Юринець В.Є., Юринець Р.В. Автоматизовані інформаційні системи. Електронний посібник

Подождите немного. Документ загружается.

533

4.3. ЕЛЕКТРОННІ ДОКУМЕНТИ

4.3.1. Електронний документ, документообіг

та електронний цифровий підпис

Електронний документ (ЕД) – це документ, інформація в якому

подана в електронній формі, що вміщує необхідні реквізити, у тому

числі електронний цифровий підпис.

Електронні документи подають у вигляді текстових чи графіч-

них файлів. Електронний документ може бути створено, передано,

збережено, оброблено та перетворено у візуальну форму подання. Він

може містити будь-які типи

даних, що знаходяться у базі даних (БД),

електронних таблицях, інших об’єктах зберігання інформації. За

напрямком документи автоматизованої інформаційної системи (АІС)

можна поділити на вхідні зовнішні, вихідні, що створені АІС, та внутрішні

документи АІС.

Електронний документ проходить різні стадії оброблення та

маршрути під час свого життєвого циклу (ЖЦ) і потрапляє до виконавців

різних формах. Наприклад, під час виконання наказ директора як

документ породжує два інформаційних потоки.

Перший потік пов’язаний з рухом самого ЕД:

— документ надходить до канцелярії, де його реєструють;

— з канцелярії документ передають керівнику для винесення щодо

нього резолюції;

— після винесення резолюції і призначення виконавців документ,

його копії розсилають виконавцям

;

— виконаний документ знімають з обліку.

Другий інформаційний потік замкнутий на реєстраційну картку

документа.

У момент реєстрації документа до його картки вносять рекві-

зити: реєстраційний номер; інформація про кореспондентів, хто і коли

надіслав; короткий зміст; інші дані загального характеру (наприклад,

стислий зміст, коментар). Факт винесення резолюції фіксують дода-

ванням до реєстраційної картки

інформації про автора резолюції, прізвищ

виконавців документа, терміну виконання документа, внесеного

534

автором резолюції. Після закінчення оброблення документа до

реєстраційної картки додають тексти звітів виконавців, фактичний

термін виконання документа. Списання документа в справу супровод-

жується додаванням до реєстраційної картки номерів (назв) справ, у

яких будуть зберігатися ориґінал і копії виконаного документа.

Створений документ ще не набув чинності і називається проектом

документа. Лише після того, як

створений документ узгоджено,

підписано, затверджено, поставлено штампи, проект документа стає

повноцінним документом, і з цього моменту аж до кінця ЖЦ він вва-

жається чинним і може бути використаний для доказів у суді, для

менеджменту бухгалтерії. Електронний документ стає документом

відтоді, коли автор документа підписав його за допомогою свого

електронного цифрового підпису.

Електронний

документ і документ на папері, що є ідентичними

за змістом та реквізитами, є однаково чинними.

Чинність ЕД забезпечується через такі реквізити:

— номер;

— електронний підпис автора;

— дата, час створення;

— ідентифікаційний номер;

— код форми.

Електронний документообіг, тобто обіг електронних докумен-

тів – це сукупність процесів створення, оброблення, передавання,

отримання, зберігання, використання та

знищення електронних

документів, що виконуються зі застосуванням перевірки цілісності,

достовірності та, у разі необхідності, підтвердження факту отримання

таких документів.

Закон України “Про електронні документи та електронний

документообіг” встановлює основні організаційно-правові засади створення

електронних документів та визначає загальний порядок електронного

документообігу. У цьому Законі терміни вживаються у такому значенні:

— адресат – фізична або

юридична особа, якій адресується

електронний документ;

— дані – інформація, яку подано у формі, придатній для її

оброблення і передавання електронними засобами;

535

— оператор електронної інформаційної системи (далі – опера-

тор) – фізична або юридична особа, яка в установленому законо-

давством порядку здійснює приймання, передавання (доставку),

зберігання, перевірку цілісності електронних документів для задово-

лення власних потреб, або надає відповідні послуги за дорученням

інших суб’єктів електронного документообігу;

— автор електронного документа – фізична або юридична особа,

яка

створила документ.

У статті 2 визначено сферу дії цього Закону: “Дія цього Закону

поширюється на відносини, що виникають у процесі створення,

відправлення, передавання, отримання, зберігання, оброблення,

використання та знищення електронних документів”. Відносини,

пов’язані з електронним документообігом та використанням елект-

ронних документів, регулюються Конституцією України, Цивільним

Кодексом України, законами України “Про інформацію”, “Про

захист

інформації в автоматизованих системах”, “Про державну таємницю”,

“Про зв’язок”, а також іншими нормативно-правовими актами.

Державне регулювання електронного документообігу в Україні

здійснює Кабінет Міністрів України та спеціально уповноважений

центральним органом виконавчої влади у цій сфері. Воно спрямоване на:

— реалізацію єдиної державної політики електронного докумен-

тообігу;

— забезпечення прав і

законних інтересів суб’єктів електронного

документообігу;

— нормативно-правове забезпечення технології створення,

відправлення, передавання, отримання, зберігання, оброблення та

використання електронних документів;

— забезпечення захисту інформації при її створенні, обробленні,

зберіганні, передаванні й отриманні.

Передавання електронних документів здійснюється власними або

загального користування засобами телекомунікаційного зв’язку в

електронній формі або на зовнішніх засобах збереження інформації

, на

яких записано цей документ у вигляді файла.

Електронний документ вважається відправленим автором, якщо

він відправлений безпосередньо автором або електронною інформа-

536

ційною системою, яка запрограмована на відправлення електронних

документів в автоматичному режимі, а також оператором, уповно-

важеним автором відправляти документи від його імені.

Якщо автор і адресат у письмовій формі попередньо не домови-

лися про інше, датою і часом відправлення електронного документа

вважається дата і час його відправлення. У разі відправлення електрон-

ного

документа шляхом пересилання його на зовнішніх засобах

збереження інформацій у вигляді файла, на якому записано цей

документ, датою і часом відправлення вважаються дата і час передачі

його для пересилання.

Якщо попередньою домовленістю між суб’єктами електронного

документообігу не визначено порядок підтвердження факту отримання

електронного документа, таке підтвердження може бути здійснено в

будь-якому

порядку автоматизованим чи іншим способом в електрон-

ній формі або у формі документа на папері. Зазначене підтвердження

має містити дані про факт і час отримання електронного документа

та про відправника цього підтвердження.

Суб’єкти електронного документообігу мають зберігати

електронні документи на електронних носіях інформації у формі, що

дає змогу перевірити їх цілісність на

цих носіях.

У разі неможливості зберігання електронних документів на

електронних носіях інформації протягом встановленого терміну для

відповідних документів на папері суб’єкти електронного доку-

ментообігу повинні вживати заходи для дублювання документів на

декількох електронних носіях інформації та здійснювати їх періодичне

копіювання відповідно до встановленого порядку ведення обліку та

копіювання документів. Якщо неможливо виконати

зазначені вимоги,

електронні документи мають зберігатися у паперовій копії (у разі

відсутності паперового ориґіналу). При копіюванні електронного

документа з електронного носія інформації обов’язково здійснюється

перевірка цілісності даних на цьому носії.

Основними етапами оброблення документів в організації є прий-

няття, реєстрація, розгляд, передача, відправлення, інформаційно-

довідникова робота, оперативне зберігання, контроль виконання,

систематизація

, формування справ, складання описів, передання до

архіву, списання тощо.

537

Передавання електронних документів здійснюють через безпосе-

редній зв’язок між електронною інформаційною системою автора

документа та електронною інформаційною системою адресата, або

за допомогою засобів електронних інформаційних систем посередників

чи шляхом передавання на певних електронних носіях.

Електронний цифровий підпис є обов’язковим реквізитом

електронного документа, який формує автор під час створення

електронного документа. Його

перевіряють з метою підтвердження

цілісності документа та ідентифікації автора іншими суб’єктами

електронного документообігу.

Це поняття стало актуальним із розвитком банківських техно-

логій і поширенням систем безготівкових розрахунків. Процедура

цифрового підписування полягає в тому, що на основі вмісту файла і

ключа підписування обчислюється визначений набір символів, що

називають цифровим підписом. Алгоритми обчислень можуть

бути

різними, але всі вони використовують ущільнення вихідного документа

за допомогою геш-функції (hash).

На основі секретного ключа підписування і геш-функції форму-

ють цифровий підпис і визначений відкритий ключ, щоб одержувач зміг

його перевірити.

Адресату, що отримав документ електронною поштою, досить

запустити програму, яка на основі вмісту файла і цифрового підпису

обчислює певне

значення і порівнює його з відкритим зразком цифрового

підпису. Рівність значень доводить, що документ не модифікувався,

тобто саме цей документ завізовано відповідним секретним ключем

підписування.

Ориґіналом електронного документа вважають електронний

примірник документа з обов’язковими реквізитами, в тому числі з

електронним цифровим підписом автора. У разі надсилання електрон-

ного документа декільком адресатам або

зберігання цього документа

на декількох електронних носіях інформації кожен з електронних

примірників вважають ориґіналом електронного документа.

Паперовою копією електронного документа є візуальне подання

електронного документа на папері, яке засвідчене в порядку, встанов-

леному законодавством. Електронний документ і документ на папері, які

є ідентичними за вмістом та реквізитами, мають однакову юридичну силу.

538

Допустимість електронного документа як доказу (незалежно від

змісту і призначення електронного документа) не може заперечуватися

винятково на підставі того, що він має електронну форму.

Однак електронний документ не може бути застосовано в деяких

випадках, наприклад, як ориґінал свідоцтва про право на спадщину або

ориґінал документа, який відповідно до законодавства може бути

створений лише

в одному ориґінальному примірнику.

Під час зберігання електронних документів необхідно дотри-

муватися таких вимог:

— інформація, що міститься в електронних документах, має бути

доступною для її подальшого використання;

— електронний документ має зберігатися у тому форматі, в якому

він був підготовлений, відправлений або одержаний;

— в електронних документах має зберігатися інформація, яка

дає змогу

встановити його походження та призначення, а також дату і

час його відправлення чи отримання.

Електронний документообіг здійснюється відповідно до зако-

нодавства України або на підставі укладених договорів, що визначають

взаємовідносини суб’єктів електронного документообігу. Суб’єкти

електронного документообігу, що здійснюють його на підставі

укладених договорів, самостійно визначають режим доступу до

електронних документів, які

містять конфіденційну інформацію, та

встановлюють для них систему (способи) захисту.

В автоматизованих інформаційних системах, які забезпечують

обмін електронними документами, що містять конфіденційну інфор-

мацію, яка є власністю держави, а також інформацію, яка містить

відомості, що становлять державну таємницю, повинні бути перед-

бачені узгоджені заходи щодо захисту цієї інформації.

Засоби криптографічного захисту конфіденційної

інформації, яка

є власністю держави, а також інформації, яка містить відомості, що

становлять державну таємницю, допускаються до експлуатації в

організації електронного документообігу в порядку, визначеному

уповноваженим центральним органом виконавчої влади з питань

криптографічного захисту інформації.

539

4.3.2. Стандартизація інфраструктури з відкритим

ключем

Розробленням стандартів інфраструктури з відкритим ключем

(ІВК) займаються багато організацій як на національному, так і на

міжнародному рівнях.

Ці організації часто взаємодіють між собою задля розроблення

гармонізованих та об’єднаних стандартів. Разом з тим, ведучі фірми у

сфері IT теж розробляють свої стандарти, що можуть підтримуватися

багатьма організаціями – розробниками рішень програмних засобів.

Фундаментальним стандартом

, що покладений в основу майже

всіх інших стандартів у сфері ІВК, є рекомендації ITU-T Recommen-

dation X.509 (1997 Е): Information Technology – Open Systems Intercon-

nection – The Directory: Authentication Framework, June 1997 Взаємодія

відкритих систем – Каталог: Структура аутентифікації, ITU-T – Inter-

national Telecomunication Union Сектор телекомунікацій Міжнародного

союзу електрозв’язку – МККТТ (Міжнародний консультативний

комітет з телеграфії та телефонії).

Основне призначення зазначеної рекомендації – визначення

формату електронного сертифіката. З 1988 р. ITU-T X.509 пройшов

дві модифікації, 1993 р. (друга версія стандарту ITU-T X.509) та

1997 р.

(третя версія стандарту ITU-T X.509). У комп’ютерній мережі Інтернет

на сьогодні друга версія цього стандарту вільно розповсюджується, а

третя версія розповсюджується на комерційній основі.

Водночас варто зазначити, що стандарт X.509 ITU-T не був

призначений для повного визначення технології РКІ. З метою

застосування стандартів X.509 у повсякденній практиці (зокрема, в

мережі Інтернет), в основному, використовують інші

стандарти.

Міжнародною організацією зі стандартизації та Міжнародною

електротехнічною комісією (International Organization for Standartization

and International Electrotechnical Commission (ISO/IEC)) було прийнято

аналогічний міжнародний стандарт ISO/IEC 9594-8:2001 Information

technology – Open Systems Interconnection – The Directory: Publickey

and attribute certificate frameworks (Взаємодія відкритих систем.

Директорія: Відкритий ключ та структура атрибутів сертифіката).

Ці стандарти в Інтернет розповсюджуються лише на комерційній

основі.

540

Стандарти ІВК для фінансової сфери розробляють також націо-

нальні організації зі стандартизації, наприклад, ANSI (Національний

інститут стандартизації США). Стандарти ANSI в Інтернет

розповсюджуються лише на комерційній основі.

Розглядаючи питання створення інфраструктури з відкритим

ключем для України, важливими стандартами також є RFC організації

IETF (Інтернет Engineering Task Force – проблемна група проектування

Інтернет, що відповідає за вирішення інженерних завдань Інтернет).

Основним центром

з випуску стандартів РКІ є робоча група РКІ

(РКІ working group) організації IETF, відома як група РКІХ (від

скорочення РКІ for X.509 certificates).

Специфікації РКІХ засновані на двох групах стандартів: ITU-T

Recommendation X.509 (1997 Е) і PKCS (Public Key Cryptography Stand-

ards) фірми RSA Data Security. У повсякденній практиці, в основному,

для мережі Інтернет використовують стандарти РКІХ. Стандарти, що

підготовлені цією групою, вільно публікуються в Інтернеті.

Найвідоміші стандарти, що

підтримуються великою кількістю

виробників, є стандарти PKCS (Public Key Cryptography Standards) фірми

RSA Data Security. PKCS – набір стандартів, що визначає алгоритми

шифрування (RSA), ключового обміну (Diffie-Hellman), розширений

синтаксис сертифікатів, синтаксис зашифрованих повідомлень, способи

збереження ключів і синтаксис запитів на сертифікат. Стандарти, що

підготовлені цією фірмою, вільно публікуються в Інтернеті.

Закон “Про електронний цифровий підпис” був гармонізований з

відповідним законодавством Європейського Союзу, зокрема, з

Директивою Європейського

Парламенту і Ради Міністрів Європей-

ського Союзу 1999/93/ЄС від 13 грудня 1999 p. “Про політику ЄС щодо

електронних підписів”, і відповідає державній політиці у сфері

криптографічного захисту інформації, що стосується засобів

електронного цифрового підпису (ЕЦП).

Для використання механізмів цифрового підпису необмеженої

кількості кінцевих користувачів і забезпечення підтвердження ціліс-

ності, автентичності електронних даних і справжності електронного

підпису

зараз створюється спеціальна інфраструктура.

Це є повний комплекс організаційно-технічних заходів і програмно-

апаратних засобів, що дають змогу використовувати асиметричні

541

криптографічні схеми. В основі такої системи лежить окремий

незалежний суб’єкт, основна функція якого – це сертифікація відкритих

ключів користувачів, тобто засвідчення присвоєння відкритого ключа

і відповідного йому закритого ключа конкретного учасника інформа-

ційного обміну.

Існує декілька моделей сертифікації, в яких можна виділити окремі

переваги і недоліки. Законопроект “Про електронний цифровий підпис”

визначає ієрархічну

модель сертифікації відкритих ключів з єдиним

коренем, а також накладає обмеження на глибину можливої сертифікації.

У повсякденній практиці використовується дворівнева схема:

центральний орган, що засвідчує, тобто основний орган, що засвідчує,

і ®-центр сертифікації ключів (підлеглий орган, що засвідчує). У разі

використання технології ЕЦП у державних органах передбачають

використання трирівневої системи сертифікації: центральний

орган, що

засвідчує, ®-центр, що засвідчує ®, і центр сертифікації ключів. Окрім

цього, не передбачається крос-сертифікація: можливість перехресної

сертифікації між центрами сертифікації ключів.

Це зроблено насамперед для чіткого регламентування процесу

прирівнювання ЕЦП до власноручного підпису, а також забезпечення

достатнього рівня довіри до сертифікатів відкритих ключів між

користувачами. Ключі можуть генеруватися як кінцевим користувачем,

так і центром сертифікації ключів. Проте, збереження секретних ключів

у центрі сертифікації ключів не допускається.

Перевага ієрархічної моделі, порівняно з мережною і шунтованою,

полягає в більш простому, упорядкованому і систематизованому

процесі перевірки сертифіката користувача суб’єктами взаємодії.

Недоліком цієї архітектури є те, що у разі порушення роботи основного

центру сертифікації ключів, практично

порушується робота всієї

системи. Тобто, якщо буде скомпроментований секретний ключ

центрального органу, то усі сертифікати, що були сформовані, будуть

також скомпроментовані, і тому їх треба скасувати.

У загальній національній інфраструктурі цифрового підпису

функціонує дві підсистеми:

— підсистема, що обслуговує державні органи влади і фінан-

сується з Державного бюджету. Порядок надання послуг цифрового

підпису кінцевим

користувачам і особливості використання цифрового

542

підпису органами державної влади встановлює Кабінет Міністрів

України;

— підсистема, що обслуговує інші юридичні і фізичні особи,

побудова і розвиток якої плануються за рахунок усіляких позабюджетних

інвестицій і вкладень.

Міністерством економіки створюється техніко-економічне

обґрунтування виділення засобів для впровадження механізмів ЕЦП

в органах державної влади.

Одним з перших кроків на шляху побудови і

практичного введення

в дію ЕЦП є створення центру сертифікації ключів — центрального

органу, що засвідчує. Він має право видавати сертифікати відкритих

ключів центрам сертифікації ключів та повноваження щодо функцій

технічного управління, керівництва і контролю над усім механізмом

функціонування цієї системи.

Спеціальне програмне забезпечення (ПЗ) є основним елементом

як центрального органу, що засвідчує, так і центрів

сертифікації ключів.

Це ПЗ може бути як вітчизняного, так і іноземного виробництва, але

воно має відповідати вимогам українського законодавства у сфері

криптографічного і технічного захисту інформації.

У засобах цифрового підпису необхідно використовувати крипто-

графічні алгоритми, що є державними стандартами України. Засоби ЕЦП

повинні мати сертифікат відповідності або позитивний експертний висновок

СБ України.

Крім цього, такі програмні продукти повинні відповідати

вимогам організації захисту від несанкціонованого доступу. У разі

використання засобів ЕЦП, що не відповідають цим вимогам, юридична

чинність цифрового підпису може визнаватися лише в судовому порядку.

Практично всі прикладні сфери (електронний документообіг, електронна

комерція), цифровий підпис для яких є одним з основних компонентів,

стають усе більш

глобальними й інтегрованими. Тому питання сумісності,

у тому числі механізмів ЕЦП, стає усе більш актуальним.

Побудова національної інфраструктури ЕЦП, заснованої на

сучасних міжнародних стандартах і функціональних специфікаціях, є

однією з умов сумісності з аналогічними іноземними системами. Згідно

із законопроектом, іноземні сертифікати ключів, видані центрами

сертифікації ключів, розташованих за кордоном, визнаються відповідно

до норм

і принципів міжнародного права.