Электронный документооборот ФОИВ (Федеральных органов исполнительной власти). Некоторые аспекты обеспечения информационной безопасности СЭД (системы электронного документооборота)

Размещено на http://www.allbest.ru/

Электронный документооборот ФОИВ. Некоторые аспекты обеспечения информационной безопасности СЭД

Большинова Е.И.

Сегодня трудно представить, что каких-то 5-7 лет назад не было электронного документооборота в государственных организациях. Эффект от его внедрения граждане почувствовали сразу, в виде сокращения, а порой и полного исчезновения очередей за получением государственных услуг. В 2010 г. была принята государственная программа "Информационное общество (2011- 2020 годы)", предусматривающая, в частности, "обеспечение перевода в электронный вид государственной учетной деятельности, создание и развитие специальных информационных и информационно-технологических систем обеспечения деятельности органов государственной власти, в том числе защищенного сегмента сети Интернет и системы межведомственного электронного документооборота". [1]

Выполнение пунктов Федерального закона от 27 июля 2010 года №210-ФЗ, запрещающего органам, предоставляющим государственные и муниципальные услуги, требовать у граждан документы и информацию, которые уже и так есть в распоряжении госорганов (за исключением данных паспорта), было бы невозможно без систем межведомственного обмена электронными документами. [2]

"Концепция использования информационных технологий в деятельности федеральных органов государственной власти", принятая Распоряжением Правительства Российской Федерации от 20 октября 2010 г. N 1815-р, предусматривает внедрение систем электронного документооборота во всех федеральных органах государственной власти, в том числе и на межведомственном уровне, а также распространение более 70% всего объема документов в электронном виде. По ряду причин абсолютно все документы, циркулирующие в государственных ведомствах, не могут стать только электронными в обозримом будущем, но тенденции к созданию и хранению документов в электронном виде будут нарастать. [3]

Эти тенденции - часть глобальных трендов, одним из которых применительно к государству является открытое правительство, система механизмов и принципов, обеспечивающих эффективное взаимодействие власти и гражданского общества. В технологическом смысле Открытое правительство является синонимом электронного правительства, системы государственного управления, основанной на автоматизации всей совокупности управленческих процессов в масштабах страны. [4]. Для обеспечения доверия со стороны потребителей государственных услуг, юридических и физических лиц при организации защищенного документооборота и межведомственного обмена электронными документами необходимо использование средств защиты, которые будут многократно проверены надежными испытаниями, прошли многоуровневую сертификацию.

Можно перечислить около 50 законов, постановлений, приказов и различных положений, так или иначе касающиеся электронного документооборота и защиты информации. Основные положения в части обеспечения безопасности содержатся в следующих документах: Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с изменениями и дополнениями), Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (с изменениями и дополнениями), Федеральный Закон РФ от 20.02.1995 № 24-ФЗ "Об информации, информатизации и защите информации"; Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. (ПКЗ-99) (Утверждено Приказом ФАПСИ при Президенте РФ от 23.09.1999 № 158). Все эти документы регламентируют и определяют логику действий по внедрению и развитию защищенного электронного документооборота в органах власти.

Большая часть информации, циркулирующей в СЭД министерств и ведомств, имеет государственное значение. Поэтому к подобным системам автоматизации документооборота предъявляются существенно более высокие требования, чем к стандартным системам, широко использующимся в бизнес-секторе.

В таблицах 1 и 2 наглядно представлена разница в подходе к построению систем ЭД в госорганах по сравнению с типовой структурой. Специфика электронного документооборота в государственных органах обусловлена следующими факторами. Во-первых, в нашей стране 85 субъектов, соответственно, каждый ФОИВ имеет соответствующее количество территориальных управлений, с единой системой документооборота, во-вторых, если в коммерческом предприятии документы сопровождают выпуск продукции, то в госоргане продукцией является сам документ, будь то свидетельство о регистрации (результат предоставления госуслуги), Акт проверки (результат надзорно-контрольной деятельности) или ответ на обращение гражданина. И как упоминалось ранее, к ЭД госоргана предъявляются повышенные требования безопасности. Пока невозможно отказаться от бумажных документов, напротив, их поток все время возрастает.

Всеми вышеперечисленными факторами обусловлено наличие таких блоков в СЭД госорганов, как операции по контролю, протоколирование действий пользователя, поддержка коллективной работы и распределенного доступа, работа с бумажными документами - перевод в электронный вид, сертифицированные средства ЭП, надежные средства вывода документов в систему отправки по электронной почте. [5]

Табл. 1

Табл. 2

Модель угроз системам электронного документооборота типична для информационных баз данных с учетом сложности и разветвленности СЭД, наличия документов ограниченного доступа и необходимости межведомственного взаимодействия. Основными угрозами являются: утечка конфиденциальной информации; несанкционированный доступ к системам управления; подделка документов; подмена клиента; несанкционированный доступ к информации, представляющей государственную тайну; несанкционированный доступ к персональным данным сотрудников организации и заявителей; техногенные сбои, отказ оборудования, порча электронного документа, ошибки. [6]

При защите технологии обработки электронного документа необходимо обеспечивать защиту всех процедур на всех этапах работы компьютерной системы, а не только имеющих прямое отношение к обработке электронного документооборота, включая отчуждаемые носители информации и внешние сети. Деятельность госорганов связана с обработкой и накоплением большого количества ценной информации, для этих целей применяется Единая для органа информационная система, организованная в виде реляционной базы данных. СЭД интегрирован в нее. ЕИС и СЭД подключены к сети без доступа к Интернет, браузер используется для предоставления пользователю веб-интерфейса для доступа к данным. Обязательна антивирусная защита.

Используются COM-интерфейсы для: шифрования и формирования электронной цифровой подписи форм и документов; online-проверки статуса сертификатов (OCSP-ответы Службы актуальных статусов); работы со Службой штампов времени (TSP); взаимодействия с Удостоверяющим центром для первичной сертификации и последующего управления жизненным циклом сертификата. [7]

По статистике, собираемой разработчиками средств защиты информации, только около 20 % потерь важной информации или перехвата документов обусловлены действиями вредоносных программ или внешних нарушителей. Большая часть - около 45% связана с физическими причинами, различными программными сбоями, отказом или повреждением оборудования и т.п. Остальные 35 % связаны с действиями пользователей, ошибочными или злонамеренными. Поэтому при организации защиты СЭД особое внимание надо уделять лояльности пользователей. Конфиденциальность документа всегда нарушена по отношению к сотруднику, работающему с данным документом или массивом документов.

В распоряжении пользователя имеется масса легкодоступных средств, от флеш-носителей до встроенных в сотовый телефон фотокамер. Если пользователь злонамерен или халатен, утечку документов в принципе невозможно предотвратить через этого пользователя. Главным средством защиты в этом случае являются организационные меры по ограничению доступа к конфиденциальным документам, а также обучение и инструктаж пользователей. Каждый сотрудник должен четко знать степень своей ответственности, которую несет перед организацией и законом Российской Федерации. [8]

Поэтому помимо чисто технических мер обязательна работа с персоналом, принятие внутренних документов, регламентирующих использование ЭП, порядок работы с электронными документами, меры наказания за нарушения ИБ, наличие как администраторов СЭД, которые ведут базу пользователей и предоставляют им права на выполнение функций в системе (разрешительная роль согласно установленной процедуре), так и отдельно администраторов ИБ, имеющих специальное образование, которые отслеживают, расследуют и предотвращают инциденты ИБ. Защищенность СЭД в немалой степени характеризуется квалификацией персонала и его способностью к адекватным действиям в нештатной ситуации.

Разграничение доступа в этой схеме - комплексный аспект, также обеспечивается как техническими средствами, присущими конкретной системе ЭД, например, возможностью ограничить видимость документов, так и организационными, связанными с регламентирующими мерами.

В автоматическом режиме ведется фиксация действий пользователя в системе, даже администратор СЭД не может изменить запись о времени выполнения действия в системе. Это очень важно в особенности для государственных органов, т.к. сроки исполнения некоторых документов (например, обращений граждан) регламентируются не только приказом руководства, но и законом.

Есть документы, доступ к которым по закону должен быть дополнительно защищен и ограничен в том числе и для служащих государственной организации, в которой циркулируют данные. Это документы, содержащие: персональные данные сотрудников (кадровые документы, доверенности); персональные данные заявителей (обращения граждан); ДСП- документы; сведения, содержащие государственную тайну; финансовая информация.

Для их обработки органам государственной власти необходимо создать помимо открытого документооборота, еще и закрытый документооборот, что сложно и дорого. Когда это целесообразно, например, для работы с финансовой, кадровой, ДСП документацией, такой дополнительный, отдельный контур создается, в остальных случаях решение: создание карточки документа без прикрепления самого документа. Таким образом обеспечивается регистрация и учет без нарушения безопасности.

Для работы с такими документами в электронном виде отводятся отдельные ПК, усиленные сертифицированным программным межсетевым и персональным сетевым экраном с криптографическим ядром, обеспечивающим шифрование проходящего трафика и его инкапсуляцию в единый стандартный для любых сетевых устройств формат. Рабочие места, предназначенные для обработки такого рода информации, проходят аттестацию ФСТЭК (в части криптографических средств и систем).

Важным компонентом электронного правительства является построение надежного электронного взаимодействия. Для этого в рамках программы Информационное общество созданы СМЭВ (шлюз) и МЭДО. СМЭВ - федеральная система межведомственного электронного взаимодействия. Участниками СМЭВ являются федеральные органы исполнительной власти, государственные внебюджетных фонды, исполнительные органы государственной власти субъектов Российской Федерации, органы местного самоуправления, государственные и муниципальные учреждения, многофункциональные центры, другие организации, которые присоединились к системе. Целью создания СМЭВ является технологическое обеспечение информационного взаимодействия при предоставлении государственных и муниципальных услуг в электронной форме.

МЭДО - федеральная система межведомственного электронного документооборота, предназначенная для организации взаимодействия систем электронного документооборота (СЭД) участников межведомственного электронного документооборота. Участниками межведомственного электронного документооборота (участниками МЭДО) являются Администрация Президента РФ, Аппарат Правительства РФ, федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, а также иные государственные органы и государственные организации. [9]

Основными сложностями при эксплуатации СЭД государственных структур являются постоянное отставание правового и нормативного-методического регулирования работы с электронными документами от развития технологических средств; многообразие и разнотипность технических средств, применяемых для работы с ЭД в федеральных органах исполнительной власти; проблемы при взаимодействии между разными информационными системами; быстрое моральное устаревание технологий и носителей; циркулирование дубликатов документа в электронном и бумажном виде; не все получатели готовы принимать документ, подписанный ЭП; постоянно возрастающая сложность системы, зависимость от разработчика.

Нерешенной остается проблема хранения электронных документов, и сдача их в архив. В государственных органах есть документы постоянного или длительного срока хранения. Архивы не готовы принимать их в электронном виде, в настоящий момент у них нет ни мощностей, ни специального оборудования, ни обученного персонала, которые могли бы обеспечить сохранность и использование массивов электронных документов и электронных образов документов. В соответствии со специальными рекомендациями, утвержденными Приказом Росархива от 29.04.2011 № 32 в каждом государственном органе разработаны номенклатурные перечни тех документов, которые можно создавать, использовать и хранить только в электронном виде. [10].

Согласно рекомендациям, документы постоянного срока хранения должны иметь хотя бы один подлинник (оригинал) на бумажном носителе; документы временного срока хранения в большинстве своем могут быть электронными документами. Обеспечение их сохранности также находится в ряду не решенных задач. Все известные носители недолговечны, выходят из строя физически, а также требуют специальных программных и аппаратных средств воспроизведения, которые также сравнительно быстро устаревают.

В качестве решения обсуждается создание Центра хранения электронных документов (ЦХЭД), который мог бы выполнять функции государственного специализированного дата центра, обеспечивающего хранение массивов электронных федеральных архивов, принимать на хранение копии массивов документов, образовавшихся в архивах субъектов Федерации, обеспечивать не только сохранность, но и "единую точку доступа" к архивным документам через портал "Архивы России". Вопрос о создании ЦХЭД пока находится в стадии проработки и согласования со всеми заинтересованными ведомствами.

электронный документооборот информационный

Список литературы

1. Постановление Правительства РФ от 15 апреля 2014 г. N 313 "Об утверждении государственной программы Российской Федерации "Информационное общество (2011 - 2020 годы)" (с изменениями и дополнениями) // [Эл. ресурс] URL: www.consultant.ru, дата сохранения: 25.08.2014

2. Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (с изменениями и дополнениями) // "Российская газета" от 8 апреля 2011 г. N 75

3. Распоряжение Правительства Российской Федерации от 20 октября 2010 г. N 1815-р // [Эл. ресурс] URL: http://base.garant.ru/199708/

4. Электронный ресурс https://ru.wikipedia.org/wiki/Электронное_правительство, дата обращения 15ноября 2016 г.

5. Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. // Учеб. пособие. М.: ИД "Форум": Инфра-М, 2010. С. 592.

6. Булдакова Т.И., Глазунов Б.В., Ляпина Н.С. Оценка эффективности защиты систем электронного документооборота //Доклады ТУСУРа, № 1 (25), часть 2, июнь 2012

7. Биячуев Т.А. Безопасность корпоративных сетей. // Санкт-Петербургский государственный университет информационных технологий, механики и оптики, Учебное пособие под редакцией Л.Г. Осовецкого, 2004 г.

8. Самодуров А. Особенности защиты электронного документооборота // [Эл. ресурс] URL: http://www.cnews.ru/reviews/free/security2006/articles/e-docs/, дата обращения 05 ноября 2016

9. Система межведомственного электронного документооборота органов власти// http://www.eos.ru/eos_products/solution/gosudarstvennyy_sektor/medo/, дата обращения 09 ноября 2016 г.

10. Приказ Федерального Архивного агенства от 29 апреля 2011 года N 32Об "Об утверждении Рекомендаций по подготовке федеральными органами исполнительной власти перечней документов, создание, хранение и использование которых должно осуществляться в форме электронных документов" // [Эл. ресурс] URL: http://docs.cntd.ru/document/902277029, дата обращения 09 ноября 2016 г.

Размещено на Allbest.ru