Цибуля А.Н., Усачев С.Е. ПРОБЛЕМА ОБЕСПЕЧЕНИЯ АУТЕНТИЧНОСТИ ДОКУМЕНТОВ

Цибуля А.Н., Усачев С.Е.
г. Орел, г. Смоленск
Академия ФСО России
ПРОБЛЕМА ОБЕСПЕЧЕНИЯ АУТЕНТИЧНОСТИ ДОКУМЕНТОВ
В СИСТЕМАХ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
Документооборот является неотъемлемой частью деятельности органов
государственной власти, органов местного самоуправления, организаций. Поскольку в основе использования документа лежит идея переноса отображенной
в нем информации во времени и в пространстве, то, благодаря современному
уровню развития сетей передачи данных, применение систем электронного документооборота (СЭД) становится все более актуальным.
Среди проблем обеспечения безопасности корпоративного документооборота особое место занимает проблема обеспечения аутентичности электронных
документов (ЭД), так как её решение является необходимым условием для существования юридически значимого электронного документооборота.
В настоящее время производителями предлагается к использованию множество программных продуктов, относящихся к классу СЭД, каждый из которых имеет определенный набор механизмов защиты ЭД. Данные механизмы, в
комплексе с другими мерами по защите информации (ЗИ), направлены на обеспечение различных аспектов информационной безопасности (конфиденциальности, целостности, доступности). При этом вопросы о том, насколько применяемые средства и методы защиты документированной информации решают
проблему обеспечения аутентичности и соответствуют ли современным требованиям, остаются открытыми. Кроме того, существует проблема выбора (или
проектирования) СЭД с необходимым уровнем защищенности информации.
Несмотря на то, что имеется множество исследовательских работ по ЗИ в
автоматизированных системах, в настоящее время не существует методики
оценки защищенности документированной информации, циркулирующей в системах электронного документооборота, от угроз нарушения аутентичности.
Понятие аутентичности применительно к ЭД в правовых отношениях появилось сравнительно недавно [1]. Как показал анализ существующих нормативных документов и публикаций, ЭД может считаться аутентичным, если выполняются следующие условия:
1. ЭД соответствует установленным правилам, например, содержит определенную совокупность реквизитов, используемых в организации.
2. Сведения об авторе, времени и месте создания ЭД, содержащиеся в самом документе, подтверждают достоверность его происхождения.
3. ЭД создан уполномоченным лицом.
4. ЭД отправлен уполномоченным лицом.
5. ЭД создан в то время, которое обозначено в документе.
6. ЭД отправлен в то время, которое обозначено в документе.
7. ЭД содержит или постоянно связан с неискаженными метаданными,
подтверждающими достоверность происхождения или существования доку-
мента (данные, описывающие сам документ (содержание, структуру, формат);
данные о связях с другими документами; данные описывающие весь процесс
работы с ним от регистрации до списания в дело, включая ход исполнения документа и рассылку во внешние организации).
В настоящее время можно выделить четыре группы угроз документам
СЭД, которые могут повлечь нарушение аутентичности ЭД:
1. Угрозы, направленные на несанкционированную модификацию, нарушение целостности документа, которые включают в себя изменение служебной
или содержательной части, подмену, изъятие или уничтожение документа [2];
2. Угрозы, направленные на искажение аутентичности документа;
3. Угрозы, связанные с непризнанием участия в процессе электронного
документооборота (ЭДО);
4. Угрозы, связанные с проблемой подтверждения аутентичности криптографическими методами.
Каждая из групп содержит перечни угроз, рассмотрение которых остается
за рамками данной статьи.
Для обеспечения защиты от угроз большинство СЭД имеют набор средств
ЗИ, таких как контроль доступа, аудит, применение средств электронной цифровой подписи (ЭЦП), шифрование и др. Таким образом, можно говорить о
процессе обеспечения аутентичности документов в СЭД.
Электронная цифровая подпись является мощным средством подтверждения подлинности ЭД, но как показывает практика, не является универсальным.
Применение ЭЦП для обеспечения аутентичности необходимо лишь для ЭД,
влекущих ответственность сторон, а использование ЭЦП для менее значимых
документов (включая внутреннюю переписку, которая ведется в рамках защищенной корпоративной СЭД) считается неоправданным [3]. Федеральный Закон “Об электронной цифровой подписи” определяет порядок использования
ЭЦП с целью обеспечения юридической значимости ЭД, в то же время существует множество угроз, способных её нарушить. Таким образом, ЭД может
быть не аутентичным при неправильном использовании средств ЭЦП и аутентичным без их использования. Известны случаи, когда суды принимали ЭД,
имеющие косвенные доказательства о принадлежности автора к его созданию, в
качестве доказательств.
Таким образом, аутентичность документов в СЭД определяется комплексным подходом к ее обеспечению на всех этапах жизненного цикла документа.
Для ЭДО это означает обоснованное применение средств ЗИ и регламентацию
делопроизводственных процессов. Необходимо решить задачу оптимального
(рационального) выбора совокупности мер (механизмов) защиты, используемых при создании, согласовании, подписании (утверждении), регистрации, передаче, рассмотрении, исполнении, архивном хранении и уничтожении всех
ЭД. С этой целью требуется выработка системы показателей качества (СПК)
делопроизводственных процессов и методика оценки их комплексного влияния
на аутентичность ЭД.
Для решения проблемы обеспечения аутентичности ЭД в СЭД планируется
провести исследование, состоящее из следующих этапов:
1. Разработка СПК ЭД, включающей векторный показатель аутентичности ЭД;
2. Построение имитационной модели процесса обеспечения защищенности ЭД в СЭД;
3. Исследование построенной модели;
4. Разработка методики оценки обеспечения аутентичности ЭД в СЭД.
Методика анализа СЭД на предмет обеспечения необходимого уровня
аутентичности документов необходима для дальнейшего развития юридически
значимого безбумажного документооборота.
Библиографический список
1. ГОСТ Р ИСО 15489-1–2007. Управление документами. Общие требования.
2. Жук О.Ю. Защита документальной информации в компьютерных системах и сетях // Информационные технологии в системе образования, агропромышленности, биржевой системе. Защищенные информационные системы органов государственного управления и социальной сферы. – С. 208-212.
3. Храмцовская Н.А. Актуальные проблемы современного делопроизводства и документооборота // Секретарь-референт. – 2008. – №5.