CC BY
20УДК 338
Е.А. Воронина
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРИ ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ
Статья посвящена проблемам защиты информации при электронном документообороте. Здесь определяется система шифрования данных, которая обеспечивает безопасность информации при передаче отчетов, а также освещается сам процесс обмена информацией между объектами. Рассмотрены основные угрозы, препятствующие информационной безопасности на предприятиях.
Ключевые слова: информационная безопасность, электронный документооборот, контролирующие органы, отчетность, предприятия, информация.
В современном обществе оперативность принятий решений и их дальнейшая реализация помогают предприятию в достижении поставленных стратегических и тактических целей, что, в свою очередь, является важнейшими фактором успешной работы предприятий.
При ускорении роста объемов информации, необходимой для обеспечения коммерческой деятельности, переход предприятий к электронному документообороту и электронной отчетности дает им ряд преимуществ. Одним из таких преимуществ является функционирование предприятия в едином информационном пространстве. Кроме того, обеспечивается электронный учет и хранение документов, что эффективнее, по сравнению с аналогичной формой отчетности на бумажных носителях. Согласно закону «Об информации, информатизации и защите информации» № 24-ФЗ от 20.02.95 документированная информация представляет собой информацию зафиксированную на материальном носителе с реквизитами, которая позволяет ее идентифицировать. «Бумажный документ» характеризует информацию, зафиксированную на бумажном носителе, который, в свою очередь, имеет определенные реквизиты, такие как дата, подпись. Принципиальным различием этих двух форм является привязка бумажного документа к материальному носителю, при уничтожении которого теряется и непосредственно документ.
Информационные системы и ресурсы относятся к основным защищаемым элементам во всех сферах жизнедеятельности современных предприятий. Как правило, наряду с развитием каких-либо процессов или технологий, также развиваются средства негативного воздействия на эти элементы, устранение последствий которых требует разноплановых исследований и разработок, программ организации конкретных работ в области создания средств, методов и методик обеспечения информационной безопасности. Для защиты информации от отрицательного влияния всевозможных внешних и внутренних факторов необходимо обратиться к наиболее распространенным способам хранения дубликатов архивных копий или размещения устройств сохранения данных в специальных защищенных помещениях, расположенных, как правило, в отдельных комнатах, зданиях, других районах или городах.
Что касается программных и программно-аппаратных средств защиты информации, то шифрование данных является самым популярным способом, которое в прошлом использовалось спецслужбами и оборонными предприятиями. В последние десятилетие многие коммерческие организации и частные лица активно используют средства шифрования для обеспечения конфиденциальности данных.
При рассмотрении программ электронной отчетности, по средствам которых осуществляется документооборот между предприятием и контролирующими органами, необходимо особое внимание уделять вопросам безопасности. Под информационной безопасностью понимает-
© Воронина Е.А., 2014.
Вестник магистратуры. 2014. № 6(33). Том III
ISSN 2223-4047
ся защищенность информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Система защиты информации - это рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке.
Компании-разработчики электронных программ отчетности обеспечивают защиту информации по средствам сертифицированных средств защиты, одной из которых является криптографическая система защиты информации. Эта система способствует решению задачи защиты содержимого конфиденциальных документов от несанкционированного доступа, задачи обеспечения проверки целостности и авторства электронного документа.
Суть криптографической защиты информации заключается в преобразовании информации, которая основанная на определенном алгоритме, который зависит от так называемого секретного ключа, обладающего свойством невозможности восстановления исходной информации по преобразованной, без знания действующего ключа, с трудоемкостью меньше заранее заданной. Существует два типа криптографических алгоритмов. Одним из них является классический, основанный на использовании закрытых, секретных ключей, другим новые алгоритмы с открытым ключом, в котором используется один открытый и один закрытый ключ. Кроме того шифрование информации может осуществлять и более простым способом, с использованием генератора псевдослучайных чисел. Суть этого способа заключается в генерации гаммы шифра с помощью генератора псевдослучайных чисел при определенном ключе и наложении полученной гаммы на открытые данные обратимым способом. Надежность шифрования с помощью генератора псевдослучайных чисел зависит как от характеристик генератора, причем в большей степени от алгоритма получения гаммы. Этот метод криптографической защиты реализуется достаточно легко и обеспечивает довольно высокую скорость шифрования.
Что же мы получаем при таком способе защиты информации? Во-первых, шифрование данных происходит в момент отправки отчета, что позволяет сохранять безопасность на всех этапах прохождения отчета. Во- вторых, вопрос авторства решается за счет применения системы электронной цифровой подписи, которая автоматически подписывает в системе все электронные документы. В-третьих, документ обладает юридической силой с момента подписания, за счет автоматического резервного копирования, как у отправителя, так и у получателя, т.е. сам факт существование документа не может никто оспорить, даже автор. В-четвертых, аутентификация между контролирующими органами и абонентами осуществляется за счет применения открытого ключа, которые автоматически предъявляются друг другу, в результате чего исключается возможность информационного обмена с анонимным лицом. Кроме того, нерушимость электронного документа обеспечивается за счет шифрования данных, что исключает возможность изменения символов в документе, после момента его подписания. В конечном итоге можно утверждать о том, что даже если кто-то сможет перехватить пакет документов, то он будет им абсолютно бесполезен, так как на расшифровку отчета потребуется не один месяц, а возможно не один год. К тому времени информация потеряет свою ценность. Кроме того в современных системах электронной отчетности, безопасность обеспечивается за счет шифрования данных на сертификат сервера, который длинной 2048 бит и является самой надежной степенью шифрования в криптографии.
При электронном документообороте следует учитывать нештатные ситуации при отправке отчетов, которые могут повлиять на информационную безопасность организаций. Такой ситуацией может служить сбой при приемке отчета у контролирующих органов. В данном случае становится актуальной не только проблема обеспечения информационной безопасности, но и подрыв сроков предоставления документов, которые влекут за собой дополнительные затраты для организации. Данный вопрос регламентируется приказами и методическими указаниями каждого контролирующего органа. В случае, когда нештатную ситуацию не удается разрешить в нормативные сроки предоставления электронных документов, контролирующие органы создают комиссию, в состав которой включаются представители организации, спецоператора, доверенного удостоверяющего центра и самого федерального органа, а также при необходимости, представителей разработчиков используемого программного обеспечения.
Необходимо также учитывать тот факт, что безопасность может осуществляться не только за счет специальных систем защиты. Каждый человек сам может обезопасить себя за счет тщательного соблюдения безопасности на своем рабочем месте, которые должны быть правильно сконфигурированы и защищены аппаратными средствами защиты информации от несанкционированного доступу, поскольку перед обработкой отчета ответственность за информацию несет только ее владелец. Все средства криптографической защиты информации должны быть проверены перед началом работы в рамках экспертиз и сертификаций на предмет правильного функционирования и отсутствия вредоносных составляющих. Необходим периодический контроль целостности средств криптографической защиты информации, антивирусный контроль и мониторинг среды окружения. Таким образом, необходим комплексный подход при построении систем электронного документооборота, включающий криптографические средства защиты информации, аппаратные средства защиты от несанкционированного доступа, средства антивирусного контроля и мониторинга среды, административные меры.
Говоря о безопасности, также необходимо отметить понятие угроз, которые на нее влияют. Угрозы носят локальный, удаленный характер, а также угрозы в рамках потока данных. При электронном документообороте чаще возникают угрозы, связанные с потоком данных, где реализуется активный обмен данными между двумя объектами по сети интернет. Атаке подвергается сегмент сети или узел, находящийся между двумя взаимодействующими компьютерами, по средствам внедрения в корпоративные сети или если потоки документов передаются по нескольким сетям, то находится в одной из этих сетей, а также изменение ключа для невозможности расшифровки сообщения получателем.
В рамках взаимодействия глобальных и корпоративных компьютерных сетей, актуальной и ключевой задачей является защита информации. Под защитой в реальном мире мы подразумеваем физическую защиту, в мире электронного обмена информацией особое внимание следует средствам защиты данных. Повсеместное и всеобщее использование глобальной сети интернет, а также усложнение методов и средств организации машинной обработки, приводит к тому, что информация становится все более уязвимой. Это можно объяснить такими факторами, как постоянно увеличивающиеся масштабы обрабатываемых данных, накопление и хранение данных в ограниченных местах, постоянное расширение круга пользователей, которые имеют доступ к ресурсам, программам и данным. В результате чего, уровень защиты аппаратных и программных средств компьютеров и коммуникационных систем становится недостаточным для обеспечения комплексной безопасности.
ВОРОНИНА Екатерина Александровна - магистрант.
