Забезпечення безпеки та захисту інформації при роботі з електронними документами
Вступ.
1. Основні засоби захисту електронних документів.
2. Забезпечення безпеки при роботі з електронними документами.
Висновки.
Список використаної літератури.
Вступ
Електронний документ — документ, інформація в якому зафіксована у вигляді електронних даних,включаючи обов'язкові реквізити документа.
Склад та порядок розміщення обов'язкових реквізитів електронних документів визначається законодавством.
Електронний документ може бути створений, переданий, збережений і перетворений електронними засобами у візуальну форму.
Візуальною формою подання електронного документа є відображення даних, які він містить, електронними засобами або на папері у формі, придатній для приймання його змісту людиною.
Електронний документообіг (обіг електронних документів) — сукупність процесів створення, оброблення, відправлення, передавання, одержання, зберігання, використання та знищення електронних документів, які виконуються із застосуванням перевірки цілісності та у разі необхідності з підтвердженням факту одержання таких документів.
Порядок електронного документообігу визначається державними органами, органами місцевого самоврядування, підприємствами, установами та організаціями всіх форм власності згідно з законодавством.
Найбільш важливим стримуючим фактором розвитку електронної комерції є відсутність документального оформлення угод, проведених за допомогою Інтернету. Дана ситуація робить актуальною проблему оформлення і використання електронного документа (документа в електронній формі). Для виконання електронним документом функцій, що покладаються на нього, використовується електронно-цифровий підпис (ЕЦП), який являє собою вид аналога власноручного підпису.
1. Основні засоби захисту електронних документів
Елемент організаційного захисту є стержнем, який зв'язує в одну систему всі інші елементи. Центральною проблемою при розробці методів організаційного захисту інформації є формування дозвільної (обмежувальної) систем і доступу персоналу до конфіденційних відомостей, документів і баз даних. Важливо чітко і однозначно встановити: хто, кого, до яких, відомостей, коли, на який період і як допускає.
Дозвільна система доступу вирішує наступні задачі: забезпечення співробітників всіма необхідними для роботи документами і інформацією; обмеження кола осіб, які допускаються до конфіденційних документів; виключення несанкціонованого ознайомлення з документу Ієрархічна послідовність доступу реалізується по принципу "чим вища цінність конфіденційних відомостей, тим менша чисельність співробітників можуть їх знати". У відповідності з цією послідовністю визначається необхідний ступінь посилення захисних мір, структура рубежів (ешелонів) захисту інформації.
Доступ співробітника до конфіденційних відомостей, який здійснюється у відповідності з дозвільною системою, називається санкціонованим. Дозвіл (санкція) на доступ до цих відомостей завжди є строго персоніфікованим і видається керівником в письмовому вигляді: наказом, що затверджує схему посадового чи іменного доступу до інформації, резолюцією на документі, списком-дозволом в карточці видачі справи або на обложці справи ознайомлення з документом.
Організаційні міри захисту відображаються в нормативно-методичних документах служби безпеки фірми. У зв'язку з цим часто використовується єдина назва двох розглянутих вище елементів системи захисту — елемент організаційно-правового захисту інформації. Елемент технічного захисту включає: засоби захисту технічних каналів витоку інформації, що виникають під час роботи ЕОМ, засобів зв'язку, копіювальних апаратів, принтерів, факсів та інших приладів і обладнання; засоби захисту приміщень від візуальних та акустичних способів технічної розвідки; засоби охорони будівель і приміщень від проникнення сторонніх осіб (засоби спостереження, сповіщення, сигналізації, інформування і ідентифікації, інженерні споруди); засоби протипожежної охорони; засоби виявлення приладів і пристроїв технічної розвідки (підслуховувальних та передавальних пристроїв,звукозаписувальної та телевізійної апаратури і т.д.).
Елемент програмно-математичного захисту інформації включає: регламентацію доступу до електронних документів персональними паролями, що ідентифікуються командами та іншими найпростішими методами захисту; регламентацію спеціальних засобів і продуктів програмного захисту; регламентацію криптографічних методів засобів захисту інформації в ЕОМ та мережах, криптографування (шифрування) тексту під час передачі їх по каналам звичайного та факсимільного зв'язку, під час пересилки поштою. В кожному елементі захисту можуть бути реалізовані на практиці тільки окремі складові частини[6, c. 17-18].
Наприклад, в організаційному захисті можна регламентувати тільки прийоми обробки конфіденційних документів і систему доступу до них персоналу. Методи і засоби захисту інформації в рамках системи захисту повинні регулярно змінюватись з метою попередження їх розкриття зловмисником. Конкретна система захисту інформації фірмі завжди є строго конфіденційною. Спеціалісти, які розробляли що систему, ніколи не повинні бути її користувачами.
Отже, система захисту конфіденційної інформації, яка використовується фірмою, є індивідуалізованою сукупністю необхідних елементів захисту, кожний з яких окремо вирішує свої специфічні для даної фірми задачі і володіє конкретизованим відносно цих задач змістом. В комплексі ці елементи формують багатограничний захист секретів фірми і дають відносну гарантію безпеки підприємницької діяльності фірми.
Документообіг як об'єкт захисту представляє собою сукупність (мережу) каналів розповсюдження документованої конфіденційної інформації по споживачам у процесі управлінської та виробничої діяльності.
Рух документованої інформації не можна розпродати тільки як механічне переміщення документів по інстанціям, як функцію поштової доставки кореспонденції адресатам. Основною характеристикою такого руху є його технологічна комплексність, тобто з'єднання в єдине ціле управлінських, діловодних та поштових задач, що визначають в сукупності зміст переміщення документів.
При русі документів (в тому числі електронних) по інстанціях створюються потенційні можливості втрати цієї інформації за рахунок розширення числа джерел, що володіють цінною інформацією. Загрози документам в документопотоках включають в себе: викрадення, копіювання паперових і електронних документів, фото-, відео-, аудіодокументів і баз даних; підміну документів, носіїв і їх окремих частин з метою фальсифікації або приховування факту загублення, викрадення; таємне чи дозволене ознайомлення з документами і базами даних, запам'ятовування і переказ інформації зловмиснику; дистанційний перегляд документів і зображення дисплея за допомогою спеціальних технічних засобів; помилкові дії персоналу під час роботи з документами (порушення дозвільної системи, порядку обробки документів, правил роботи з документами і т.д.); випадкове або зловмисне знищення цінних документів і баз даних, їх несанкціонована модифікація, спотворення і фальсифікація, зчитування даних в чужих масивах за рахунок роботи з залишковою інформацією на копіювальній стрічці, папері, дискам ЕОМ; маскування під зареєстрованого користувача; витік інформації по технічним каналам під час обговорення і диктування тексту документа, виготовлення документів[4, c. 209-211].
Головним напрямом захисту документованої інформації (документів) від всіх видів загроз є формування захищеного документообігу і використання в обробці і зберіганні, документів технологічної системи, що забезпечує безпеку інформації на любому типі носія. За рахунок цього досягається можливість контролю конфіденційної інформації в її джерелах і каналах розповсюдження.
Окрім загальних для документообігу принципів захищений документообіг базується на ряді додаткових принципів: персональної відповідальності співробітників за збереження носія і таємницю інформації; обмеженні ділової необхідності доступу персоналу до документів, справ і базам даних; операційному обліку документів і контролю за їх збереженням у процесі руху, розгляду, виконання і використання; жорсткій регламентації порядку роботи з документами, справами і базами даних для всіх категорій персоналу. В великих підприємницьких структурах з великим об'ємом документів в потоках захищеність документообігу досягається за рахунок: формування самостійних, ізольованих потоків конфіденційних (грифованих) документів і, часто, додаткового дроблення їх на ізольовані потоки у відповідності з рівнем конфіденційності (рівнем грифу) документів, що переміщаються; використання централізованої автономної технологічної системи обробки і зберігання конфіденційних документів, ізольованої від системи обробки інших документів; організації самостійного підрозділу (служби) конфіденційної документації або аналогічного підрозділу, що входить у склад служби безпеки, аналітичної служби фірми.
В підприємницьких структурах з невеликим складом штатних співробітників та об'ємом опрацьованих документів (наприклад, в малому бізнесі), а також в структурах, основна маса документів в яких є конфіденційною (наприклад, в банках, страхових компаніях), конфіденційні документи можуть не виділятися з загального документопотоку і оброблятися в рамках єдиної технологічної системи. Підрозділ конфіденційної документації в таких підприємницьких структурах зазвичай не створюється. Функції централізованої обробки і зберігання конфіденційних документів покладаються на керуючого справами, референта або інколи досвідченого секретаря-референта фірми. При любому варіанті побудови захищеного документообігу вжиті для безпеки інформації міри не повинні збільшувати терміни руху та виконання документів[9, c. 36-37].
Однією з найважливіших вимог до захищеного документообігу є вибірковість у доставці і використання персоналом цінної інформації. Вибірковість призначена не тільки для забезпечення оперативності в отримання користувачем цінної інформації, але й обмеження у доставці йому тієї інформації, робота з якою йому дозволена у відповідності з його функціональними обов'язками.
В основі вибірковості в доставці і використанні конфіденційних документів лежить діюча у фірмі дозвільна (розмежувальна) система доступу персоналу до конфіденційної інформації, документам, справам і базам даних. Система в даному випадку передбачає цілеспрямоване дроблення конфіденційної інформації між співробітниками на складові елементи, кожний з яких окремо значної цінності не представляє. Захист документованої інформації в потоках досягається одночасним використанням як дозвільних (розмежувальних) мір, так і комплексом технологічних процедур і операцій, які входять в систему обробки і зберігання документів, що забезпечує розгляд, виконання, використання і рух документів. В захищеному документообігу у більшості випадків використовується традиційна (ручна, діловодна) технологічна, система обробки і зберігання конфіденційних документів. В окремих випадках автоматизуються (при збереженні традиційного обліку документів) довідкові та пошукові завдання, контроль виконання. Технологічна система набуває змішаного характеру[8, c. 16].
2. Забезпечення безпеки при роботі з електронними документами
Робота з електронними конфіденційними документами дозволяється тільки при наявності у фірмі сертифікованої системи захисту комп'ютера і локальної мережі.
Суб'єкти електронного документообігу повинні зберігати електронні документи на електронних носіях інформації у формі, що дає змогу перевірити їх цілісність на цих носіях.
Строк зберігання електронних документів на електронних носіях інформації повинен бути неменшим відстроку, встановленого законодавством для відповідних документів на папері.
У разі неможливості зберігання електронних документів на електронних носіях інформації протягом строку, встановленого законодавством для відповідних документів на папері, суб'єкти електронного документообігу повинні вживати заходів щодо дублювання документів на кількох електронних носіях інформації та здійснювати їх періодичне копіювання відповідно до порядку обліку та копіювання документів, встановленого законодавством. Якщо неможливо виконати зазначені вимоги, електронні документи повинні зберігатися у вигляді копії документа на папері (уразі відсутності оригіналу цього документа на папері). При копіюванні електронного документа з електронного носія інформації обов'язково здійснюється перевірка цілісності даних на цьому носії.
При зберіганні електронних документів обов'язкове додержання таких вимог:
1) інформація, що міститься в електронних документах, повинна бути доступною для її подальшого використання;
2) має бути забезпечена можливість відновлення електронного документа у тому форматі, в якому він був створений, відправлений або одержаний;
3) у разі наявності повинна зберігатися інформація, яка дає змогу встановити походження та призначення електронного документа, а також дату і час його відправлення чи одержання.
Суб'єкти електронного документообігу можуть забезпечувати додержання вимог щодо збереження електронних документів шляхом використання послуг посередника, у тому числі архівної установи, якщо така установа додержується вимог цієї статті. Створення архівів електронних документів, подання електронних документів до архівних установ України та їх зберігання в цих установах здійснюється у порядку, визначеному законодавством[7, c. 10-11].
Кожен одержаний адресатом електронний документ перевіряється на цілісність і справжність усіх накладених на нього електронних цифрових підписів, включаючи ті, що накладені (проставлені) згідно із законодавством як аналоги печатки (далі — електронні печатки). При цьому необхідно, щоб:
· кожен електронний цифровий підпис був підтверджений з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;
· під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису;
· особистий ключ підписувача відповідав відкритому ключу, зазначеному у сертифікаті;
· на час перевірки був чинним посилений сертифікат відкритого ключа акредитованого центру сертифікації ключів та/або посилений сертифікат відкритого ключа відповідного засвідчувального центру.
Однак поряд з цим електронний документ має відмітну особливість у порівнянні з документом на папері: він не має жорсткої прив'язки до носія.
Відрив електронного документа від носія означає, що його (носія) не можна використовувати для встановлення дійсності документа.
Залишаються дві можливості:
· простежити шлях електронного документа, що можливо тільки в замкнутій системі (тобто системі з жорстким протоколом зв'язку і третьою особою, яка відповідає за доставку і доступність повідомлень);
· мати в наявності допоміжну інформацію, яка підтверджує автентичність змісту документа, що дозволить відрізнити електронний документ від простого електронного повідомлення.
Такою допоміжною інформацією може бути електронний цифровий підпис (ЕЦП). Останній являє собою інформацію, яка додається до електронного документа, і:
· дозволяє ідентифікувати укладача документа;
· забезпечити неможливість укладача відректися від власного документа;
· гарантувати незмінність документа під час передачі його по системах електронного обміну даними[1, c. 22-23].
Для вирішення даної проблеми пропонується використання процедури страхування ризиків при обміні електронними документами в процесі здійснення електронної комерції. Альтернативний спосіб – державне ліцензування діяльності виготовлювачів засобів ЕЦП і сертифікація алгоритмів і засобів ЕЦП, що пропонується законопроектами, які зараз перебувають на стадії обговорення у Верховній Раді, не здатні вирішити всіх зазначених проблем. З таких причин:
· не ясно, за якими параметрами буде здійснюватися сертифікація;
· не зрозуміло, чи можна буде її проконтролювати майбутнім користувачам;
· не конкретизовано, чим організація, яка ліцензує ЕЦП, гарантує свої висновки.
Вимоги щодо надійності комунікаційних і документаційних систем.
Конфіденційність. Ця вимога передбачає захищеність документа від ознайомлення з ним сторонніх осіб — перш за все, під час пересилання. Механізм протидії — кодування електронних документів перед їхнім пересиланням адресату або на сервер для зберігання. Хоча ця технологія передбачає різні ступені захисту, звичайно використовують один алгоритм кодування – той, що забезпечує захист найважливіших документів. Гарантування конфіденційності значною мірою залежить від надійності призначеного для кодування ПЗ і комп'ютерного обладнання, електронних ключів тощо.
Цілісність. Відповідно до цієї вимоги, дані та інформація повинні надійти до зазначеного адресата неушкодженими і без змін . Незалежно від природи несанкціонованих змін запропоновано два механізми протидії: електронний підпис, коди аутентифікації повідомлення (Message Authentication Codes, МАС). За їхньою допомогою на основі даних, шо захищаються, можна утворювати кодовані додатки, що містять відомості про оригінальний документ та у разі його зміни засвідчать цей факт, проте не дадуть змоги ні визначити зміни, які відбулися, ні відновити документ.
Ідентифікація. Ця вимога передбачає ідентифікацію даних і комуніканта. 1. Ідентифікація даних покликана підтвердити, що документ складено або відправлено саме потрібною особою. 2. Ідентифікація комуніканта підтверджує, що партнер у комунікативному акті — дійсно особа, чиї реквізити наведено. Механізми ідентифікації — перевірка електронного підпису і МАС.
Незаперечність. Ця вимога так само, як і попередня, має дві складові: 1) незаперечність походження означає, що відправник електронного документа не зможе заперечити цей факт. Виконання цієї вимоги можливе завдяки електронному підпису; МАС у цьому випадку звичайно не застосовують, оскільки перевірка відповідності цих кодів складніша за перевірку підпису; 2) незаперечність отримання полягає у тому, що адресат не зможе заперечити цей факт після надходження документа. Технології електронного підпису дають змогу засвідчувати такий факт фіксацією часу надходження документа.
Найпоширеніші нині технології захисту електронних документів — кодування та електронний підпис — стикаються з проблемою їхнього практичного застосування при архівації документів: алгоритми у зв'язку з розвитком цифрових технологій мають дуже обмежений «термін надійності» — значно коротший, ніж строк зберігання документів в архіві, і підлягають регулярній перевірці на розкодування та постійній модернізації[5, c. 123-124].
Висновки
Документообіг в державі є системою, що матеріалізує процеси збору, перетворення, зберігання інформації, а також процеси управління: підготовку та прийняття рішень, контроль за їх виконанням.
Враховуючи різноманітність існуючих систем електронного документообігу в органах державної влади та органах місцевого самоврядування (ОДВ й ОМС), при розробці та реалізації пілот-проекту ІІАС передбачається створення інтегрованої системи електронного документообігу (ІСЕД).
Метою створення такої системи є забезпечення руху документів (укази, постанови, закони, розпорядження, повідомлення, звіти, аналітичні довідки, тощо), скорочення терміну підготовки та прийняття рішень шляхом автоматизації процесів колективного створення та використання документів в органах державної влади.
В даний час складним і неурегульованим є механізм сертифікації засобів створення і перевірки ЕЦП, тому обґрунтовується необхідність його удосконалення. Пропонується, зокрема, не включати в законопроект визначення надійних засобів ЕЦП, яке містить у собі сертифікацію, допущення до експлуатації і позитивний експертний висновок. Різниця між даними трьома дефініціями не проводиться. Додатково не визначається, які правові наслідки несе використання несертифікованих засобів ЕЦП, а також чим держава гарантує свої експертні висновки. Для виправлення вказаних недоліків пропонується введення механізму добровільної сертифікації засобів ЕЦП за винятком тих, котрі будуть використовуватися у відносинах з державними органами.
Список використаної літератури
1. Асєєв Г. Методологія електронного документообігу : динамічні архіви//Вісник Книжкової палати. — 2005. — № 11. — C. 22 — 25.
2. Асєєв Г. Методологія електронного документообігу : підсистеми атоматизації діловодства і статичні архіви документів//Вісник Книжкової палати. — 2005. — № 3. — C. 24 — 27
3. Бірюков А. Удосконалення технології електронного документообігу //Вісник Національного банку України. — 1999. — № 4. — C. 29-31
4. Баркова О. Інформаційна технологія формування фонду електронних документів //Наукові праці Національної бібліотеки імені В.Вернадського. — Київ, 2002. — Вип.8. — C. 209-220
5. Дутов М. Правові проблеми електронного документообігу //Право України. — 2002. — № 6. — С.122-124.
6. Рудюк В. Проблеми зберігання і захисту електронних документів: досвід ФРН //Бібліотечна планета. — 2006. — № 4. — С.17-21
7. Про електронні документи та електронний документообіг: Закон від 22 травня 2003 року № 851/ Україна. Закон //Голос України. — 2003 . — 27 червня. — C. 10-11; Урядовий кур'єр. — 2003. — 2 липня: Орієнтир. — C. 13; Відомості Верховної Ради України. — 2003. — № 36. — C. 1025-1029
8. Філіпова Л. Системи управління електронним документообігом: загальні поняття термінології, організації, технології ( зарубіжний досвід) //Вісник книжкової палати. — 2001. — № 4. — C. 15-18
9. Шпірко А. Запровадження та ефективне використання електронного документообігу й електронного підпису в Україні: проблеми, нові можливості, шляхи розвитку //Вісник Національного банку України. — 2005. — № 3. — C. 36-41