Размещено на http://www.allbest.ru/

Уфимский государственный авиационный технический университет

Обзор теоретических концепций защиты системы электронного документооборота (СЭД) на основе применения технологий распределенного реестра

Крячко Алёна Анатольевна

Аннотация

Данная статья посвящена обзору теоретических концепций организации защиты системы электронного документооборота на основе применения технологий распределенного реестра. Проблема эффективного управления средствами защиты системы электронного документооборота посредством применения технологий распределенного реестра с учетом актуальных особенностей развития российской цифровой экономики представляется важнейшей научно-прикладной задачей для современных ученых и практиков информационного менеджмента. В данной работе рассмотрены основные элементы понятия электронного документооборота, основы его правового регулирования, а также аспекты применения технологий распределенного реестра.

Ключевые слова: система электронного документооборота, технологии распределенного реестра, блокчейн, защита информации, информационная система, транзакция.

Annotation

This article is devoted to the review theoretical concepts of organization protection of the electronic document management system based on the use of distributed ledger technologies. The problem of effective management of the means protection of the electronic document management system with distributed registry technologies, taking into account the actual features of the development of the Russian digital economy, is an important scientific and applied task for modern scientists and information management practitioners. In this entry, the main elements of the concept electronic document management, the basis of its legal regulation, as well as aspects of the application of distributed registry technologies are considered.

Keywords: electronic document management system, distributed ledger technology, blockchain, information protection, information system, transaction.

В настоящее время интенсивно развиваются и используются системы электронного документооборота (далее - СЭД), поскольку постоянно увеличивается объем электронных документов. Многие организации, предприятия используют методы безбумажной обработки и обмена документами. Организация защиты системы электронного документооборота на основе применения технологий распределенного реестра обусловлена высокой степенью ее важности, востребованности для решения конкретных проблем информационного развития российского общества. Цель исследования - обосновать актуальность применения технологий распределенного реестра для последующей разработки рекомендаций по организации защиты СЭД. Теоретико-методологические основы и методы исследования: базовые положения теории систем, основы диалектического метода познания, анализа и синтеза, основы прогнозирования, труды ведущих отечественных ученых по исследуемой проблематике. Терминологический аппарат исследования обусловлен понятийным аппаратом системы менеджмента информационной безопасности и дефинициями действующего законодательства в сфере обеспечения информационной безопасности электронного документооборота.

Основными задачами в системах электронного документооборота являются:

ѕ гарантирование подлинности документов;

ѕ защита документов от искажений и подделки;

ѕ определение автора документа;

ѕ защита от несанкционированного доступа.

От качества функционирования документооборота, работы с информационным ресурсом во многом зависит эффективность деятельности организации.

Электронным документом в соответствующем Федеральном законе определен документ, информация в котором представлена в электронно-цифровой форме, т.е. в виде, подходящем для восприятия человеком при использовании ЭВМ.

СЭД имеет общую технологическую структуру электронного документа в виде совокупности файлов различного типа (составных элементов документа), определяющих структуру, регистрационную (маршрутную) карточку, механизмы хранения и операций над документом (рисунок 1).

Рисунок 1. Общие базовые компоненты СЭД

Основные пользователи СЭД -- это банки, государственные организации, промышленные предприятия и другие структуры, чья деятельность связана с внушительным объёмом формируемых, обрабатываемых, хранимых документов. На рисунке 2 представлена схема функционирования СЭД в организации.

защита электронный документооборот реестр

Рисунок 2. Общая схема функционирования СЭД в организации

Значит, первым элементом понятия СЭД стоит указать легитимное понятие электронного документа и совокупность его отличительных свойств и характерных признаков согласно Федеральному закону 27.06.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Вторым элементом является сложный комплекс мероприятий его функционирования, обусловленный объективными потребностями, техническими и кадровыми возможностями организации [1].

Третьим элементом сущности СЭД представляется главная задача этой системы в управлении жизненным циклом документа со стадии его создания до списания в архив (в управлении движением документов на основных этапах его жизненного цикла) [2].

И четвертый элемент - это объемная классификация современных СЭД с учетом множества критериев их создания, целевых функций.

В рамках анализа основ правового регулирования защиты СЭД исходным элементом представляются базовые конструкции обеспечения безопасности (защиты) информации.

Владелец информационного ресурса (актива) анализирует возможные угрозы, в результате чего устанавливаются риски, присущие актуальной среде актива. Мероприятия анализа способствуют выбору контрмер для противодействия угрозам и минимизации рисков до приемлемого уровня[4].

Контрмеры предпринимаются для уменьшения уязвимостей и исполнения политики безопасности владельцев активов (прямо или косвенно распределяя между этими составляющими). Но и после введения таких контрмер сохраняются остаточные уязвимости, которые могут быть использованы нарушителями, представляя уровень остаточного риска для активов. В данной связи владельцы активов стремятся минимизировать такой риск посредством установления дополнительных ограничений (рисунок 3).

Рисунок 3. Понятия безопасности и их взаимосвязь

Регламентированный перечень основных мероприятий защиты информации, в том числе в составе СЭД, обозначен в ст. 16 Федерального закона «Об информации…», который отражает обязательность комплексного характера защиты информации и включает 6 основных элементов[5]:

ѕ установление правовых, организационных и технических мероприятий защиты информации (далее - ЗИ);

ѕ установление общего правила сферы государственного регулирования отношений;

ѕ--установление мероприятий противодействия нарушениям в сфере ЗИ при неправомерном доступе и обеспечение человеческих прав на доступную информацию;

ѕ установление перечня обязанностей обладателя информации (оператора информационной системы, исполняемых согласно закону, по обеспечению предотвращения несанкционированных доступов (далее - НСД) к информации, своевременного обнаружения факта НСД относительно информации, предупреждения возможного неблагоприятного последствия нарушения установленных правил доступа относительно информации, недопущения воздействий на техническое средство обработки информации, которое нарушает его функционирование, возможности восстановления сведений, модифицированных или уничтоженных в результате НСД, постоянного контроля в части обеспечения уровня ЗИ[2];

ѕ определение полномочия Федеральной службы технического и экспортного контроля России на установление требований о ЗИ;

ѕ установление общего правила на ограничение по средствам и отдельным видам ЗИ только в федеральном законе.

Итак, в ходе проведенного исследования выделено 4 аспекта правового регулирования СЭД.

Первым аспектом представляется сложный комплексный характер российской дефиниции ЗИ, включающей согласно ст. 16 ФЗ№149 исчерпывающий перечень шести основных элементов.

Второй аспект правового регулирования СЭД заключается в российской правовой доктрине соотношения мероприятий ЗИ с мероприятиями по обеспечению информационной безопасности (далее - ИБ).

Третьим аспектом представляется строгое соблюдение режима секретности, использования в СЭД несекретных данных и недопущения оборота сведений, включающих государственную тайну в обычных системах электронного документооборота.

Заключительным аспектом правового регулирования СЭД стоит указать специальную регламентацию ФСБ России порядка разработки, распространения и применения шифровальных средств (СКЗИ), используемых в СЭД при создании электронной подписи.

Что касается общих аспектов применения технологий распределенного реестра (distributed ledger technology, DLT; блокчейн), то стоит отметить, что изначально термин «блокчейн» определял полностью реплицированную распределённую базу данных, реализованную системой «Биткойн», которая стала первым приложением технологии блокчейна с октября 2008 года. Поэтому блокчейн зачастую относят к транзакциям различных криптовалют, но технология цепочек DLT может распространяться на любое множество взаимосвязанных информационных блоков (рисунок 4).

Рисунок 4. Общая схема технологии DLT, блокчейн

Несмотря на малый опыт практического применения технологий распределенного реестра, наблюдается их активное продвижение в различных сферах развития:

1. Чилийским агентством в сфере энергетики (Comisiуn Nacional de Energнa de Chile, CNE) объявлено о внедрении технологии блокчейн в энергосистему страны в целях аутентификации (проверки подлинности) сведений: о предельных затратах, о рыночных ценах, о ценах на топливо и о соблюдении требований к возобновляемой энергии с общей задачей повышения безопасности информации (путем использования блокчейн как инструмента цифрового нотариата с верифицированной информацией, которая не может изменяться или модифицироваться без согласования с владельцем).

2. Австралийское правительство поддерживает блокчейн в сфере инновации и производительности.

3. Франция предоставляет возможность торговать ценными некотируемыми бумагами посредством блокчейн платформ.

4. В Москве внедряют блокчейн в мероприятия проекта «Активный гражданин».

То есть, первый аспект применения технологий DLT обусловлен множеством реальных и потенциальных отраслей использования блокчейн, которое зависит от возможностей конкретной реплицированной распределённой базы данных.

Сущность такого явления, как блокчейн наиболее точно выразил Дж. Кэмпбелл, который сравнил блокчейн с бисерным ожерельем. Каждая бусинка является блоком информации, записью действия. Здесь не важно, что именно было совершено, а важна доказанность совершения действия. Подобное ожерелье, цепочка или «чейн» - не может быть повреждено или уничтожено без изменения всей цепочки элементов. Поэтому, блокчейн по своей сущности является нерушимой цифровой записью действий.

Значит, вторым аспектом применения технологий блокчейн является отсутствие общего определения DLT, основная сущность которого заключается в обеспечении неразрывности цифровых записей о конкретной цепочке действий (цифровых данных).

Эксперты OliverWiman отметили, что технология DLT представляется совокупностью инновационных решений сферы управления (организации, хранения) данными, суть которых заключается:

ѕ в формировании общей точки доступа каждому участнику системы блокчейн к обширному объему информации, значительно превышающему объем любой другой системы;

ѕ в создании возможности разработки новых отраслевых процессов на основе применения актуальных прозрачных данных, мгновенного проведения транзакций и автопродления информационных смарт-контрактов с установленными в реестре логическими условиями;

ѕ в разработке технологий, использующих любую транзакцию блокчейн, как информацию, которая может впоследствии проверяться любым независимым участником, собираться в блоки и встраиваться в глобальную систему транзакций.

То есть, третий аспект заключается в использовании технологии блокчейн в качестве объемной децентрализованной базы данных, позволяющей производить любую транзакцию-действие анонимно, мгновенно и без посредников.

При этом основные характерные элементы блокчейн определяются:

1) распределением блокчейн в цифровой форме по внушительному множеству компьютеров в режиме реального времени на основе его децентрализации и доступности копий всех записи для каждого пользователя и участника одноранговой сети, что избавляет от необходимости содержать централизованные органы и посредников (банки, продавцы, брокеры, юристы и пр.);

2) достижение консенсуса в блокчейн проводится с использованием множества участников сети, которые задействуют свои компьютеры для аутентификации и проверки каждого нового блока (например, чтобы исключить прохождение какой-либо одной транзакции несколько раз): новый блок принимается сетью лишь после получения согласия большинства ее участников о его допустимости;

3) в блокчейн используется криптография ЭП для идентификации личности (транзакция прослеживается вплоть до одобрения криптографических идентификационных сведений, которые теоретически анонимны, но могут прикрепляться к реальным данным после необходимого инженерного анализа);

4) в DLT есть инструменты, благодаря которым весьма сложно изменить хронологические сведения: даже при том, что в блокчейн позволяется считывать всю информацию и добавлять новую, те данные, которые уже внесены, теоретически не поддаются корректировке, кроме случая, когда встроенный в протокол порядок позволяют внести изменения (например, если больше 50% участников DLT договорятся по этому изменению);

5) транзакция, основанная на блокчейн, включает добавление метки времени, что помогает отслеживанию и проверке информации.

Значит, следующим аспектом применения технологий блокчейн следует отметить пять основных отличительных элементов DLT, отражающих сущность блокчейн в нерушимой связи цифровых записей действий - транзакций.

С учетом актуальной важности блокчейн стоит добавить, что в международной системе стандартизации создан специальный комитет (ИСО/ТК 307 "Блокчейн и распределенной технологии"), основные задачи которого включают разработку 7 стандартов ИСО [7]:

ѕ стандарт ISO/22739 «Блокчейн и распределенные технологии. Термины и понятия»;

ѕ стандарт ИСО/ТР НП 23244 «Блокчейн и распределенные технологии. Сфера защиты личной информации»;

ѕ стандарт ИСО/ТР НП 23245 «Блокчейн и распределенные технологии. Угрозы безопасности и уязвимости»;

ѕ стандарт ИСО/ТР НП 23246 «Блокчейн и распределенные технологии. Практика использования»;

ѕ стандарт ISO/23257 «Блокчейн и распределенные технологии. Эталонная архитектура»;

ѕ стандарт ISO/ТС 23258 «Блокчейн и распределенные технологии. Таксономия и онтология»;

ѕ стандарт ISO/ТС 23259 «Блокчейн и распределенные технологии. Юридически обязывающие умные контракты».

Следовательно, пятый аспект обусловлен потенциальным развитием сферы технического регулирования по семи направлениям разработки международных стандартов в сфере блокчейн(терминология, защита личной информации, угрозы безопасности, практика использования, эталонная архитектура, онтология, умные контракты).

При этом на российском портале «госзакупок» по состоянию на начало марта 2018 года уже проведено 5 сделок и заключены соответствующие контракты в сфере создания и внедрения технологий блокчейн:

1) относительно закупки консультационных услуг автономная некоммерческая организация дополнительного профессионального образования «Корпоративный университет Сбербанка» в форме проведения семинаров на тему: «Технология блокчейн» (закупка № 31806150557);

2) по выполнению работ в рамках пилотного проекта внедрения технологии блокчейн (закупка № 31705893562);

3) на проведение научно исследовательских и опытно-конструкторских работ (НИОКР) по теме «Использование технологии блокчейн в области реализации приёмки обязательного экземпляра научно-технической информации на хранение в архив» с последующими мероприятиями экспериментальной реализации процессов архивации с применением технологии блокчейн (закупка № 0111200000917000753);

4) по разработке программного обеспечения «Распределенная доверительная платформа» на базе блокчейн-системы HYPERLEDGER (закупка №31705270084);

5) относительно приобретения у ИП Пименова В. А. консультационных услуг в рамках проекта "Учет ипотечных закладных на основе технологии Блокчейн" (закупка №31604583282).

Заключительным аспектом применения технологий блокчейн является начало реального развития DLT в публичной сфере отношений.

Таким образом, актуальность применения технологий распределенного реестра для организации защиты СЭД обусловлена следующим:

Во-первых, положениями Декларации ООН о построении информационного общества в третьем тысячелетии, нормами Конституции РФ, где подтверждается указанный всемирный принцип информационного развития, гарантирующей в статье 29 право каждого на свободный поиск, получение, передачу, производство и распространение информации любым правомерным способом [3].

Во-вторых, основными задачами формирования информационного пространства взаимодействия государства с обществом включающие: обеспечение условий качественного развития средств электронного документооборота хозяйствующих субъектов, поддержка проектов внедрения СЭД с созданием условий роста доверия к электронному документу и т.д. В этой связи одним из основных мероприятий Госпрограммы «Информационное общество (2011 - 2020 годы)» установлено повышение эффективности средств взаимодействия на базе электронного документооборота с переходом на безбумажное взаимодействие органов власти.

В-третьих, в национальной программе цифровизации российской экономики одной из основных целей обозначена реализация в полном объеме к 2023 году необходимых элементов инфраструктуры, доверия к электронной подписи. При том установлены основные задачи союзной политики в области информационной защиты СЭД: внедрения в 2020 году нового инструмента информационного взаимодействия заинтересованных сторон внутри ЕАЭС, функционирующего на основе технологии распределенного реестра (блокчейн), который должен обеспечить поддержку прогресса Цифровой экономики на территории ЕАЭС [6].

В-четвертых, несмотря на внушительный объем научных разработок по вопросам обеспечения ИБ в сфере электронного документооборота, комплексных исследований в обеспечения ИБ с применением блокчейн не проводилось. В частности, актуальные вопросы обеспечения ИБ в сфере управления затрагивались в работах В. П. Бауэра, В. С. Богдановой, Е. Н. Боярова, В. М. Вдовина, О. П. Еланцевой,А.Ю и др. Содержание указанных и других научных работ, результаты которых использовались в предлагаемом исследовании формирует комплексную, недостаточно изученную область управления системной защитой информации с помощью технологий блокчейна.

Список литературы

1. Бауэр, В. П. Проблемы на пути создания унифицированной цифровой платформы цифровой экономики [Текст] = Problems on the way of greation the unified digital platform digital economy: лекция / Бауэр В. П.; Общероссийская общественная организация "Российская академия естественных наук". - Москва: Российская акад. естественных наук, 2017. - 39 с.

2. Васильев, В.И. Алгоритм проектирования оптимальной структуры комплексной системы защиты информации на основе анализа риска [Текст]/ В.И. Васильев, Т.А. Иванова // Информационное противодействие угрозам терроризма. - 2006. - № 6. - С. 92-98.

3. Женевская Декларация принципов ООН «Построение информационного общества - глобальная задача в новом тысячелетии», принята в 2003 г. [Электронный ресурс]. - Режим доступа: http://www.un.org/ru/events/pastevents/pdf/dec_wsis.pdf.

4. Колмыкова, Е. А. Совершенствование форм и методов информационного обеспечения инновационной образовательной деятельности: автореф. дис. ... канд. экон. наук: 08.00.05 / Колмыкова Елена Алексеевна. - Ставрополь, 2011. - 21 с.

5. Федеральный закон от 27 июля 2006 г. N 149-ФЗ (ред. от 25.11.2017) «Об информации, информационных технологиях и о защите информации»// «Собрание законодательства РФ», 31.07.2006, N 31 (1 ч.), ст. 3448

6. План мероприятий по направлению "Информационная безопасность" программы "Цифровая экономика Российской Федерации" (утв. Правительственной комиссией по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности (протокол от 18.12.2017 N 2)). [Электронный ресурс]. URL: http://www.consultant.ru/cons/cg… (дата обращения 03.03.2018).

7. Информационное сообщение ФСТЭК России от 15.07.2013 N 240/22/2637 "По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" // Источник СПС КонсультантПлюс.

Размещено на Allbest.ru