По степени достоверности и юридической силе в исторической науке и в правовом отношении различают документ аутентичный (настоящий) и фальшивый (поддельный). Аутентичный документ (от греч. authentikos - подлинный) - это подлинный документ, являющийся первоначальным источником информации, действительный, верный.
Историческая наука придает большое значение определению подлинности исторического документа. Для того, чтобы определить, можно ли данный источник признать действительным историческим свидетельством определенных явлений и событий, применяют разнообразные, выработанные исторической наукой приемы (методы) источниковедческой критики. Выявление внешних особенностей документа (характера материала, из которого сделан документ; особенностей знаковых средств фиксации информации; оформления документа, наличия и особенностей реквизитов и т. п.) дает основания сделать предварительные выводы о времени его создания, подлинности или фальсификации.
Дополнительные данные для установления времени и места создания документа и его авторства предоставляет так называемая "внутренняя критика" источника, связанная с изучением его содержания (текста), а также с использованием всех имеющихся знаний о соответствующих документу исторических событиях и фактах. С точки зрения документоведения установление подлинности документа заключается в проверке достоверности его реквизитов, их соответствия документу (в частности, сведений об авторе, времени и месте создания документа).
Фальшивый (поддельный) документ связан с обманом, мошенничеством. Производитель такого документа сознательно стремится выдать поддельный документ за настоящий для того, чтобы иметь определенную выгоду: достичь фальсификации в изложении исторических событий или юридических фактов.
Подделка действующих юридических документов карается законом. С историческими документами сложнее. Иногда ученым приходится прилагать немало усилий не только для того, чтобы обнаружить фальшивку, но и для того, чтобы в общественном мнении сформировать правильное отношение к тому или иному "историческому источнику", в действительности являющемуся поддельным.
Среди изданий к фальшивым (поддельным) документам относят так называемые контрафактные (или "пиратские") издания, нарушающие законодательство об авторском праве и предпринимательской деятельности. Контрафакция - это самовольное воспроизведение или распространение произведения без разрешения автора. Контрафактные издания, как правило, содержат неверные выходные данные (о месте и годе издания, издательстве) с целью избежания криминальной ответственности.
Выводы
В данном разделе рассмотрено несколько направлений классификации документов по типологическим признакам. Предложенная здесь классификация касается значения Документа IV, то есть "записанной информации, используемой в качестве единицы в документационном процессе".
Приведенная схема классификации документа учитывает преимущественно признаки, характеризующие способы запи
Окончание табл. 7.5
Вопросы и задания для самоконтроля
1. Что такое классификация?
2. Что такое типологическая классификация документа?
3. Назовите виды документа по способу записи информации.
4. Назовите виды документа по характеру знаковых средств передачи информации.
5. Назовите виды документа по принадлежности знаков записи к определенным знаковым системам.
6. Назовите виды документа по характеру языковой знаковой системы, в которой воплощена информация.
7. Назовите виды документа по форме записи информации.
8. Назовите виды документа по предназначению для восприятия информации.
9. Назовите виды документа по каналу восприятия информации человеком.
10. Назовите виды документа по способу декодирования информации человеком.
11. Назовите виды документа по материалу носителя информации.
12. Назовите виды документа по форме (материальной конструкции) носителя информации.
13. Назовите виды документа по внешней структуре документа.
14. Назовите виды документа по сфере возникновения информации и объекту отражения.
15. Охарактеризуйте понятия первичных и вторичных документов.
17. Охарактеризуйте понятия "документы - оригиналы и копии".
18. Охарактеризуйте понятие аутентичного документа.
19. Проанализируйте несколько документов с целью определения их вида по всем признакам классификации. Как вспомогательное средство используйте таблицы 7.1, 7.2, 7.3, 7.4.
Со способами обмена электронными документами и методами обеспечения их долговременного хранения тесно связаны проблемы обеспечения их аутентичности.До сих пор главным средством аутентификации электронной документации служат протоколы аудита сетевых ресурсов. С их помощью можно проследить историю документов и выявить случаи несанкционированного доступа к ним. Однако слабым местом такой системы аутентификации являются сами протоколы, находящиеся в практически бесконтрольной власти сетевых администраторов.
Другая проблема - обеспечение аутентичности в межсетевом (межкорпоративном) пространстве. Без четких представлений о происхождении электронных документов и твердых гарантий их целостности суды отказываются признать за ними доказательную силу и принимать в качестве письменных свидетельств. Обмен электронными документами осуществляется на доверительной основе (например, электронная почта) и их достоверность гарантируется лишь авторитетом владельца информационного ресурса или электронного адреса. В свое время именно нерешенность вопросов аутентичности и целостности электронных документов помешала реализации идей «безбумажного офиса».
С середины 1990-х гг. наметился заметный прогресс в аутентификации электронных данных, в технологическом и правовом отношениях. Все большее распространение получают электронные средства защиты целостности данных и их идентификации с определенным физическим лицом - так называемые цифровые (электронные, электронные цифровые) подписи и печати, электронные «водяные знаки», контрольные суммы файлов и т.п.
Все множество цифровых подписей условно можно свести к двум классам:
1. с использованием биометрических параметров человека - отпечатков пальцев, тембра голоса, радужной оболочки глаз и т.п.;
2. с применением методов криптографии. Последний класс получил название - «электронная цифровая подпись» (ЭЦП). Именно ЭЦП считается наиболее надежным средством аутентификации в межкорпоративном электронном пространстве.
В правовом отношении ЭЦП долгое время находила применение лишь в частноправовой сфере. Для ее применения необходимо было заключение двусторонних или многосторонних договоров (на бумаге), в которых определялись все нюансы генерации, верификации, хранения ЭЦП и ответственность сторон. Рубеж веков стал периодом массового правового признания электронных средств аутентификации в открытых информационных сетях. Законы об ЭЦП или электронном документе были приняты в большинстве развитых и многих развивающихся странах.
Правовое признание ЭЦП превращает этот реквизит в надежное средство, обеспечивающее аутентичность и целостность электронных документов, однако только тех, которые находятся в оперативном использовании, со сроком хранения пять, максимум 10 лет. Для аутентификации документов на протяжении десятков лет ЭЦП не годится. Чтобы понять, почему это происходит, нужно несколько слов сказать о том, что собой представляют технологии криптографической аутентификации и защиты информации, определяемые законодательством как «аналог собственноручной подписи».
Российский закон об ЭЦП помогает раскрыть сущность этой технологии. В нем ЭЦП определяется как «реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе» (ст. 3).
ЭЦП выглядит как последовательность цифр и других символов, что, собственно, и позволяет говорить о ней как о реквизите, обособленном от других реквизитов электронного документа. Технологически ЭЦП возникает в результате выполнения системой криптозащиты так называемого асимметричного алгоритма шифрования, т.е. шифрования с использованием ключа (опять же последовательность цифр), который отличается от ключа, применяемого потом для расшифрования сообщений. Первый ключ называется закрытым (тайным, личным) ключом. Им может владеть только тот человек, от лица которого документ подписывается. Второй ключ - открытый, его значение может узнать любой, кому необходимо удостовериться в подлинности ЭЦП. Эта пара ключей взаимосвязана, но при этом закрытый ключ не может быть за обозримое время вычислен, исходя из значения открытого ключа. Таким образом, использование открытого ключа при аутентификации надежно связывает подписанный документ с обладателем закрытого ключа.
В то же время особенностью ЭЦП, которая отличает ее от собственноручной подписи человека, является то, что идентифицирует она не столько лицо, подписавшее электронный документ, сколько конкретный документ: два разных документа, подписанные с использованием одного и того же закрытого ключа, будут иметь разные числовые выражения ЭЦП. Связано это с тем, что, кроме закрытого ключа, в алгоритм вычисления ЭЦП включены и другие параметры, в первую очередь, так называемый хэш-код файла/ов с электронным документом.
Следует также отметить, что подтверждение подлинности ЭЦП - процесс технологически кратковременный. Он зависит от жизненного цикла средства ЭЦП - конкретной системы криптографической защиты данных. В частности, аутентификация электронного документа становится невозможной после смены технологической платформы или бесполезной после утраты юридической силы сертификата средства ЭЦП. Это значит, что под вопросом оказывается подлинность документов, подписанных ранее.
Немаловажен и вопрос о стойкости ЭЦП, которая в первую очередь зависит от длины открытого ключа подписи. Но главная проблема при аутентификации электронных документов, подписанных ЭЦП, состоит в том, что этот реквизит (как и значение отдельного хэш-кода или контрольной суммы, гарантирующих целостность документа) неразрывно связан с форматом документа. При переформатировании электронного документа (что неизбежно при долговременном хранении) проверка подлинности ЭЦП становится бессмысленной.
Обеспечение аутентичности электронных документов в долговременной перспективе сегодня самая острая и сложная проблема современного делопроизводства. Четких рекомендаций, как ее решить, пока нет ни в нашей стране, ни за рубежом. В ыход видится в одном: не стоит на этапе делопроизводства создавать, а затем хранить исключительно в электронном виде документы, предполагающие длительный срок хранения и серьезную ответственность сторон. Желательно одновременно создавать и хранить этот официальный документ также на бумажном носителе.
В условиях нерешенности технологических проблем аутентификации электронной информации на первое место выходит «старый дедовский метод»: удостоверение подлинности электронных документов при передаче их на внешних носителях в архив с помощью документов на бумаге, оформленных в соответствии с требованиями ГОСТ 6.10.4–84 и ГОСТ 28388–89. Указанные ГОСТы технологически и концептуально давно устарели, многие их положения на практике просто не выполнимы. Однако они по-прежнему действуют и включают в себя рациональное ядро, которое можно использовать при разработке формы удостоверяющего документа. Подобный документ (удостоверяющий лист, сопроводительное письмо, акт приема-передачи документов или т.п.) должен включать идентификационные характеристики файлов и электронного носителя и быть заверенным подписями должностных лиц и печатью.
Таким образом, анализ природы электронных документов позволяет определить несколько условий, выполнение которых обеспечивает их сохранность и возможности использования на протяжении десятков лет:
1. В архив должны приниматься и храниться «информационные объекты» (файлы), включающие, главным образом, содержательную и контекстную информацию (данные). Прием на хранение информационных ресурсов в комплекте с исполняемыми программами (оболочками прикладных информационных систем) со временем может вызвать правовые и технологические проблемы их использования. Прием компьютерных программ необходим в исключительных случаях, когда без этого невозможно воспроизведение принимаемых на хранение электронных документов.
2. В краткосрочной перспективе (5–10 лет) сохранность документов обеспечивается созданием резервного и рабочего экземпляров электронных документов на отдельных носителях.
3. В долговременной перспективе (более 10 лет) необходимо проведение миграции документов в так называемые программно независимые форматы (страховые форматы), причем таким образом, чтобы в дальнейшем полученное поколение документов можно было признать подлинниками.
4. Электронные документы в страховых форматах могут оказаться очень неудобными в использовании и могут значительно замедлять время доступа пользователей к архивной информации. Оперативность доступа к архивным электронным документам может обеспечиваться тем, что они будут приниматься, храниться и/или своевременно переводиться в форматы текущей информационной системы организации/архива - пользовательские форматы. Процедура миграции в пользовательские форматы также должна быть ориентирована на возможное признание полученных документов подлинниками. Эта мера необходима в связи с тем, что заранее трудно определить, какие из форматов (страховые, пользовательские или те, в которых документы приняты на хранение) могут стать основой для создания миграционных страховых копий последующих поколений.
5. При обеспечении сохранности электронных документов большое внимание следует также уделять вопросам информационной безопасности: обеспечению их аутентичности, защите от вредоносных компьютерных программ (вирусов) и от несанкционированного доступа.
Организации должны разработать и применять инструкции по конвертации или миграции документов из одной документной системы в другую. Электронные документные системы должны быть спроектированы так, чтобы документы оставались доступными, аутентичными, достоверными и пригодными для использования независимо от любых изменений в системе на протяжении всего периода их хранения и использования. Изменения в системе могут включать миграцию на другое программное обеспечение, воспроизведение в форматах эмуляции или любые другие будущие способы воспроизведения документов. Если такие процессы происходят, следует сохранять доказательство произведенных изменений, а также подробное описание любых изменений форм и форматов документов.
ВРЕМЯ СОЗДАНИЯ ДОКУМЕНТА
Любая организация независимо от вида деятельности представляет собой совокупность взаимодействующих элементов (сотрудников и подразделений), которые связаны между собой функционально (выполняют отдельные виды работ в рамках единого бизнес-процесса) и информационно (обмениваются документами, устными распоряжениями и т. д.).
В соответствии с «информация» - это значимые данные, а «документ» - это информация на любом носителе (бумажном, магнитном, электронном или оптическом компьютерном диске, фотографии или эталонном образце).
Документ обладает следующими функциями: общими (информационная, социальная, коммуникативная, культурная) и специальными (управленческая, правовая, исторического источника, учета).
Документ должен отвечать следующим основным требованиям:
фиксированность (документа) - функциональное свойство документа, состоящее в том, что документ выражает содержащиеся в нем сведения независимо от формы представления;
доступность (документа) - свойство документа, состоящее в том, что форма представления документа обеспечивает физическую возможность измерения заданных параметров этого представления документа (содержания, атрибутов, технологии) заданными средствами в заданных точках за конечное время;
целостность (документа) - свойство документа, состоящее в том, что при любой демонстрации документа заданные значения параметров демонстрируемого представления документа соответствуют специфицированным требованиям;
легитимность (документа) - свойство документа, состоящее в том, что демонстрируемое представление документа содержит параметры, объективно подтверждающие правомерность использованных на протяжении жизненного цикла документа технологий .
Документ имеет следующие характеристики: аутентичность, достоверность, целостность, пригодность для использования.
1. Документ является аутентичным, если он: соответствует установленным правилам; был создан или отправлен лицом, уполномоченным на это; был создан или отправлен в то время, которое обозначено в документе.
Чтобы обеспечивать аутентичность документов, организации должны внедрять и документально фиксировать принципы политики и процедуры контроля над созданием, получением, передачей, хранением и отбором (изъятием) документов и тем самым гарантировать, что создатели документов уполномочены на это и могут быть идентифицированы, а документы защищены от несанкционированного дополнения, удаления, изменения, использования и сокрытия (засекречивания).
2. Достоверным является документ, содержание которого можно считать полным и точным представлением подтверждаемых операций, деятельности или фактов и которому можно доверять в последующих операциях или в последующей деятельности. Документы следует создавать во время или сразу же после операции или ситуации, к которым они относятся, лицами, достоверно знающими факты, или средствами, обычно используемыми в деловой деятельности при проведении данной операции.
3. Целостность документа определяется его полнотой и неизменностью.Необходимо, чтобы документ был защищен от несанкционированного изменения. Политика и процедуры управления документами должны указывать, какие дополнения или изменения могут быть применены к документу после его создания, при каких обстоятельствах дополнения или изменения могут быть разрешены и кто уполномочен сделать это. Любые санкционированные изменения, добавления или удаления в документе следует четко обозначать и контролировать.
4. Пригодным для использования является документ, который можно локализовать, найти, воспроизвести и интерпретировать. При воспроизведении он должен отражать связь с деловой деятельностью или операцией, в результате которой он был создан. Контекстные ссылки документов должны нести информацию, необходимую для понимания операций деловой деятельности, в которых эти документы были созданы и применялись. Должна быть предоставлена возможность идентифицировать документ в широком контексте деловой деятельности и функций. Связи между документами, фиксирующие последовательность действий, должны быть сохранены .
Понятие аутентичности применительно к ЭД в правовых отношениях появилось сравнительно недавно . Как показал анализ существующих нормативных документов и публикаций, ЭД может считаться аутентичным, если выполняются следующие условия:
- 1. ЭлД соответствует установленным правилам, например, содержит определенную совокупность реквизитов, используемых в организации.
- 2. Сведения об авторе, времени и месте создания ЭД, содержащиеся в самом документе, подтверждают достоверность его происхождения.
- 3. ЭлД создан уполномоченным лицом.
- 4. ЭлД отправлен уполномоченным лицом.
- 5. ЭлД создан в то время, которое обозначено в документе.
- 6. ЭлД отправлен в то время, которое обозначено в документе.
- 7. ЭлД содержит или постоянно связан с неискаженными метаданными, подтверждающими достоверность происхождения или существования документа (данные, описывающие сам документ (содержание, структуру, формат); данные о связях с другими документами; данные описывающие весь процесс работы с ним от регистрации до списания в дело, включая ход исполнения документа и рассылку во внешние организации).
В настоящее время можно выделить четыре группы угроз документам СЭД, которые могут повлечь нарушение аутентичности ЭлД:
- 1. Угрозы, направленные на несанкционированную модификацию, нарушение целостности документа, которые включают в себя изменение служебной или содержательной части, подмену, изъятие или уничтожение документа ;
- 2. Угрозы, направленные на искажение аутентичности документа;
- 3. Угрозы, связанные с непризнанием участия в процессе электронного документооборота (ЭДО);
- 4. Угрозы, связанные с проблемой подтверждения аутентичности криптографическими методами.
Каждая из групп содержит перечни угроз .
Для обеспечения защиты от угроз большинство СЭД имеют набор средств ЗИ, таких как контроль доступа, аудит, применение средств электронной цифровой подписи (ЭЦП), шифрование и др. Таким образом, можно говорить о процессе обеспечения аутентичности документов в СЭД.
Электронная цифровая подпись является мощным средством подтверждения подлинности ЭлД, но как показывает практика, не является универсальным. Применение ЭЦП для обеспечения аутентичности необходимо лишь для ЭлД, влекущих ответственность сторон, а использование ЭЦП для менее значимых документов (включая внутреннюю переписку, которая ведется в рамках защищенной корпоративной СЭД) считается неоправданным . Федеральный Закон “Об электронной цифровой подписи” определяет порядок использования ЭЦП с целью обеспечения юридической значимости ЭлД, в то же время существует множество угроз, способных её нарушить. Таким образом, ЭлД может быть не аутентичным при неправильном использовании средств ЭЦП и аутентичным без их использования. Известны случаи, когда суды принимали ЭлД, имеющие косвенные доказательства о принадлежности автора к его созданию, в качестве доказательств.
Таким образом, аутентичность документов в СЭД определяется комплексным подходом к ее обеспечению на всех этапах жизненного цикла документа. Для ЭДО это означает обоснованное применение средств ЗИ и регламентацию делопроизводственных процессов. Необходимо решить задачу оптимального (рационального) выбора совокупности мер (механизмов) защиты, используемых при создании, согласовании, подписании (утверждении), регистрации, передаче, рассмотрении, исполнении, архивном хранении и уничтожении всех ЭД. С этой целью требуется выработка системы показателей качества делопроизводственных процессов и методика оценки их комплексного влияния на аутентичность ЭлД.
Для решения проблемы обеспечения аутентичности ЭлД в СЭД можно разработать рекомендаций по обеспечению аутентичности объекта исследования СКТЭ.
This article discusses the need for and feasibility of new information technologies in order to organize effective management. The problems of complex systems information security, analyzes the advantages and benefits of the effectiveness of video surveillance systems, time tracking, access control, and security of local networks.
Key words: automated information management technology, complete protection of information security.
Lipunov Aleksandr Aleksandrovich, a post graduate student, [email protected], Russia, Kursk, South-West State University,
Savenkova Ekaterina Sergeevna, student, [email protected], Russia, Kursk, South-West State University.
ТЕХНОЛОГИЯ ПРОВЕРКИ ЦЕЛОСТНОСТИ И АУТЕНТИЧНОСТИ ДОКУМЕНТОВ В ГИБРИДНОМ ДОКУМЕНТООБОРОТЕ
П.С. Ложников, А.Е. Самотуга
Приводится описание технологии проверки целостности и аутентичности документов в гибридном документообороте, описаны алгоритмы формирования защищенных документов, проверки целостности и аутентичности защищенного документа, перевода документа из бумажного в электронный формат и обратно. Авторами статьи предложен способ решения проблемы проверки аутентичности владельца электронно-цифровой подписи, которой подписывается защищенный документ.
Ключевые слова: электронная цифровая подпись, гибридный документооборот, целостность документа, аутентичность документа, динамическая подпись.
За последние десятилетия электронные системы подготовки и управления бумажными документами стали необходимым средством оснащения офиса любой компании. Подавляющее большинство офисных документов сегодня создается с помощью средств информационных технологий. С широким распространением технологии электронно-цифровой подписи стало происходить стирание грани между электронными и неэлектронными документами. Однако в России быстрый переход в ближайшее время на «безбумажные технологии» не произойдет по нескольким причинам.
Во-первых, в нашей стране существуют требования законодательства и нормативных актов к оформлению наиболее значимых в деловой деятельности документов исключительно на бумаге (уставные документы, лицензии, кадровое делопроизводство и т.п.). Сложилась целая система
работы государственных архивов, где предъявляются требования хранения к бумажным документам, которые могут срочно понадобиться в случае разного рода жизненных ситуаций и чрезвычайных происшествий, когда электронные документы могут оказаться недоступными. Конечно, в настоящее время происходит внедрение информационных технологий в этой системе, но происходить это будет не быстро по целому ряду причин.
Во-вторых, большинству современных руководителей при принятии решений удобнее традиционно работать с бумагой. Еще не выросло то поколение управленцев, которое использовало электронные средства коммуникаций со школьной скамьи.
Поэтому сегодня реально можно говорить о переходе от традиционного бумажного документооборота не к электронному, а к гибридному документообороту. Ключевым атрибутом электронного документа является электронно-цифровая подпись (ЭЦП), которая формируется на основе секретного (закрытого) ключа пользователя и хеш-функции документа .
Выданная в удостоверяющем центре ЭЦП используется для того, чтобы сохранять юридическую значимость электронных документов. Существенным недостатком ЭЦП является то, что она может быть передана другому лицу, т.е. в отличие от традиционной подписи она является отчуждаемой от своего владельца. При этом будет сохраняться юридическая значимость документов подписанных ЭЦП посторонним лицом, что в некоторых случаях может оказаться недопустимым. Кроме того, в настоящее время все еще используются бумажные версии документов, и при переводе документа из электронного формата в бумажный, обычная ЭЦП становится бесполезной.
Выходом из сложившейся ситуации может послужить разрабатываемая технология Научно-технического центра «КАСИБ» , которая позволит сохранять юридическую значимость электронных документов даже при их распечатке. Ключевым отличием данной технологии от стандартной ЭЦП является использование информации о динамических характеристиках написания традиционной подписи, на основе которой будет формироваться ЭЦП, а также создание для бумажной версии документа специального аналога ЭЦП в виде штрих-кода.
Почерк является биометрической характеристикой человека и обладает свойством уникальности, сложностью подделывания и неотделимостью от хозяина, что позволяет идентифицировать человека, поставившего подпись под документом.
В основе представленной технологии лежат следующие алгоритмы:
1. Формирование защищенного документа;
2. Проверка подлинности и аутентичности документа;
3. Преобразование документа из бумажного формата в электронный;
4. Преобразование документа из электронного формата в бумаж-
Первый алгоритм состоит из следующих пунктов:
1) создание электронного документа;
2) добавление подписи;
3) преобразование документа в универсальный формат;
4) формирование ЭЦП на основе документа и данных эталона подписи лица, создавшего документ;
5) сохранение данных о подписи на облачном сервере;
6) добавление данных, полученных на шаге 4 к документу в виде ЭЦП для электронного документа или в виде штрих-кода для бумажной версии документа;
7) печать документа или сохранение в электронном виде.
Схема описанного выше алгоритма представлена на рисунке 1.
Формирование ЭЦП и добавление его к документу в виде штрихкода или стандартное юбавление к файлу
Сохранение данных о подписи на облачном сервере
Рис. 1. Формирование защищенного документа
Проверку подлинности и аутентичности документа можно разбить на следующие стадии:
1) если документ бумажный, то необходимо сканирование документа и сохранение в формате BMP;
2) получение данных ЭЦП:
а) если работаем с электронным документом, то получаем данные из документа;
б) при работе с бумажным документом - из отсканированного штрих-кода;
3) считывание информации из области данных документа;
4) получение данных о подписи из облачного сервера;
5) получение ЭЦП из данных, полученных в пункте 3 и 4;
6) сравнение ЭЦП, присоединенной к проверяемому файлу (шаг 2), и ЭЦП, полученной на шаге 5;
7) заключение о целостности и аутентичности документа.
Схема второго этапа представлена на рисунке 2.
Могут возникнуть ситуации, когда рассмотренных ранее алгорит-
мов недостаточно. Например, в отдаленных филиалах организации возникает необходимость защищенный документ в электронном формате распечатать и сохранить возможность проверки его целостности и аутентичности. В этой ситуации применяют следующие алгоритмы:
Алгоритм преобразования документа из бумажного формата в электронный (рис. 3, а):
1) сканирование документа, сохранение информации из области данных в BMP файл;
2) сканирование штрих-кода, получение данных ЭЦП;
3) добавление к файлу, полученному в п. 1 ЭЦП из п. 2 и сохранение.
Сравнение полученных ЭЦП
К Вывод о
\ целостности и
----------,/ аутентичности
" документа
а) проверка бумажного документа на целостность и аутентичность
а) проверка электронного документа на целостность и аутентичность
Рис. 2. Проверка подлинности и аутентичности документа
Алгоритм преобразования документа из электронного формата в бумажный (рис. 3, б):
1) считывание данных из ЭЦП, прикрепленной к документу;
2) создание штрих-кода и занесение данных в него из п. 1;
3) добавление штрих-кода к документу и печать файла.
За универсальный формат представления документа принято его изображение в формате BMP, так как в алгоритмах не распознаются символы текста. Данными в этом случае являются последовательности, состоящие из координат черных пикселей изображения документа. Также в структуру документа добавляются специальные метки для привязки координат, которые будут ограничивать область данных документа. Текст в документе должен располагаться так, чтобы была возможность добавить
штрих-код.
На рис. 4 представлен образец примерной структуры бумажного документа.
Представленная технология направлена на исключение случаев умышленного или неконтролируемого отчуждения ЭЦП от своего владельца. Многие руководители пока не готовы и не считают нужным регулярно сидеть за компьютером и подписывать документы, если они не имеют большого значения для деловой деятельности. Данное обстоятельство является началом большинства злоупотреблений в этом направлении. В практике нашумевших компьютерных преступлений показательным является случай, произошедший в 1999 году с одной из крупнейших московских телекоммуникационных компаний, когда она перевела на счет некоего юридического лица около 1,2 миллиона долларов. По заявлению компании было заведено уголовное дело, и одновременно с этим компания попыталась через арбитражный суд возместить свои убытки за счет банка, обосновывая это тем, что такой платеж не совершался. При рассмотрении иска было доказано, что платеж был произведен с терминала компании, подключенного к системе «клиент-банк», и что была использована подлинная ЭЦП одного из ее первых лиц. Результаты проведенной в банке экспертизы также показали, что информационная система банка работала нормально и несанкционированного доступа к ней не было. В итоге арбитражный суд иск компании отклонил, и попытка компенсировать ущерб от собственной неряшливости за счет обслуживающего банка не удалась .
Рис. 3. Преобразование форматов защищенного документа
Что произошло на самом деле, в решении арбитражного суда не говорится, но догадаться несложно. Скорее всего, загруженный работой руководитель компании не успевал подписывать финансовые документы для отправки в банк и передал эту обязанность вместе со своей ЭЦП кому-то из сотрудников. Разрабатываемая технология исключает передачу ЭЦП от
владельца постороннему лицу, так как вместе с ЭЦП ее владельцу необходимо поставить реальную рукописную подпись на документе. Подделка динамических характеристик рукописной подписи посторонним лицом на практике является сверхсложной задачей.
Рис. 4. Возможная структура документа, приведенного в бумажном формате
Таким образом, представленная технология гибридного документооборота может стать решением многих проблем, связанных с совмещением применения электронного и бумажного документооборота. При ее внедрении помимо проверки целостности и аутентичности бумажного и электронного документа, появляется возможность проверки аутентичности владельца ЭЦП.
Список литературы
1. ГОСТ 34-10.2001 Процессы формирования и проверки электронной цифровой подписи.
2. Pavel Lozhnikov, Oksana Chemikova. Handwriting dynamics as a means of authentication / ICITST 2011: 6th International Conference on Internet Technology and Secured Transactions, 11-14 December 2011, Abu Dhabi, United Arab Emirates. P. 176-179.
3. Храмцовская Н. А. Использование ЭЦП: проблемы и пути их решения // Финансовая газета. 2005, № 11.
Ложников Павел Сергеевич, канд. техн. наук, доц., [email protected], Россия, Омск, Научно-технический центр «КАСИБ»,
Самотуга Александр Евгеньевич, студент 5-го курса, специальность КОИБАС, [email protected], Россия, Омск, СибАДИ
TECHNOLOGY OF INTEGRITY AND A UTHENTICITY VALIDA TION OF DOCUMENTS IN HYBRID DOCUMENT MANAGEMENT SYSTEMS
P.S. Lozhnikov, A.E. Samotuga
The article presents the description of a technology that verifies document integrity and authenticity in hybrid document management systems. It describes the algorithms of the protected documents composition, validation of integrity and authenticity of the protected document and the translation of a document from paper into an electronic format and vice versa. The authors offer a method that solves the problem of the authenticity validation for the owner of an electronic digital signature by which the protected document is signed.
Key words: digital signature, hybrid document management, integrity of the document, authenticity of the document, dynamic signature.
Lozhnikov Pavel Sergeevich, candidate of technical science, docent, [email protected], Russia, Omsk, KASIB, Science and Technology Centre,
Samotuga Alexander Evgenievich, student, [email protected], Russia, Omsk,
МИРОВОЙ ОПЫТ СОЗДАНИЯ И ХРАНЕНИЯ
ИНФОРМАЦИОННЫХ РЕСУРСОВ В СОВРЕМЕННЫХ
УСЛОВИЯХ
А.К. Талалаев, Е.Е. Евсеев, П.Е. Завалишин, Н.Е. Проскуряков
Приведены результаты исследования и анализа мирового опыта по информационному страхованию различных видов документации и определены тенденции развития гибридных технологий защиты и хранения информации в мире и России
Ключевые слова: страховой фонд документации, гибридных технологий защиты и хранения информации, микрофильм, аналоговая и цифровая формы хранения информации
Российский страховой фонд документации (СФД) не может существовать в отрыве от мирового опыта работ по информационному страхованию различных видов документации. Поэтому с целью оценки общей мировой обстановки будет правильным обратить внимание на внешнюю, зарубежную среду где проводятся аналогичные работы, разрабатываются новые подходы и осваиваются новые передовые технологии.
Как показали информационные исследования, регулярно на протяжении последних восьми лет проводимые ФГУП НИИ Репрографии, на Западе открыто не существует понятия, аналогичного нашему понятию го-
