Захист електронних документів

Розвиток сучасної техніки та інформаційних технологій стрімко розширює межі СЕД за рахунок мобільності її користувачів. Зникають традиційні бар`єри, що відділяють внутрішню мережу компанії від мереж загального доступу. Співробітник може працювати на персональному комп`ютері в офісі, на ноутбуці у відрядженні або будинку, на смартфоні по дорозі на ділову зустріч і т.д. Тому актуальними стають питання інформаційного захисту, які включають в себе:

1. Питання організації захисту системи електронного документообігу:

• антивірусний захист;
• криптографічний захист;
• межсетевое екранування;
• аудит інформаційної безпеки,
• реєстрація подій в інформаційних системах;
• контроль цілісності використовуваного програмного забезпечення і т.д.

2. Питання захисту електронних документів:

• аутентифікація користувачів і поділ доступу;
• контроль цілісності електронного документа;
• конфіденційність електронного документа;
• підтвердження авторства електронного документа;
• забезпечення юридичної значимості електронного документа.

Електронний підпис. Види електронного підпису

Електронні документи можуть передаватися по різних каналах зв`язку, а також за допомогою різних носіїв. Питання гарантії цілісності, справжності документа і авторства підпису електронного документа вирішує електронний підпис як реквізит електронного документа. Цей же реквізит дає професіоналізм та юридичну значимість електронного документа за умови дотримання правил оформлення інших реквізитів документа.

Що ж таке електронний підпис (ЕП)?

Федеральний закон РФ від 06.04.2011 № 63-ФЗ «Про електронний підпис» (далі - Закон «Про електронний підпис») (ст. 2) дає наступне визначення ЕП:

«Електронний підпис - інформація в електронній формі, яка приєднана до іншої інформації в електронній формі (підписується інформації) або іншим чином пов`язана з такою інформацією і яка використовується для визначення особи, яка підписує інформацію».

Закон також встановлює види електронного підпису (рис. 1).

Відео: Електронний цифровий підпис для ЕТМ. Види ЕЦП - електронний цифровий підпис

Мал. 1. Види електронного підпису

Простий електронним підписом (ПЕП) є електронний підпис, який «за допомогою використання кодів, паролів або інших засобів підтверджує факт формування електронного підпису певною особою» (ст. 5 п. 2 закону «Про електронний підпис»). Недоліком ПЕП є відсутність можливості перевірити документ на наявність змін з моменту його підписання. 

Некваліфікована електронний підпис (НЕП) - це електронний підпис, який створюється з використанням криптографічних перетворень і засобів електронного підпису і дозволяє визначити автора документа і перевірити його на наявність змін після моменту його підписання.

Кваліфікованої електронним підписом (КЕП) є електронний підпис, який відповідає всім ознакам некваліфікованої електронного підпису, ключ перевірки електронного підпису вказано в кваліфікованому сертифікаті і для створення і перевірки електронного підпису використовуються засоби електронного підпису, що одержали підтвердження відповідності вимогам, встановленим законом «Про електронний підпис» .

У яких випадках застосовуються різні види електронного підпису?

Проста електронний підпис

Проста електронний підпис може використовуватися при оформленні електронних повідомлень, що направляються в органи державної влади, місцевого самоврядування або посадових осіб. Постанова уряду РФ від 25.01.2013 № 33 «Про використання простий електронного підпису при наданні державних і муніципальних послуг» регламентують правила використання ПЕП, засновані на ідентифікації громадян у відповідних державних системах.

Ключем ПЕП є поєднання двох елементів - ідентифікатора і пароля ключа. Ідентифікатором є страховий номер індивідуального особового рахунку (СНІЛС) заявника - фізичної особи або керівника, а паролем ключа - послідовність символів, створена відповідно до затверджених вимог.

У відповідність з постановою пароль ключа простий ЕП повинен складатися не менше ніж з восьми символів, включаючи літери і цифри, і не може містити знаки «*» або «#». Його можна самостійно змінити в особистому кабінеті на Єдиному порталі держпослуг.

Видається ПЕП будь-яким органом державної влади або місцевого самоврядування або підвідомчій їм організацією, яка надає держпослуги при зверненні громадян особисто або за заявою в електронній формі.

В даний час з використанням ключа електронного підпису на Єдиному порталі державних послуг можна отримати відомості про штрафи за порушення ПДР, заборгованості по оплаті податків, відомості з Пенсійного Фонду Росії та інші інформаційні послуги.

Проста ЕП може бути використана за умови, що між учасниками електронної взаємодії встановлені необхідні угоди (нормативні правові акти) про визнання електронних документів, підписаних простий електронним підписом, рівнозначними документами на паперових носіях, підписаним власноручним підписом. Такі угоди повинні передбачати правила визначення підписала документ особи за її простий електронного підпису і обов`язок сторін щодо дотримання конфіденційності ключа підпису. Просту електронний підпис рекомендується використовувати тільки в разі довірчих відносин з партнером по бізнесу.

Електронний документ вважається підписаним простий електронним підписом, якщо вона міститься в самому електронному документі і ключ ПЕП застосовується відповідно до правил, встановлених оператором інформаційної системи, за допомогою якої створюється і відправляється електронний документ. При цьому в електронному документі повинна бути інформація, яка вказує на особу, від імені якого був створений і (або) відправлений електронний документ.

Що ж все-таки являє собою проста електронний підпис? Однозначно, що ім`я автора документа, що міститься в реквізиті документа «підпис» не може вважатися ПЕП, тому що не задовольняє вимогу нормативних документів в частині «використання кодів, паролів або інших засобів» для створення даного реквізиту. Визначити особу, від імені якого посланий документ, можна, наприклад, за допомогою ідентифікатора повідомлення в поєднанні з IP-адресою комп`ютера відправника, що підтверджують, що конкретний користувач, ввівши пароль, скористався поштовою системою для відправки документа. Але електронна адреса відправника та ім`я відправника можна вважати простий електронним підписом тільки за умови, що оператор інформаційної системи забезпечує їх достовірність.

Компанія Yota прийняла рішення підписувати договори на надання послуг зв`язку в електронній формі (простій електронним підписом). Рішення було прийнято для зручності клієнтів, тому що використання електронного підпису дозволяє позбавити клієнтів від необхідності приїжджати в офіси компанії для того, щоб повторно оформити будь-які послуги.

Договір з клієнтом в паперовому вигляді укладає засвідчує центр - ТОВ «Центр Ідентифікації», який є ексклюзивним партнером по обслуговуванню електронного підпису групи компаній Yota. В даний момент електронний підпис використовується тільки для укладення контракту на LTE. Код доступу до засобів простий електронного підпису міститься в об`єкті придбання в компанії пристрої, наприклад, в LTE-модем.

Визначення особи підписувача електронного документа, за його електронного підпису, проводиться на основі відомостей, зазначених у сертифікаті ключа перевірки електронного підпису, що міститься в електронного підпису. Сертифікат ключа перевірки електронного підпису містить унікальний номер договору Клієнта з УЦ, за яким УЦ в будь-який момент часу може визначити конкретного Клієнта.

Некваліфікована електронний підпис

Некваліфікована електронний підпис створюється за результатом криптографічного перетворення інформації з використанням ключа електронного підпису. Вона дозволяє визначити особу, яка підписала електронний документ і виявити факт внесення змін до електронний документ після моменту його підписання. Для створення НЕП може використовуватися сертифікат неакредитованого засвідчувального центру, також можна взагалі обійтися без сертифіката, якщо технічні засоби дозволяють виконати вимоги закону.

НЕП повинна бути створена за допомогою засобів електронного підпису, до яких відносяться шифрувальні (криптографічні) кошти, які використовуються для створення і перевірки ЕП, створення і перевірки ключа ЕП (рис. 2).

Мал. 2. Створення ключів

Принципи роботи ключів ЕП

Щоб мати можливість підписувати документи електронним підписом, необхідно мати:

• закритий ключ ЕП - унікальна послідовність символів-з його допомогою створюється електронний підпис для документа;
• відкритий ключ ЕП (сертифікат ключа перевірки ЕП) - унікальна послідовність символів, однозначно пов`язана з ключем електронного подпісі- з його допомогою перевіряється справжність електронного підпису, тобто підтверджується приналежність ЕП певній особі.

Закритий ключ залишається у власника підпису, відкритий передається адресату. Яким чином працюють ці ключі?

Підписання документа проводиться за допомогою відкритого ключа (рис. 3)

Мал. 3. Процес підписання документа

Хеш-функція - це ідентифікатор документа, послідовність символів, яка створюється на основі тексту самого документа. Вона використовується для перевірки документа на відповідність оригіналу.

Перевірка документа проводиться відкритим ключем (рис. 4).

Мал. 4. Перевірка підпису

Перевірка підпису документа йде за двома напрямками:

1. Документ проглядається і створюється хеш-функція отриманого документа.
2. Виділяється електронний підпис, приєднана до документа, за допомогою відкритого ключа проводиться розшифровка хеш-функції, потім її відновлення.

Результати цих етапів порівнюються і якщо хеш-функції однакові, то електронний підпис вірна і сам документ ідентичний відправленому документу.

Приклад підписання документа в програмі Word 2007

Розглянемо приклад підписання документа в програмі Word 2007 за допомогою вбудованих механізмів електронного підпису.

Відео: Електронний підпис як ефективний механізм захисту архівних документів: актуальні завдання та рішення

Для цього визначимо місце, куди буде поміщена електронний підпис і за допомогою команди Вставка-Текст-Рядок підпису-Рядок підпису Microsoft Office відкриємо вікно настройки підпису (рис. 5).

Відео: Захист документів Word. урок 11

Введемо необхідні дані - ініціали та прізвище підписує і його посаду. Важливо також в рядку підпису вказати дату проставлення підпису. Після натискання ОК в документі з`являється поле електронного підпису (рис. 6).

При створенні документа таких полів може бути введено кілька в залежності від кількості підписантів. При підписанні документа можна додати друковану версію підпису поруч із позначкою X (рис. 7) або вставити графічне зображення підпису або ввести рукописну версію підпису (з планшетних комп`ютерів). Результат підписання документа показаний на рис. 8. Після підписання документ може бути використаний тільки в режимі читання. При збереженні копії підписаного електронним підписом документу підпис стає недійсною, що відображається в документі (рис. 9).

Мал. 7. Підписання документа

Якщо підпис у документі в принципі не потрібно, але потрібно гарантувати справжність, цілісність і походження документа, то можна підписати документ невидимою підписом. Для вставки такого підпису використовується команда Office-Підготувати-Додати цифровий підпис. У вікні підписання вказується мета використання невидимою цифрового підпису (рис. 10), результат підписання документа таким підписом видно в рядку станів (рис. 11). Треба відзначити, що цей значок з`являється в рядку стану при підписанні документа будь-яким видом підпису.

кваліфікована підпис

Кваліфікована підпис створюється за допомогою підтверджених ФСБ криптографічних засобів і повинна мати сертифікат від акредитованого центра, що засвідчує, що виступає гарантом справжності підпису. Електронний документ, підписаний КЕП, у всіх випадках прирівнюється законодавством до паперового документу з власноручним підписом. Кваліфікований сертифікат видається у формі, вимоги до якої встановлюються федеральним органом виконавчої влади в галузі забезпечення безпеки.

Сертифікат ключа перевірки електронного підпису повинен містити дату початку та закінчення терміну дії ключа, прізвище, ім`я та по батькові власника, ключ перевірки електронного підпису, найменування використовуваного засоби електронного підпису, найменування засвідчує центру.

У процесі створення сертифіката ключа перевірки ЕП кожному користувачеві генеруються ключ ЕП і ключ перевірки ЕП. Ключі зберігаються в файлах, які розміщуються на захищеному ключовому носії, забезпеченим PIN-кодом для додаткового захисту.

В даний час в якості спеціалізованих носіїв обмеженого доступу часто використовуються Rutoken (Рутокен) і еToken (Етокен).

Rutoken - це компактний пристрій у вигляді USB-брелока, яке служить для авторизації користувача в мережі або на локальному комп`ютері, захисту електронного листування, безпечного віддаленого доступу до інформаційних ресурсів, а також надійного зберігання персональних даних.

eToken - це захищене пристрій, призначений для строгої аутентифікації і безпечного зберігання ключів шифрування, цифрових сертифікатів і будь-який інший секретної інформації. eToken випускається в двох формах: USB-ключа і смарт-карти.

Для забезпечення конфіденційності ключа ЕП необхідно виконувати рекомендації по зберіганню і використанню ключа ЕП.

Створення електронного підпису є складною математичну процедуру і її виконують спеціальні програми - криптопровайдери. В сучасних операційних системах криптопровайдери вже включені до їх складу.

Наприклад, в Windows XP вбудований провайдер Microsoft Enhanced Cryptographic Provider.

При створенні кваліфікованої електронного підпису у відповідність з Закон «Про електронний підпис» повинні використовуватися криптопровайдери, сертифіковані державними органами. У зв`язку з цим підпис, проставлена в прикладі, описаному вище, вважається некваліфікованої. Тому для забезпечення кваліфікованої електронного підпису на всіх комп`ютерах, на яких будуть підписуватися документи або перевірятися електронний підпис, необхідно встановити сертифікований криптопровайдер.

Відомим постачальником засобів електронного підпису в Росії є компанія КРИПТО-ПРО. Вона також надає послуги акредитованого засвідчує центру. Багато компаній, розробники СЕД, використовують продукти компанії КРИПТО-ПРО для захисту своїх рішень.

Приклади використання ЕП

Компанія Cognitive Technologies використовує КріптоПро CSP в Модулі підписання ЕП в Торговій системі ВАТ «Єдина електронна торговельна площадка» для перевірки коректності документів і відомостей, що підписуються ЕП користувачами майданчика.

Відео: КріптоПро CSP - опис всього спектра операцій з ЕЦП

Компанія DocsVision за рахунок використання в СЕД DocsVision засобів криптографічного захисту Крипто-Про, забезпечує можливість підписання будь-якого файлу електронним підписом, що дозволяє надійно визначити володаря підписи під документом і гарантувати відсутність в ньому змін після підписання (рис. 12). При натисканні кнопки підписати система пропонує вибрати сертифікат ключа електронного підпису (рис. 13). Можна також вибрати вид підпису. Можна підписати сам файл документа, картку документа, операцію з документом. Історію підписань і результат перевірки електронного підпису можна подивитися в журналі підписів (рис. 14).

Ми розглянули можливості захисту електронних документів за допомогою електронного підпису, але як вказувалося на початку статті, цього не достатньо і потрібно застосовувати комплексні заходи інформаційної безпеки, які включають в себе як програмно-технічні, так і організаційні заходи.