подписью, равнозначными документам на бумажных носителях, подписанных собственноручной подписью, должны предусматривать, в частности:
правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
Спростой электронной подписи, соблюдать его конфиденциальность.
обязанность лица, создающего и (или) использующего ключ
В свою очередь усиленная неквалифицированная и усиленная
подписи тронный документбАпосле момента его подписания;
квалиф ц рованная электронные подписи получаются в результате криптограф ческого преобразования информации с использованием
ключа электронной |
: |
|
|
позволяют определить лицо, подписавшее электронный до- |
|
кумент; |
|
|
|
позволяют |
о наружить факт внесения изменений в элек- |
создаются с спользованием средств электронной подписи.
Квалифицированная электронная подпись наравне с вышеуказанными признаками должна соответствовать следующим дополнительным признакам:
ключ проверки электронной подписи указан в квалифицированном сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответ-
ствия требованиям, установленным в соответствии с законом об электронной подписи. Д
При этом основное отличие квалифицированногоИсертификата ключа проверки электронной подписи заключается в том, что он должен быть выдан аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра.
Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
71
Протоколирование действий пользователей – немаловажный пункт в защите электронного документооборота. Его правильная реализация в системе позволит отследить все неправомерные действия и найти виновника, а при оперативном вмешательстве даже пресечь попытку неправомерных или наносящих вред действий. Такая возможность обязательно должна присутствовать в самой СЭД. Кроме того, дополнительно можно воспользоваться решениями сторонних разработчиков партнеров, чьи продукты интегрированы с СЭД. Также не стоит забывать о возможностях операционных систем по протоколированию действ й пользователей и решениях сторонних разработчи-
ков в этой области. |
|
С |
те электронного документооборота должен быть |
Подход к |
|
комплексным. Защ та СЭД не сводится только лишь к защите доку- |
|
ментов разгран чен ю доступа к ним. Остаются вопросы защиты |
|
аппаратных средств с стемы, персональных компьютеров, принтеров |
|
и проч х устройств; |
сетевой среды, в которой функционирует |
защиты |
|
система, защ та каналов передачи данных и сетевого оборудования, |
|
возможно выделен е СЭД в осо ый сегмент сети. Комплекс органи- |
|
зационных мер играет роль на каждом уровне защиты. |
|
бА |
|
В составе средств защиты информации при использовании |
|
большинства российских СЭД применяется специализированное про- |
|
граммное обеспечение КриптоПроД, которое обеспечивает криптографическую защиту информации. КриптоПро работает с сертификатами электронной подписи, обеспечивает шифрование и подпись информации. Без КриптоПро на компьютере невозможно будет установить сертификат электронной подписи и в дальнейшем с ним работать.
КриптоПро – набор криптографических утилит (вспомогательных программ) – так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации электронной подписи (ЭП), работы с сертификатами, организации структуры PKI (Public Key Infrastructure – инфраструктура открытых
ключей) и т.д. |
И |
|
72
Воснове PKI лежит использование криптографической системы
соткрытым ключом и несколько основных принципов:
1. |
Закрытый ключ (private key) известен только его владельцу. |
|
2. |
Удостоверяющий центр создает электронный документ– |
|
сертификат открытого ключа, таким образом, удостоверяя факт того, |
||
С |
|
|
что закрытый (секретный) ключ известен эксклюзивно владельцу это- |
||
го сертификата, открытый ключ (public key) свободно передается в |
||
сертиф кате. |
|
|
3. |
Н кто не доверяет друг другу, но все доверяют удостове- |
|
достоверяющий |
||
ряющему центру. |
|
|
4. |
У |
центр подтверждает или опровергает при- |
надлежность открытого ключа заданному лицу, которое владеет соответствующ м закрытым ключом.
обеспечениябАконфиденциальности и контроля целостности информации посредством ее шифрованияДи имитозащиты, в соответствии с ГОСТ 28147–89;
обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
контроля целостности системного и прикладного программного обеспечения, для его защиты от несанкционированныхИизменений и нарушений правильности функционирования;
управления ключевыми элементами системы в соответствии
срегламентом средств защиты.
алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11–94 / ГОСТ Р 34.11–2012 «Информационная технология. Криптографическая защита информации. Функция хэширования»;
алгоритмы формирования и проверки электронной подписи реализованы в соответствии с требованиями ГОСТ Р 34.10–2001 / ГОСТ Р 34.10–2012 «Информационная технология. Криптографиче-
73
ская защита информации. Процессы формирования и проверки электронной цифровой подписи».
алгоритм зашифрования/расшифрования данных и вычисле- |
||
ние имитовставки реализованы в соответствии с требованиями ГОСТ |
||
28147–89 «Системы обработки информации. Защита криптографиче- |
||
С |
|
|
ская». |
|
|
При генерац закрытых и открытых ключей обеспечена воз- |
||
можность генерац |
с различными параметрами |
в соответствии |
вии |
|
|
ГО Т Р 34.10–2001 / ГОСТ Р 34.10–2012. |
|
|
При выработке значения хэш-функции и шифровании обеспече- |
||
на возможность спользования различных узлов замены в соответст- |
||
с ГО Т Р 34.11–94 |
ГОСТ 28147–89. |
|
бА |
|
|
Задан е 15 |
|
|
СЭД «Контур.Д адок» |
|
|
Система электронного документооборота |
(ЭДО) «Кон- |
|
тур.Диадок» позволяет организациям осуществлять юридически значимый документоо орот в электронной форме. Разработана компанией «СКБ Контур» – одним из крупнейших разработчиков программного обеспечения в России. ПозволяетСЭДорганизациям обмениваться любыми внешними и внутренними документами (договоры, акты и т.д.), подписанными электронной подписью, со своими клиентами, поставщиками, партнерами, удаленными подразделениями. Диадок обеспечивает полный набор возможностей, необходимых для полно-
2.Выполните установку и настройку программыИКриптоПро и учебного сертификата электронной подписи.
3.Выполните задания кейса, предоставленного учебным центром компании «СКБ Контур».
4.В малых группах по 2 человека выполните обмен документами, созданными ранее в задании 8.ценной
74
Задание 16
Документооборот с контролирующими органами с помощью СЭД «Контур.Экстерн»
«Контур-Экстерн» – это система защищенного документообо-
рота, позволяющая организациям и предпринимателям осуществлять обмен юридически значимыми электронными документами с контролирующими органами, принимающими отчетность по интернету.
Снтернету в заш фрованном и подписанном электронной цифровой в де, что гарантирует полную конфиденциальность и защищенность нформации, а также юридическую значимость элек-
Пользователи стемы могут представлять налоговые декларации и
бухгалтерскую отчетность в электронном виде, не покидая своего рабочего места. Документы передаются от бухгалтера до инспектора по
тронного документоо орота.
1. |
Установ те настройте необходимые компоненты для рабо- |
|
ты с СЭД «Контур.Д адок» в рамках учебного занятия. |
||
подписью |
|
|
2. |
Выполн те задания кейса, предоставленного учебным цен- |
|
тром компани «СКБ Контур» по организации обменом документами |
||
с ФНС и ПФР. |
|
|
Задание 17 |
|
|
1. |
Выполните категорирование СЭД, используемой в организа- |
|
ции (по варианту) по требованиям информационной безопасности. |
||
2. |
Определите требования по обеспечению информационной |
|
|
бА |
|
безопасности для СЭД. |
|
|
3. |
Выполните выбор мер и средств защиты. Обоснуйте выбор. |
|
|
|
Д |
|
|
И |
75