Использование ЭЦП для обеспечения защиты информации при использовании системы электронного документооборота

ВВЕДЕНИЕ 3 1. АНАЛИЗ ТРЕБОВАНИЙ К ИСПОЛЬЗОВАНИЮ СИСТЕМ ЭЛЕКТРОННОЙ ПОДПИСИ 4 1.1. Обзор законодательства в области работы с электронной подписью 4 1.2. Обзор используемых криптографических алгоритмов 12 1.3. Общая характеристика технологий электронного документооборота 17 Выводы по разделу 19 2. АНАЛИЗ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОДПИСИ В СИСТЕМАХ ЭДО 20 2.1. Обзор систем автоматизации документооборота 20 2.2. Обзор функционала сервиса «ДиаДок» 23 Выводы по разделу 30 ЗАКЛЮЧЕНИЕ 31 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 33 ПРИЛОЖЕНИЕ. Сравнительная характеристика программных платформ автоматизации документооборота………………………………………………35

ВВЕДЕНИЕ

В настоящее время широкое развитие получают системы автоматизации документооборота, в которых реализованы возможности получения корреспонденции с использованием различных каналов связи (электронной почты, мобильных приложений, почтовых рассылок, систем электронного документооборота, систем обратной связи на сайтах компаний). Увеличение количества документов, связанное с доступностью средств Интернета, расширением бизнеса компаний, объемов отчетности, предполагает необходимость контроля обработки документов и их соответствия административным регламентам. Защищенность систем документооборота обеспечивается посредством использования криптографических модулей, систем защиты на уровне приложения, файловой системы или СУБД. Использование сервиса защиты системы документооборота позволит решать задачи, связанные с обеспечением конфиденциальности передаваемых сведений, защиты каналов связи, разграничения доступа пользователей к основным режимам работы системы, протоколирования работы системы. Целью данной работы является анализ Использования ЭЦП для обеспечения защиты информации при использовании системы электронного документооборота. Задачи работы»: — анализ использования криптографических систем в системах документооборота; — анализ нормативных регламентов в области использования систем электронного документооборота (ЭДО); — анализ программной реализации использования электронной подписи в системах электронного документооборота. Объект исследования: технология защищенного документооборота. Предмет исследования: использование электронной подписи в системах ЭДО.

1. АНАЛИЗ ТРЕБОВАНИЙ К ИСПОЛЬЗОВАНИЮ СИСТЕМ ЭЛЕКТРОННОЙ ПОДПИСИ

1.1. Обзор законодательства в области работы с электронной подписью

В рамках данной работы проведен анализ законодательных и технологических аспектов использования аналогов собственноручной подписи (электронной подписи). Основная область применения аналогов собственноручной подписи – системы электронного документооборота. 1.Нормативное регулирование работы с электронной подписью. 63-ФЗ «Об электронной подписи» определен круг субъектов правоотношений (участников электронного взаимодействия), который включает 4 категории [4, с.30]: 1) государственные органы; 2) органы местного самоуправления; 3) организации; 4) граждане. Федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи является Министерство связи и массовых коммуникаций Российской Федерации. Минкомсвязь России осуществляет аккредитацию удостоверяющих центров, ведет Перечень аккредитованных удостоверяющих центров. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется:  обладателем, пользователем (потребителем) защищаемой информации, установившим режим защиты информации с применением СКЗИ;  собственником (владельцем) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ;  ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) утверждено приказом ФСБ России от 09.02.2005 г. №66. В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» от 4 мая 2011 г. N 99-ФЗ Лицензированию подлежат следующие виды деятельности: — разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств; — выполнение работ, оказание услуг в области шифрования информации; — техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя. Как было показано выше, использование электронной подписи производится в документах различного типа, юридическая значимость и её роль в организационном документообороте которых различна. Так, некоторые документы, подписанные электронной подписью, связаны с проведением платежных операций, и компрометация электронной подписи в данном случае может привести к прямым финансовым потерям. Электронные подписи, используемые для сдачи отчетности в государственные органы, при их компрометации потенциально могут привести к утечке информации, соответствующей учетным данным организации, что может составлять коммерческую тайну или персональные данные сотрудников. Утечка информации данного типа является наказуемой согласно федеральному законодательству в области работы с персональными данными. Компрометация электронной подписи, предназначенной для работы с электронными площадками, может привести к срыву контрактов и прямым финансовым убыткам фирмы. Документы другого типа используются лишь для внутриорганизационного документооборота, а зачастую дублируются бумажными носителями и последствия компрометации электронной подписи в данном случае не приводят к ощутимым последствиям для организации. Таким образом, для классификации по степеням значимости и состава электронных подписей проведена их классификация по составу и квалификации. Каждому из классов электронной подписи согласно принятым стандартам сопоставлены меры организационного и технологического характера в области защиты от компрометации, правил учета и обращения ключевых носителей. Принятая в настоящее время классификация электронных подписей включает [5, c.50]: — простая электронная подпись; — усиленная электронная подпись, имеющая квалифицированные и неквалифицированные виды. Простая электронная подпись – это вид электронной подписи, использующий для подтверждения факта подписи определенного лица набор кодов, паролей или иных средств. Основными характеристиками простой электронной подписи являются: − наличие подтвержденного факта формирования простой подписи определенного лица; − включение электронной подписи в документы; − ключ простой ЭП используется в рамках правил, установленных оператором информационной системы; − использование простой ЭП производится в соответствии с регламентами, которые устанавливаются операторами информационной системы. Простая электронная пропись может указывать на лицо, которое подписало документ, но при этом невозможно установить факт неизменности подписи и подписанных файлов после простановки ЭП. Область применения простой электронной подписи: внутриорганизационные системы документооборота. Для неквалифицированной электронной подписи характерно: − содержание в самом электронном документе, либо наличие связи с документом; − возможность подтверждения факта формирования ЭП определенным специалистом; − возможность проверки с использованием СКЗИ при наличии соответствующего ключа; − формирование с использованием СКЗИ и ключей электронной подписи; − использование в рамках правил, установленных операторами информационной системы. Неквалифицированная ЭП может работать как с сертификатами ключа проверки электронной подписи, созданными удостоверяющим центром, так и без них. Неквалифицированная ЭП позволяет обнаруживать факты внесения изменений в электронные документы после момента его заверения ЭП абонентом системы. Область использования усиленной неквалифицированной электронной подписи: электронные торги, заверение отчетности в государственные органы. Квалифицированная электронная подпись − это электронная подпись, соответствующая всем параметрам неквалифицированной электронной подписи и имеющая дополнительные признаки: − обязательность совместного использования сертификатом ключа проверки ЭП, который выпущен в аккредитованным удостоверяющем центре; − для подписи документа и проверки ЭП используется комплекс средств ЭП, прошедших сертификацию в рамках действующего законодательства. Область использования усиленной квалифицированной электронной подписи: системы документооборота в нотариате, банковские информационные системы, системы госзакупок. Получение сертификата электронной подписи производится в специализированных удостоверяющих центрах. Цифровой сертификат предоставляет информацию об объекте, объектом может быть пользователь, компьютер, служба, сетевое устройство и т.д. Выдается он центром сертификации и ассоциирован с парой ключей (секретным и публичным). Цифровой сертификат – это структура данных (например, файл) состоящая из раздела данных и раздела подписи. Раздел данных содержит открытые данные, включающие как минимум открытый ключ. Раздел подписи состоит из подписи центра сертификации [3, c.68]. Перечень и структура данных сертификата определяется его стандартом, в настоящее время используется стандарт X509 версии 3. Рассмотрим сферу действия 149-ФЗ. 1. Данным законодательным актом регулируются правоотношения в области: 1) осуществления прав, связанных с поиском, получением, передачей, производством и распространением информации; 2) использованием информационных технологий (включая системы электронного документооборота); 3) обеспечением защиты информации при использовании информационных систем. Правовое регулирование отношений, которые возникают в области работы с информационными ресурсами, информационными технологиями и системами защиты информации, основываются на принципах: 1) свободы поиска, получения, обмена, производства и распространения информации с использованием любых законных способов; 2) возможности управления доступом к информационным ресурсам в соответствии с требованиями федерального законодательства; 3) обеспечения открытости информации, связанной с деятельностью государственных органов и органов местного самоуправления и свободного доступа к информационным ресурсам; 4) принципов равноправия представления и получения информации на языках народов Российской Федерации в рамках функционирования информационных систем, включая системы ЭДО; 5) принципы обеспечения безопасности государства в процессе реализации информационных систем, работы с ними и обеспечении защиты содержащихся в них данных; 6) принципы достоверности информации и своевременности ее предоставления; 7) неприкосновенности частной жизни, недопустимости сбора, хранения, в также использования, распространения данных о частной жизни граждан без получения их согласия; 8) недопустимости установки в нормативных правовых актах какого-либо приоритета при использовании одних информационных систем перед другими, при условии когда необходимость использования определенных информационных систем для создания и эксплуатации государственных информационных систем не установлена в федеральных законах. В статье 11 данного федерального закона определены требования к системам электронного документооборота. В законе закреплена обязанность органов государственной власти, органов местного самоуправления, организаций, осуществляющих в рамках федеральных законов определённые публичные полномочия по предоставлению в соответствии с выбором граждан и организаций информации в электронных форматах, подписанной усиленной квалифицированной электронной подписью, и (или) документов на бумажном носителе, кроме случаев, когда порядок предоставления данной информации устанавливается в федеральных законах или иных нормативных правовых актах Российской Федерации, в которых регулируются правоотношения в соответствующей области деятельности. 2. Данные, необходимые для осуществления государственных полномочий, осуществляемых в рамках требований федеральных законов отдельные публичные полномочия, могут представляться гражданами и организациями в электронных форматах при наличия электронной подписи, если другие требования не установлены в федеральных законах, регламентирующих комплекс правоотношений в данной области деятельности. 3. Комплекс требований к осуществлению электронного взаимодействия установлен в постановлениях Правительства Российской Федерации в рамках требований Федерального закона от 6 апреля 2011 года N 63-ФЗ «Об электронной подписи». Также в данном законе определяются требования к заключению соглашений для осуществления электронного документооборота, в которых прописываются форматы файлов, порядок их предоставления, технология работы с электронной подписью. Системы документооборота, используемые в условиях российских компаний, как правило, связаны с [9, c.99]: — оборотом документации на бумажных носителях; — работой с электронными документами; — использованием криптографических систем. В качестве объектов защиты информации в системах электронного документооборота могут выступать: — персональные данные сотрудников и клиентов; — коммерчески значимая информация, включая коммерческую тайну; — финансовые документы; — копии документов на бумажных и электронных носителях; — закрытые ключи электронной подписи. Таким образом, к обеспечению защиты информации в системах документооборота необходимо использовать комплексный подход. Особенность криптографической защиты информации, алгоритмы которой используются в системах электронной подписи, в том, что ее реализация предполагает выполнение ряда серьезных организационных мероприятий в области защиты информации, по сути представляя собой технологические решения. особенность технологии криптографической защиты информации состоит в том, что данная методика представляет собой как возможность шифрования данных, что делает возможным получение информации только лицами, располагающими ключами шифрования данной криптографической системы, так и ряд методов, позволяющих аутентифицировать автора электронного документа, а также методы подтверждения целостности документов. Защита данных в информационных системах с использованием средств шифрования является одним из наиболее надежных методов решения проблемы безопасности. Особенности криптографической защиты информации в отличие от остальных методов состоят в следующем [12, c.70]: — возможность шифрования документов; — подтверждение аутентичности электронного документа; — подтверждение целостности электронного документа.

1.2. Обзор используемых криптографических алгоритмов

Особенность криптографической защиты информации в том, что ее реализация предполагает выполнение ряда серьезных организационных мероприятий в области защиты информации, по сути представляя собой технологические решения. особенность технологии криптографической защиты информации состоит в том, что данная методика представляет собой как возможность шифрования данных, что делает возможным получение информации только лицами, располагающими ключами шифрования данной криптографической системы, так и ряд методов, позволяющих аутентифицировать автора электронного документа, а также методы подтверждения целостности документов [11, c.25]. Защита данных в информационных системах с использованием средств шифрования является одним из наиболее надежных методов решения проблемы безопасности. Изучение технологических аспектов шифрования данных входит в компетенцию науки — криптологии, включающей криптографические технологии и криптоанализ [3, c.39]. Предметом изучения криптографии являются методы и алгоритмы шифрования информации (алгоритмы, используемые для построения шифров и работы с ними), направленные на то, чтобы перехваченная информация была нечитаемой. Методы обеспечения целостности данных с использованием алгоритмов криптографии также могут находить применение при подтверждении подлинности источников данных. Криптография является обязательной компонентой архитектуры безопасности информационных систем. Особое значение криптографические методы получили с развитием сетей с распределенной архитектурой, в которых невозможно обеспечение физической защиты каналов связи. Криптоанализ — это наука, предметом которой является раскрытие исходного текста зашифрованных сообщений без доступа к ключам. Различие кодирования и шифрования связано с тем, что коды работают с лингвистическими элементами, разделяют закрываемый текст на блоки, содержащие смысловые элементы, включающие слова и слоги. В шифрах имеется различение двух элементов: алгоритмов и ключей. Алгоритмы позволяют использовать сравнительно короткие ключи для шифрования текстов с неопределенной длиной [4, c.86]. В соответствии с ГОСТ 28147-89 шифр представляет собой совокупность обратимых преобразований множества открытых данных на множество зашифрованных данных, которые задаются посредством ключей и алгоритмов криптографических преобразований. Ключ — это определенное (секретное или открытое) состояние некоторых параметров алгоритмов криптографических преобразований данных, которые обеспечивают выбор единственного варианта из всех возможных для алгоритма шифрования. Основная характеристика шифра – это его криптостойкость, определяющая его стойкость к раскрытию посредством методов криптоанализа. Как правило, данная характеристика определяется промежутком времени, который необходим для раскрытия шифра. Гаммирование представляет собой технологию наложения в соответствии с определенными правилами шифровых гамм на открытые данные. Шифровые гаммы являются псевдослучайными двоичными последовательностями, вырабатываемыми в соответствии с определенными алгоритмами, позволяющими проводить шифрование открытых данных и расшифровку зашифрованных данных. Имитозащита представляет собой защиту системы шифрованных каналов связи от вставок ложных блоков. Имитовставки — это блоки, включающие m бит, вырабатываемые в соответствии с определенными правилами из открытых источников с использованием ключей, которые добавляются к зашифрованным данным для обеспечения их имитозащиты. К шифрам, которые используются для криптографической защиты информации, предъявляются следующие требования: — достаточный уровень криптостойкости (надежности закрытия данных); — простота алгоритмов шифрования и расшифровки; — незначительный уровень избыточности данных, обусловленный шифрованием; — отсутствие чувствительности к наличию ошибок шифрования и др. Таким образом, особенности криптографической защиты информации в отличие от остальных методов состоят в следующем [11, c.54]: — возможность шифрования документов; — подтверждение аутентичности электронного документа; — подтверждение целостности электронного документа. Например, парольная защита может использоваться только для авторизации пользователя в автоматизированной системе, для юридически значимых действий в программных комплексах одного пароля недостаточно. Криптографические методы, в силу своей специфики применяются в системах электронных платежей, сдачи отчетности в государственные органы, системах электронных торгов, а также других системах, связанных с электронным документооборотом. Наличие электронно-цифровой подписи делает электронный документ юридически значимым. В силу этого, к работе с криптографическими системами предъявляется ряд требований организационного обеспечения по сохранности электронных ключей, защите от их компрометации. компрометация ключа электронной подписи может привести к прямым финансовым потерям, утечкам информации, что может угрожать существованию предприятия – владельца ЭЦП. Традиционные криптографические методы и алгоритмы подразделяются на: — симметричные (использующие секретные ключи), — асимметричные (использующие открытые ключи). Симметричные методы для шифрования и расшифровки используют одни и те же секретные ключи. Наиболее распространенным стандартом симметричного шифрования с закрытым ключом является стандарт DES (Data Encryption Standard). Коммерческие варианты алгоритма DES используют ключ длиной 56 бит, что требует при атаке на него проведения перебора 721012 вариантов ключевых комбинаций. Более криптостойкие (но уступающие по быстродействию) версии алгоритма DES — Triple DES (тройной DES) позволяют работать с ключами длиной 112 бит. Другим популярным алгоритмом шифрования является IDEA (International Data Encryption Algorithm), отличающийся применением ключа длиной 128 бит. Он является более стойким, чем DES. Российский стандарт шифрования данных — ГОСТ 28147-89 определяет технологию симметричного шифрования с использованием ключа длиной до 256 бит. Классификация кодов проводится с помощью следующих признаков [12, c.39]: 1. Кодирование по основанию (числу символов в алфавите): бинарное (двоичные m=2) и не бинарное кодирование (m > 2). 2. Классификация по длине кодовых комбинаций (слов): равномерное, при одинаковой длине кодовых комбинаций и неравномерное кодирование в случаях, когда длина кодовых комбинаций непостоянна. 3. Классификация по методам передачи: последовательное и параллельное; блочное (в данном случае данные помещаются в буфер, и далее передаются в канал) и бинарное непрерывное кодирование. 4. По уровню устойчивости к воздействию помех: простое (примитивное, полное) — для передачи данных используется набор всех возможных кодовых комбинаций (без избыточности); корректирующее (помехозащищенное) — для передачи сообщений используются не все, а только часть (разрешенных) кодовых комбинаций. 5. В зависимости от области использования условно можно определить следующие виды кодирования [15, c.40]: Внутреннее кодирование, использующее коды, генерируемые устройствами. Это машинное кодирование, а также кодирование, использующее позиционные системы счисления (двоичные, десятичные, двоично-десятичные, восьмеричные, шестнадцатеричные и др.). Одним из наиболее распространенных кодов в ЭВМ является двоичный код, позволяющий проводить реализацию аппаратных устройств, осуществляющих хранение, обработку и передачу данных в двоичном коде. Такие устройства обеспечивают высокую надежность и простоту выполнения операций с данными с использованием двоичного кода. Двоичные данные, объединяемые в группы по 4 разряда, образуют шестнадцатеричные коды, совместимые с архитектурой компьютеров, работающих с данными кратными байту (8 бит). Кодирование для обмена данными и их передачи по каналам связи. Широкое распространение в компьютерной технике получил код ASCII, представляющий собой 7-битный код, содержащий буквенно-цифровые и другие символы. Так как ЭВМ работают с байтами, то 8-й разряд используется в целях синхронизации или проверки на четность, или расширения кода. В процессе кодирования информации для передачи по каналам связи, в том числе внутри аппаратных трактов, применяются коды, которые обеспечивают максимальную скорость передачи данных, за счет их сжатия и устранения избыточности (данные алгоритмы используются в кодах Хаффмана и Шеннона-Фано), и коды, служащие для обеспечения достоверности передачи данных, за счет ввода избыточности в передаваемую информацию (данная функция реализована в групповых кодах, кодах Хэмминга, циклических алгоритмах и их разновидностях).

1.3. Общая характеристика технологий электронного документооборота

Использование СКЗИ по своему определению предполагает работу с техническими средствами – программным и аппаратным обеспечением, позволяющим производить шифрование объектов, а также работать со средствами электронной подписи. Программные продукты для работы с системами электронной подписи делятся на категории [14, c.36]: − программное обеспечение для генерации ключей электронной подписи; − программное обеспечение, используемое для простановки и снятия электронных подписей; − электронные ключи для хранения сертификатов электронных подписей. Для генерации сертификатов электронной подписи используются специальные программные средства, либо онлайн сервисы. Данное программное обеспечение используется в удостоверяющих центрах .осуществляющих выпуск сертификатов, либо выдается клиентом для самостоятельного выпуска сертификатов. Одним из наиболее распространенных программных продуктов для работы с электронной подписью в РФ является ПО Крипто-Про. Система поставляется как в виде самостоятельного ПО, так и в форме плагина для браузеров. Основные области использования системы КриптоПро CSP включают [2, c.37]: − аутентификацию пользователей в системе, проверку подлинности электронной подписи, проверку отправителя, срока действия; − обеспечение конфиденциальности, контроля целостности электронных документов посредством их шифрования и использования систем имитозащиты, в соответствии с требованиями действующих стандартов; − использование электронной подписи при работе пользователей с онлайн сервисами; − простановка электронных подписей на программное обеспечение для возможности автоматической проверки его подлинности; − управление ключевыми компонентами системы в соответствии с технологией при использовании систем защиты. На рисунке 1 приведен режим настройки параметров ПО Крипто-Про CSP. На рисунке 2 – режим управления считывателями. В качестве хранилища сертификатов электронной подписи возможно использование [7, c.63]: − внешних носителей (флэш-накопителей), в данном случае защита ключа от копирования обеспечивается привязкой сертификата к серийному номеру носителя; − реестра операционной системы (указанный способ не является безопасным в силу того, что защита электронной подписи обеспечивается через ввод пин-кода); − специализированных электронных ключей. Рисунок 1 — Свойства Крипто-Про CSP Рисунок 2 – Настройка управления считывателями Возможности системы Крипто-Про используется во многих прикладных программных системах и системах электронного документооборота, в работе торговых площадок, для авторизации в различных системах. В качестве аналога системы Крипто-Про для работы с электронной подписью можно рассматривать систему VipNet Криптосервис от компании Инфотекс. Выводы по разделу Развитие систем электронного документооборота создает предпосылки к созданию нормативной и технологической базы, обеспечивающей юридическую силу для электронных документов. в настоящее время принято множество документов и регламентов, в которых описывается порядок использования электронной подписи, порядок обращения с сертификатами. Технологическая поддержка систем работы с электронными документами включает: — работу криптопровайдеров; — технологические решения, в которых интегрированы возможности работы с документами и сертификатами электронной подписи.

2. АНАЛИЗ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОДПИСИ В СИСТЕМАХ ЭДО

2.1. Обзор систем автоматизации документооборота

В качестве систем автоматизации технологии документооборота были рассмотрены решения [1]: — 1С: Управление производственным предприятием; — «Дело»; — IBM Lotus Notes. Для автоматизации технологии документооборота возможно использование как типовых, так и отраслевых решений. Приведем описание наиболее распространенных типовых программных продуктов, решающих задачи автоматизации документооборота. 1. Система автоматизации документооборота и электронного документооборота «Дело». Информационная система «ДЕЛО», разработанная программистами компании «Электронные Офисные Системы» представляет собой комплексное промышленное решение, обеспечивающее возможности по автоматизации технологии документооборота в организациях различного рода деятельности. Данная автоматизированная система может эффективно применяться как специалистами небольших коммерческих компаний, так и организациями, имеющими сложную филиальную структуру. Цель данной системы предполагает возможность повышения эффективности и качественных характеристик технологии документооборота как с использованием бумажных, так и электронных носителей. На сегодняшний день СЭД «ДЕЛО» представляет собой наиболее распространенную в России систему и является отраслевым стандартом во многих организациях. К основным функциям системы «ДЕЛО» относятся [16, c.74]: — Учет жизненного цикла входящих документов – от регистрации до списания в дело, включая мониторинг исполнения, формирования и отправки документов, являющихся ответами на поступающие запросы; — Определение полномочий руководителей, включая возможности возложения полномочий по простановкам резолюций; — Простота в освоении функционала системы; — Возможность ввода документов в интерактивном режиме; — Наличие инструментов администрирования на уровне полномочий пользователей в части разграничения доступа к основным режимам работы программы; — Работа с документами, содержащими файловые вложения, в том числе больших объемов; — Использование режимов настройки пользовательского интерфейса; — Поддержка автоматизации различных схем документооборота; — Поддержка как внутриорганизационного документооборота, так и взаимодействия с внешними организациями, в том числе с использованием электронной подписи. 2. Решения на базе «1С — Управление производственным предприятием». Данное ПО продукт поставляется в виде конфигурации «1С-Предприятия 8.3». К основным функциям системы относятся [17, c.50]: Регистрируются типы документов: Входящие, Исходящие, Внутренние. Для любого документа существует возможность присоединения одного или нескольких файлов (например, фотографий, отсканированных изображений бумажных документов) Работа с входящими документами: возможности по регистрации входящей документации, поступившей как от юридических, так и от граждан, в соответствии с отечественными стандартами работы с документами. В данном ПО используется типовая схема работы с документами [19, c.102]: 1. Проведение первичной регистрации входящих документов 2. Проведение рассмотрения 3. Учет исполнения 4. Регистрация исходящего документа Исходящие документы могут создаваться как а, так и в форме ответа на поступивший входящий документ. Процесс присвоения регистрационного номера исходящим документам производится делопроизводителем после согласования документа и его утверждения ответственным лицом. 3. IBM Lotus Notes IBM Lotus Notes (также Lotus Notes, Lotus Notes/Domino) представляет собой систему автоматизации документооборота с поддержкой работы с документами в режиме рабочих групп. Возможности системы [18, c.33]:  поддержка работы компаний, имеющих территориально распределенную организационную структуру;  возможность разработки модулей автоматизации обработки документов в соответствии со спецификой работы компании посредством встроенного языка программирования;  работы с мобильными и оффлайн клиентами;  наличие распределенной архитектуры базы данных, обмен данными посредством репликаций баз данных, настройка которых проводится администраторами;  наличие модулей обмена мгновенными сообщениями;  возможность интеграции с прикладными системами;  поддержка работы с документно-ориентированными базами данных, что включает работу в режиме форума, электронных библиотек методических материалов;  поддержка систем защиты информации (разграничение доступа, парольная защита, возможность использования криптографических систем);  кроссплатформенность. Далее в рамках анализа функционала систем автоматизации документооборота был проведен сравнительный анализ рассмотренных программных продуктов, результат приведен в Приложении. Сравнительный анализ программных продуктов показал, что все рассмотренные программные решения соответствуют технологии внутриорганизационного документооборота, вместе с этим, не поддерживают специфику работы компании. В рамках данной работы в качестве альтернативного решения предполагается внедрение системы, у которой отсутствуют недостатки рассмотренных программных решений.

2.2. Обзор функционала сервиса «ДиаДок»

Совершенствование архитектуры системы документооборота в условиях исследуемой компании предлагается с использованием сервиса «ДиаДок». Сервис «ДиаДок» представляет собой систему, позволяющую работать с документами в дистанционном режиме. Отправляемые документы обладают юридической силой, так как в сервисе используются криптографические плагины, позволяющие работать с сертификатами квалифицированной электронной подписи, что приравнивает значимость документа к его бумажному варианту. В данной системе зарегистрировано свыше миллиона компаний, что позволяет обеспечивать возможности взаимодействия с ними внутри системы. Функциональные возможности сервиса включают [1]:  Наличие возможностей создания, отправки и получения документации в электронном формате, заверенной электронной подписью;  Совместимость с платформой 1С, что позволяет проводить выгрузку бухгалтерских документов и отчетов непосредственно в сервис документооборота;  Возможность интеграции с сервисами SAP, Oracle, MS Dynamics, API;  Наличие возможности управления учетными записями организации;  Возможность отправки формализованных отчётных документов в государственные органы;  Отсутствие необходимости в дублировании документов бумажными оригиналами;  Возможность внесения корректировок в отправленные документы;  Возможность управления архивом документов, просмотра их статуса;  Фильтрация по журналу документов;  Возможность доступа к системе из мобильного приложения;  Использование защищенных облачных хранилищ данных;  Возможность настройки маршрутизации документов;  Возможность автоматизации внутриорганизационного документооборота, мониторинга исполнения распорядительной документации;  Совместимость с наиболее распространенными системами автоматизации документооборота («Дело», «1С: Документооборот»). Программа функционирует в режиме Web-приложения и может запускаться в любом браузере. На рисунке 3 приведен режим создания исходящего документа. На рисунке 4 приведен режим управления внутренними документами. Рисунок 3 — Режим создания исходящего документа Рисунок 4 – Режим управления внутренними документами На рисунке 5 приведен режим поиска документов по заданным критериями выбора. Рисунок 5 — Режим поиска документов по заданным критериями выбора На рисунке 6 приведен режим фильтрации по журналу входящих документов. Рисунок 6 — Режим фильтрации по журналу входящих документов Защита информации в системе «ДиаДок» реализована на уровнях: — работа с криптографическими модулями, использование электронной подписи; — использование систем разграничения доступа пользователей. Авторизация возможна по сертификатам, посредством ввода логина и пароля, а также аппаратных аутентификаторов. Вход в систему возможен также через подтверждение посредством СМС; — автоматическая проверка отправлений на наличие вредоносного ПО; — использование защищенных облачных файловых хранилищ. Режим настройки справочника пользователей приведен на рисунке 7. Рисунок 7 – Режим настройки справочника пользователей Как показано на рисунке 7, в справочник вводятся данные о специалистах, работающих с системой, их подразделение. Доступ к режимам работы в системе настраивается как индивидуально для сотрудника, так и для подразделения целиком. На рисунке 8 приведен режим настройки безопасности учетной записи пользователя Рисунок 8 – Работа с настройками пользователя Как показано на рисунке 8, персональные настройки пользователя включают ввод пароля, адреса электронной почты и мобильного телефона для подтверждения входа в систему по СМС. По всем отправленным документам через данный сервис автоматически формируются протоколы, в которых приводятся данные о получении документов, реквизитах электронной подписи. Рисунок 9 – Протокол отправки документа В системе предусмотрена возможность регистрации сертификатов квалифицированной электронной подписи, которые будут использоваться при обмене документами для идентификации пользователя, простановки электронной подписи (рисунок 9). Для каждого зарегистрированного пользователя устанавливаются права доступа (рисунок 10). Для каждого из сертификатов установлены соответствующие полномочия. Для документов заданного типа возможно использование нескольких подписей (уровня специалиста и уровня руководителя), наличие которых является обязательным условием для отправки документа. Рисунок 10 – Регистрация сертификата электронной подписи Рисунок 11 – Использование нескольких подписей в документе Выводы по разделу Рассмотрев архитектуру систем автоматизации ЭДО, можно сделать выводы: — внедрение системы позволяет оптимизировать бизнес-процессы электронного документооборота; — система позволяет оптимизировать поиск по журналу документов, оперативно находить документы в соответствии с заданными пользователями реквизитами; — в системе реализованы требования защиты информации, связанные с разграничением доступа к основным режимам работы программы, использованию криптографических модулей.

ЗАКЛЮЧЕНИЕ

В рамках данной работы проведен анализ использования систем электронной подписи в технологиях ЭДО. Использование электронной подписи обеспечивает возможности придания электронным документам юридической силы, что делает системы ЭДО альтернативой традиционным системам документооборота. в зависимости от специфики документов, работа с которыми осуществляется в системах ЭДО, возможно использование электронной подписи различных видов – от простых до усиленных. В рамках данной работы рассмотрены законодательные, технологические аспекты работы с электронной подписью, возможности интеграции программных средств для работы с криптографическими системами в системы автоматизации работы с документами. Документооборот с использованием электронной подписи предполагает взаимодействие с удостоверяющими центрами, которые осуществляют выпуск криптографических сертификатов и управление ими. Современные программные системы обеспечивают возможности использования плагинов электронной подписи, что позволяет программные средства автоматизации работы с документами использовать в качестве систем электронного документооборота с возможностью совершения юридически значимых действий. В качестве примера систем автоматизации работы с криптографическими системами рассмотрены: Lotus Domino, в которой обеспечиваются возможности обмена документами в рамках осуществления служебной деятельности, осуществления групповых рассылок, создания корпоративных конференций, мониторинга сроков исполнения управленческих решений. Система «ДиаДок» также обеспечивает возможности автоматизации документооборота по полному жизненному циклу работы с документами. в системе также предусмотрены возможности работы с электронной подписью, установка которой производится через настройку соответствующих криптографических модулей. Также существуют возможности работы с электронной подписью непосредственно из MS Word (в версиях 2010 года и позднее). в данном случае используются сертификаты пользователя, установленные в системе.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Сервис электронного документооборота «ДиаДок». [Электронный ресурс]. Режим доступа: https://www.diadoc.ru/about (дата обращения: 16.10.2021) 2. Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. — Санкт-Петербург: СПбГАСУ, 2017. — 107 с. 3. Овчинникова Т. А. Ответственность за нарушение требований законодательства РФ о персональных данных: монография / Т. А. Овчинникова . — Хабаровск : Изд-во ТОГУ, 2018. – 81с. 4. Смычёк М.А. Информационная безопасность и защита информации: учебное / М.А. Смычёк. — Нижний Новгород: Нижегородский государственный технический университет, 2016. – 125с. 5. Такатлы Д. А. Защита персональных данных / Д. А. Такатлы. — Петропавловск-Камчатский: Дальневосточный филиал Федерального государственного бюджетного образовательного учреждения высшего образования «Всероссийская академия внешней торговли Министерства экономического развития Российской Федерации», 2016. — 92 с. 6. Васильев В. П. Автоматизация формирования отчетных данных: учебное пособие / В. П. Васильев. — Краснодар: КубГАУ, 2019. — 119 с. 7. Султанова Э.Р. Электронный документооборот в системе «Электронное правительство»: курс лекций/ Э.Р. Султанова. — Казань: Медицина, 2015. – 94с. 8. Завозкин С. Ю. Информационное обеспечение интеграции информационных систем на основе системы электронного документооборота : монография / С. Ю. Завозкин. — Кемерово: Кемеровский государственный университет, 2015. — 149 с. 9. Задорожнева Ю.В. Автоматизированные базы данных: учебно-методическое пособие / Задорожнева Юлия Владимировна. — Волгоград: Сфера, 2016. — 49 с. 10. Бобылева М. П. Управленческий документооборот: от бумажного к электронному: вопросы теории и практики / М.П. Бобылева. — Москва: Термика, 2016. — 359 с. 11. Зиновьева Н. Б. Электронный документ и электронная подпись в организации: учебно-методическое пособие / Н. Б. Зиновьева. — Краснодар: КГИК, 2019. — 123 с. 12. Талипов Н. Г., Катасёв А. С. Математическое и программное обеспечение для распределения заданий в автоматизированных системах электронного документооборота: монография / Н.Г. Талипов, А.С. Катасёв. — Казань: Школа, 2017. — 159 с. 13. Медведев М.А. Разработка информационных систем. Учебное пособие. — М.: Флинта, Изд-во Урал. ун-та, 2017. — 64 с. 14. Пьянкова Н.Г. Системы электронного документооборота: учебное пособие / Н.Г. Пьянкова. — Краснодар: Краснодарский ЦНТИ, 2017. — 102 с. 15. Анохина О. В. Юридическое делопроизводство [Электронный ресурс]: учебно-методическое пособие / О.В. Анохина. — Омск : Изд-во ОмГТУ, 2018. – 147с. 16. Польшакова Н.В., Коломейченко А.С., Яковлев А.С. Информационные системы в экономике: [учебник]. — Москва: Буки Веди, 2016. — 480 с. 17. Дрыгина Ю. А., Бабаян А. Р. Делопроизводство в управлении: учебное пособие / Ю. А. Дрыгина, А. Р. Бабаян. — Ростов-на-Дону: Изд-во ЮРИУ РАНХиГС, 2018. — 257 с. 18. Кузьмина, В.И. Делопроизводство: учебное пособие / И. В. Кузьмина. — Москва : Изд-во Московского гуманитарного университета, 2017. — 127 с. 19. Белобородова Н. А. Документирование управленческой деятельности на платформе 1С: учебное пособие / Н. А.Белобородова. — Ухта: УГТУ, 2016. — 51 с.