Проблемы перехода к защищенному электронному документообороту

С.Л. Кузнецов, канд. ист. наук

Весь мир постепенно переходит на электронные безбумажные тех­нологии. И Россия, естественно, не может оказаться в стороне от этого процесса. Мы уже привыкли к электронным авиа- и железно­дорожным билетам, онлайн-платежам за коммунальные услуги, по­купке программного обеспечения, музыки и видео в интернет-мага­зинах. Соответственно, становится все меньше материальных, бумажных подтверждений той или иной операции. Мы приходим в аэропорт, имея при себе только документ, подтверждающий лич­ность, а наш билет - это просто запись в базе данных авиакомпа­нии. Мы больше не храним квитанции об оплате коммунальных услуг с отметкой кассового аппарата, подтверждающей факт платежа. Это удобно, но делает нас все более зависимыми от надежности функционирования информационных систем и сохранности инфор­мации в них.

C этого года корпорация «Майкрософт» прекратила вы­давать на бумаге лицензии на программное обеспечение. Теперь все, что у нас есть - это только письмо, при­шедшее по электронной почте, и код доступа к специальному разделу сайта для скачивания программных продуктов и кодов активации. Перейти полностью на онлайн-доступ к своим про­граммным продуктам уже летом 2013 г. планирует и другой крупнейший производитель программного обеспечения - ком­пания Adobe. Переход к безбумажным технологиям позволяет сократить затраты и повысить оперативность, удобство ис­пользования тех или иных сервисов.

Поэтому естественно, что в рамках решения задач повы­шения эффективности работы управленческого аппарата сегод­ня на первый план выходит задача повсеместного внедрения электронного документооборота, как внутри организаций всех форм собственности, так и на межведомственном уровне.

Нормативно-правовые акты по электронному документообороту

О переходе к электронному документообороту говорится уже давно. Эти вопросы были заложены еще в Федеральной целевой программе «Электронная Россия» (2002-2010 гг.), утвержденной в январе 2002 года[1]. Потом появились такие документы, как «Кон­цепция формирования в Российской Федерации электронного правительства до 2010 года», утвержденная распоряжением Пра­вительства РФ от 06.05.2008 № 632-р (в ред. от 10.03.2009), «Стра­тегия развития информационного общества в Российской Феде­рации» (утв. Президентом РФ от 07.02.2008 № Пр-212), Государственная программа «Информационное общество (2011­2020 гг.)»[2]. В практической плоскости переход к электронному документообороту начал реализовываться с момента создания системы межведомственного электронного документооборота (МЭДО)[3] и появления распоряжения Правительства РФ от 12.02.2011 № 176-р «Об утверждении плана мероприятий по пере­ходу федеральных органов исполнительной власти на безбумажный документооборот при организации внутренней деятельности».

Постановлением Правительства РФ от 06.09.2012 № 890 «О мерах по совершенствованию электронного документообо­рота в органах государственной власти» предусмотрен переход на обмен электронными документами при взаимодействии федеральных органов исполнительной власти (ФОИВ) между собой и с Правительством Российской Федерации.

В соответствии с этими и другими нормативно-правовыми актами сегодня федеральные органы исполнительной власти активно решают вопросы внедрения, модернизации ведомствен­ных СЭД и организации их взаимодействия между собой. При этом обмен документами может идти несколькими способами.

1. Пересылка документов по защищенной системе межве­домственного электронного документооборота (МЭДО). Для передачи используются специальные выделенные каналы связи, специальные программно-аппаратные комплексы (ПАК).

2. Обмен документами по открытым каналам связи путем выгрузки документа и регистрационных данных из ведомствен­ной СЭД и пересылки их в виде сообщения обычной электрон­ной почты в другую организацию, где поступивший документ загружается в свою СЭД.

3. Отправка отсканированного образа документа по элек­тронной почте. Самый распространенный на сегодня способ оперативного обмена документами, во многом заменивший передачу факсимильных сообщений. Так как в этом случае фактически передается копия документа, не имеющая юриди­ческой силы, то чаще всего этот вариант используется для переписки или оперативной передачи документов, оригиналы которых в дальнейшем отправляются обычной почтой.

Требования к защите электронных документов

При организации электронного документооборота и особенно межведомственного электронного документооборота очень важным является правильная оценка уровня защиты, необхо­димого для той или иной категории документов. Понятно, что когда мы говорим о финансовых документах, передаваемых в системах типа «клиент-банк», то тут требуется максимальная защищенность, использование усиленной квалифицированной цифровой подписи в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ (ред. от 05.04.2013). Когда мы говорим о документах, которые содержат сведения, составляющие госу­дарственную тайну, то такие документы, естественно, вообще не поступают в системы электронного документооборота. А вот когда мы говорим об обычных документах, которые составля­ют основную часть документооборота в большинстве органи­заций, то тут, по мнению автора, важно правильно оценить необходимость специальных требований к защите документов.

Если посмотреть на документы, поступающие и отправля­емые большинством организаций, то это переписка по вопросам текущей деятельности, запрос и передача сведений о текущей деятельности, приглашения на совещания, информационные рассылки решений вышестоящих органов, проекты документов, направляемые на согласование, и т. п. Если говорить о государ­ственных органах, то в рамках концепции открытого общества они сегодня должны публиковать в сети Интернет детальную информацию о своей деятельности, проекты готовящихся нор­мативно-правовых актов*.

Надо понимать, что в любом случае перехват сообщений электронной почты, передаваемых между почтовыми сервера­ми двух организаций, в принципе возможен, но требует значи­тельных усилий, в т. ч. и материальных затрат, которые несо­поставимо выше, чем выгоды, которые может получить злоумышленник от перехвата, например, заявки подведомствен­ной организации на закупку офисной мебели. Поэтому в боль­шинстве случаев риск перехвата и тем более подмены сообще­ния пренебрежимо мал.

Другое дело, когда мы говорим о работе с документами, содержащими информацию «для служебного пользования». Как только мы начинаем работать с документами такого рода, рас­ходы на организацию электронного документооборота растут в десятки, если не в сотни раз.

В этом случае необходимо обеспечить несколько уровней защиты системы:

1. Защита персонального компьютера (компьютеров), на которых хранится и обрабатывается информация ограничен­ного доступа.

2. Защита локальной вычислительной сети организации (ЛВС).

3. Защита каналов передачи данных и документов.

Соответственно, каждый компьютер оснащается программ­но-аппаратными средствами, обеспечивающими шифрование хранящейся на жестком диске компьютера информации и кон­троль доступа. Иными словами, пользователь для доступа к компьютеру должен не только знать свой пароль, но и вставлять в компьютер аппаратный ключ, без которого загрузка компьютера невозможна. При неправильном вводе пароля компьютер блокируется.

Нужно обеспечить и строгий контроль за добавлением новых пользователей в систему. Это может делать только вы­деленный системный администратор. Все сведения о назначении пользователей, предоставлении доступа к сетевым ресурсам протоколируются системой.

Хранение каких-либо документов на персональных ком­пьютерах не допускается. Все документы хранятся только на серверах на жестких дисках с шифрованием.

Теоретически утечка конфиденциальной информации воз­можна путем установки в ПК закладок, перехвата побочных электромагнитных излучений и наводок, возникающих при работе ПК. Однако такой перехват информации также требует значительных затрат, поэтому следует адекватно оценивать, насколько содержащаяся в ПК информация может представлять интерес для третьих лиц.

Альтернативой может служить создание отдельной закры­той локальной сети (закрытого контура), не имеющего сопря­жения с открытой сетью организации. Зачастую этот вариант обходится дешевле, чем комплексное использование сертифи­цированных средств защиты, сертификация и поддержание в сертифицированном состоянии всей локальной сети организа­ции.

Обеспечение бесперебойной работы СЭД

В то же время остается ряд задач в области информационной безопасности СЭД, которые должны в обязательном порядке решаться в любой организации. Когда мы переходим к электрон­ному документообороту, любой сбой, даже кратковременная недоступность системы, - это паралич в работе организации, так как при внедрении СЭД практически вся работа сотрудни­ков с документами происходит именно в рамках СЭД.

Основные направления обеспечения бесперебойной рабо­ты СЭД:

1. Антивирусная защита почтового сервера, всех серве­ров и персональных компьютеров организации.

2. Защита локальной сети от несанкционированного до­ступа из Интернета - использование межсетевых экранов.

3. Резервное копирование системных папок с докумен­тами пользователей и БД СЭД.

4. Использование средств криптографической защиты.

При этом надо понимать, что переход к новым технологи­ям не может быть точным копированием в электронной форме традиционного бумажного делопроизводства, только в электрон­ной форме. Получая традиционный документ на бумаге, мы не проводим каждый раз графологическую экспертизу, чтобы убедиться, что документ подлинный и подписало его именно указанное в качестве автора лицо. При необходимости мы можем связаться с организацией, отправившей документ, и получить подтверждение его подлинности.

Поэтому хотелось бы обратить внимание руководителей служб ДОУ, решающих вопросы организации электронного документооборота, на один момент: нужно четко определять риски, насколько вероятны угрозы для документов, насколько они требуют защиты. Правильное определение требуемого уровня защиты позволит обеспечить оперативность и удобство работы с документами не только для сотрудников службы ДОУ, но и для всех сотрудников организации. Кроме того, правиль­ный выбор уровня необходимой защищенности системы по­зволяет минимизировать расходы на информационную безопас­ность, которые сегодня составляют существенную часть IT-бюджета не только в государственных, но и во многих круп­ных и средних коммерческих организациях.

[1] Постановление Правительства РФ от 28.01.2002 № 65 «О федеральной целевой программе "Электронная Россия (2002-2010 гг.)"» (с изм. 2004-2010 гг.).

[2] Распоряжение Правительства РФ от 20.10.2010 № 1815-р (ред. от 27.12.2012)

«О государственной программе Российской Федерации «Информационное общество (2011-2020 гг.)».

[3] Постановление Правительства РФ от 22.09.2009.№ 754 «Об утверждении По-
ложения о системе межведомственного электронного документооборота» (ред.
от 06.04.2013).

Источник: Журнал "Современные технологии делопроизводства и документооборота"