержання.
Суб'єкти електронного документообігу можуть забезпечувати додержання вимог щодо збереження електронних документів шляхом використання послуг посередника, у тому числі архівної установи, якщо така установа додержується вимог цієї статті. Створення архівів електронних документів, подання електронних документів до архівних установ України та їх зберігання в цих установах здійснюється у порядку, визначеному законодавством[1, c. 10-11].
Кожен одержаний адресатом електронний документ перевіряється на цілісність і справжність усіх накладених на нього електронних цифрових підписів, включаючи ті, що накладені (проставлені) згідно із законодавством як аналоги печатки (далі — електронні печатки). При цьому необхідно, щоб:
· кожен електронний цифровий підпис був підтверджений з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;
· під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису;
· особистий ключ підписувача відповідав відкритому ключу, зазначеному у сертифікаті;
· на час перевірки був чинним посилений сертифікат відкритого ключа акредитованого центру сертифікації ключів та/або посилений сертифікат відкритого ключа відповідного засвідчувального центру.
Однак поряд з цим електронний документ має відмітну особливість у порівнянні з документом на папері: він не має жорсткої прив'язки до носія.
3.2.Вимоги щодо надійності комунікаційних і документаційних систем
Конфіденційність. Ця вимога передбачає захищеність документа від ознайомлення з ним сторонніх осіб — перш за все, під час пересилання. Механізм протидії — кодування електронних документів перед їхнім пересиланням адресату або на сервер для зберігання. Хоча ця технологія передбачає різні ступені захисту, звичайно використовують один алгоритм кодування – той, що забезпечує захист найважливіших документів. Гарантування конфіденційності значною мірою залежить від надійності призначеного для кодування ПЗ і комп'ютерного обладнання, електронних ключів тощо.
Цілісність. Відповідно до цієї вимоги, дані та інформація повинні надійти до зазначеного адресата неушкодженими і без змін . Незалежно від природи несанкціонованих змін запропоновано два механізми протидії: електронний підпис, коди аутентифікації повідомлення (Message Authentication Codes, МАС). За їхньою допомогою на основі даних, шо захищаються, можна утворювати кодовані додатки, що містять відомості про оригінальний документ та у разі його зміни засвідчать цей факт, проте не дадуть змоги ні визначити зміни, які відбулися, ні відновити документ.
Ідентифікація. Ця вимога передбачає ідентифікацію даних і комуніканта. 1. Ідентифікація даних покликана підтвердити, що документ складено або відправлено саме потрібною особою. 2. Ідентифікація комуніканта підтверджує, що партнер у комунікативному акті — дійсно особа, чиї реквізити наведено. Механізми ідентифікації — перевірка електронного підпису і МАС.
Незаперечність. Ця вимога так само, як і попередня, має дві складові: 1) незаперечність походження означає, що відправник електронного документа не зможе заперечити цей факт. Виконання цієї вимоги можливе завдяки електронному підпису; МАС у цьому випадку звичайно не застосовують, оскільки перевірка відповідності цих кодів складніша за перевірку підпису; 2) незаперечність отримання полягає у тому, що адресат не зможе заперечити цей факт після надходження документа. Технології електронного підпису дають змогу засвідчувати такий факт фіксацією часу надходження документа.
Найпоширеніші нині технології захисту електронних документів — кодування та електронний підпис — стикаються з проблемою їхнього практичного застосування при архівації документів: алгоритми у зв'язку з розвитком цифрових технологій мають дуже обмежений «термін надійності» — значно коротший, ніж строк зберігання документів в архіві, і підлягають регулярній перевірці на розкодування та постійній модернізації[6, c. 123-124].
3.3. Вдосконалення законодавства щодо захисту електронного документообігу та безпеки роботи з електронними документами
існуючі державні законопроекти про ЕЦП та електронний документ мають істотні недоліки, які заважають створенню сприятливих умов для розвитку електронної комерції. Необхідність існування законодавства у сфері електронного документообігу пояснюється недостатністю договірного підходу, тому що в цьому випадку сторони не створюють гарантій юридичної чинності електронних документів; крім цього сторони не можуть регулювати діяльність третіх осіб.
Зокрема, необхідно ввести юридичне закріплення того факту, що електронні документи можуть мати оригінали і копії. Останніми визнаються електронні документи, на яких накладені додаткові ЕЦП, крім існуючої ЕЦП укладача електронного документа (наприклад, це необхідне для архівного збереження документів). Також на законодавчому рівні повинна бути чітко визначена структура електронного документа, включаючи його загальну частину (власне зміст документа) і особливу (з вказівкою про можливість використання однієї або декілька ЕЦП).
Крім того вимагають удосконалення норми, які стосуються ЕЦП. Зокрема, існуючий законопроект визнає, що можна використовувати ЕЦП без сертифіката відкритого ключа, однак юридичну чинність мають тільки ті ЕЦП, до яких додається посилений сертифікат ЕЦП. Це позбавляє права сторін створювати закриті системи електронного документообігу.
В даний час складним і неурегульованим є механізм сертифікації засобів створення і перевірки ЕЦП, тому обґрунтовується необхідність його удосконалення. Пропонується, зокрема, не включати в законопроект визначення надійних засобів ЕЦП, яке містить у собі сертифікацію, допущення до експлуатації і позитивний експертний висновок. Різниця між даними трьома дефініціями не проводиться. Додатково не визначається, які правові наслідки несе використання несертифікованих засобів ЕЦП, а також чим держава гарантує свої експертні висновки. Для виправлення вказаних недоліків пропонується введення механізму добровільної сертифікації засобів ЕЦП за винятком тих, котрі будуть використовуватися у відносинах з державними органами.
Сертифікацію засобів ЕЦП повинен проводити Державний Комітет України по стандартизації, метрології і сертифікації, тому що існують спеціальні ГОСТ та ДСТУ, адресовані функціонуванню алгоритмів ЕЦП. Необхідність участі Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби Безпеки України в даному випадку представляється сумнівною[5, c. 213-215].
Необхідно ввести механізми відповідальності учасників електронної комерції. У першу чергу повинні нести фінансову відповідальність центри сертифікації відкритих ключів ЕЦП за негативні наслідки своєї діяльності по підставах, зазначених у законодавстві. Крім того, користувачі електронного документа зобов'язані здійснювати дії по перевірці цілісності використовуваного електронного документа і дійсності сертифіката відкритого ключа ЕЦП. Інакше вони повинні відшкодувати збитки третіх осіб, які виникли внаслідок невиконання або неналежного виконання зазначених дій.
Основний елемент системи електронного документообігу – це інфраструктура сертифікації ключів, куди входять центри сертифікації відкритих ключів ЕЦП, центральний засвідчувальний орган (засвідчувальний центр), контролюючий орган. Законодавство повинно містити чіткі вимоги до функціонування всієї системи сертифікації відкритих ключів ЕЦП, що забезпечить розвиток електронної комерції і зниження правопорушень у даній сфері[8, c. 21].
Висновки
Документообіг в державі є системою, що матеріалізує процеси збору, перетворення, зберігання інформації, а також процеси управління: підготовку та прийняття рішень, контроль за їх виконанням.
Враховуючи різноманітність існуючих систем електронного документообігу в органах державної влади та органах місцевого самоврядування (ОДВ й ОМС), при розробці та реалізації пілот-проекту ІІАС передбачається створення інтегрованої системи електронного документообігу (ІСЕД).
Метою створення такої системи є забезпечення руху документів (укази, постанови, закони, розпорядження, повідомлення, звіти, аналітичні довідки, тощо), скорочення терміну підготовки та прийняття рішень шляхом автоматизації процесів колективного створення та використання документів в органах державної влади.
В даний час складним і неурегульованим є механізм сертифікації засобів створення і перевірки ЕЦП, тому обґрунтовується необхідність його удосконалення. Пропонується, зокрема, не включати в законопроект визначення надійних засобів ЕЦП, яке містить у собі сертифікацію, допущення до експлуатації і позитивний експертний висновок. Різниця між даними трьома дефініціями не проводиться. Додатково не визначається, які правові наслідки несе використання несертифікованих засобів ЕЦП, а також чим держава гарантує свої експертні висновки. Для виправлення вказаних недоліків пропонується введення механізму добровільної сертифікації засобів ЕЦП за винятком тих, котрі будуть використовуватися у відносинах з державними органами.
Список використаної літератури
1. Про електронні документи та електронний документообіг: Закон від 22 травня 2003 року № 851/ Україна. Закон //Голос України. — 2003 . — 27 червня. — C. 10-11; Урядовий кур'єр. — 2003. — 2 липня: Орієнтир. — C. 13; Відомості Верховної Ради України. — 2003. — № 36. — C. 1025-1029
2. Асєєв Г. Методологія електронного документообігу : динамічні архіви//Вісник Книжкової палати. — 2005. — № 11. — C. 22 — 25.
3. Асєєв Г. Методологія електронного документообігу : підсистеми атоматизації діловодства і статичні архіви документів//Вісник Книжкової палати. — 2005. — № 3. — C. 24 — 27
4. Бірюков А. Удосконалення технології електронного документообігу //Вісник Національного банку України. — 1999. — № 4. — C. 29-31
5. Баркова О. Інформаційна технологія формування фонду електронних документів //Наукові праці Національної бібліотеки імені В.Вернадського. — Київ, 2002. — Вип.8. — C. 209-220
6. Дутов М. Правові проблеми електронного документообігу //Право України. — 2002. — № 6. — С.122-124.
7. Розвиток правового регулювання електронного документообігу в Україні // Тези доп. і наук. повідомлень наук.-практ. конф. “Становлення і розвиток правової системи України”. – К.: Ін-т держави і права ім.В.М.Корецького. – 2002. – С. 77-80
8. Рудюк В. Проблеми зберігання і захисту електронних документів: досвід ФРН //Бібліотечна планета. — 2006. — № 4. — С.17-21
9. Філіпова Л. Системи управління електронним документообігом: загальні поняття термінології, організації, технології ( зарубіжний досвід) //Вісник книжкової палати. — 2001. — № 4. — C. 15-18
10. Шпірко А. Запровадження та ефективне використання електронного документообігу й електронного підпису в Україні: проблеми, нові можливості, шляхи розвитку //Вісник Національного банку України. — 2005. — № 3. — C. 36-41
11. Юридические гарантии свободного использования электронной цифровой подписи в Украине // Підприємництво, господарство і право. – 2001. – №6. – С.24-26.