Юридически значимый безбумажный документооборот невозможен без применения электронной подписи (ЭП). Ее разновидности установлены Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» в ст. 5. Для наглядности приведем их характеристики таблицей:
Таблица 1. Чем различаются между собой 3 вида электронной подписи
Получается, что усиленная электронная подпись (УЭП) позволяет не только определить лицо, подписавшее документ, но и обнаружить факт внесения изменений в документ после его подписания. На обнаружение изменений работают достижения математики и криптографические алгоритмы, взломать которые практически невозможно.
Но (!) к сожалению, многие популярные форматы документов имеют уязвимости, которые позволяют обойти криптостойкие алгоритмы ЭП. Чтобы не оказаться в неприятной ситуации, их нужно учитывать. Далее объясним вам, какие форматы можно применять для создания электронных подлинников, а какие лучше не использовать вовсе или делать это с осторожностью.
См. статью «Архивные описи для электронных дел» в № 7' 2020
См. статью «Ознакомление с кадровыми документами, подтвержденное простой электронной подписью» в № 8' 2020
См. статью «Ознакомление с кадровыми документами, подтвержденное простой электронной подписью» в № 8' 2020
Если вы используете бесплатные офисные пакеты LibreOffice или OpenOffice, то знайте, что подписывать в них документы можно командой «Файл» → «Цифровые подписи» → «Подписать документ».
Представьте, что кто-то решил получить подпись директора в приказе на лимиты по мобильной связи на одну сумму, а уже после подписания сумма изменится в большую сторону. Злоумышленник может реализовать такого рода атаку, используя при подготовке проекта документа обновляемые поля вида «Текст с условием» (аналогично ведут себя и «Экспресс-блоки» в Microsoft Word). Последовательность действий может быть такой:
Единственное, что может сказать о наличии в документе изменяемых полей – это серый фон символов1 (см. «2» там же). Но согласитесь, если мы не знаем об их гипотетической опасности, то серый фон нас не смутит. Вы теперь о таких тонкостях уже осведомлены.
Рисунок 1. Программа LibreOffice Writer сообщает, что подпись верна, несмотря на то что содержимое документа исказилось после его подписания
Рисунок 2. Отсоединенная подпись не включает защиту Microsoft Word от изменения документа
Однако еще большую опасность представляет использование так называемой отсоединенной подписи совместно с форматами DOC, DOCX и ODT. Отсоединенная подпись создается специальными программами, например КриптоАРМ, в виде отдельного файла с расширением *.sig рядом с подписываемым документом. При этом не используются возможности стандартов, на которых эти форматы основываются, а значит, при открытии документа не может быть задействована какая-либо защита документа от изменения содержимого. Например, Microsoft Word будет обновлять поля и выполнять скрипты2, сохраняя целостность отсоединенной подписи.
Это означает, что форматы DOC, DOCX и ODT не подходят для создания электронных подлинников, т.к. могут быть легко скомпрометированы. Для защиты документов и гарантии их неизменности совместно с усиленной ЭП следует использовать специализированные форматы фиксированной разметки, соответствующие специальным международным стандартам, к ним относятся:
Фактически сохраняя файлы в этих форматах, вы переводите их в трудно редактируемый графический режим. Уже переведенные в эти форматы документы можно спокойно подписывать усиленной ЭП.
Следует обратить внимание на то, что наиболее популярный PDF (по стандарту ISO 32000) нужно применять с осторожностью или лучше избегать вовсе, т.к. он допускает ссылки на внешние шрифты, изменяемые поля и скрипты. Это делает PDF-документы потенциально уязвимыми к различного рода атакам.
Например, выполнение скрипта или замена изображения цифры в описании символов внешнего шрифта приведет к изменению содержимого PDF-файла без разрушения электронной подписи.
Вместо PDF рекомендуется использовать форматы PDF/A и XPS. Они устроены так, что содержат внутри файла всю необходимую информацию для того, чтобы каждый раз отображать документ в неизменном виде.
При подписании документа с расширением *.pdf убедитесь, что он соответствует стандарту ISO 19005-1, т.е. фактически является файлом PDF/A. Например, программа Adobe Reader выводит такое сообщение при открытии документа (оно отмечено «!» на Рисунке 3).
Если вы планируете подписывать PDF в какой-либо СЭД, обратите внимание, чтобы ваша СЭД выполняла проверку документов на соответствие стандарту PDF/A ISO 19005-1 так, как это делает программа Adobe Reader.
Рисунок 3. Файл соответствует стандарту PDF/A
Большинство документов создается в Microsoft Word. Транслировать их в формат PDF/A можно в этой же программе. Алгоритм будет зависеть от ее версии, например:
Далее откроется окно, где нужно выбрать тип файла: PDF или XPS. Если вам нужно получить именно PDF/A (а не просто PDF), то перед трансляцией в «Параметрах» включите опцию «Совместимый с ISO 19005-1 (PDF/A)» (Рисунок 3.2).
Рисунок 4. Экспорт документа из Microsoft Word 2010 в защищенный формат PDF/A или XPS
Рисунок 5. Указываем на необходимость создания PDF/A (вместо обычного PDF)
XPS является более современным аналогом PDF/A (соответствующий ему международный стандарт ECMA-388 регламентирует хранение всех необходимых ресурсов внутри файла документа).
Объясним, как изготовить защищенный электронный подлинник в формате XPS, а также продемонстрируем «реакцию» усиленной ЭП на попытку подделки документа.
Откроем документ в программе Microsoft Word и экспортируем его в формат XPS: порядок действий будет таким же, как при трансляции файла в PDF (см. его описание выше и Рисунок 4), только в этот раз при сохранении мы выбираем тип файла «Документ XPS (*.xps)»:
Рисунок 6. Выбор формата XPS для экспорта в него документа из Microsoft Word 2016
Полученный XPS документ подписываем с помощью СЭД Pilot-ECM или в другой системе, поддерживающей работу с усиленной ЭП.
В качестве эксперимента выполним модификацию содержимого подписанного файла XPS. Так как XPS является zip-архивом с XML внутри, то модификацию можно выполнить с помощью программ 7-zip и Блокнот. Для этого открываем XPS в 7-zip командой «Открыть архив». Открываем внутренний XML-файл описания страницы в программе Блокнот, заменяем символ «1» на «2» и сохраняем изменения.
Модифицированный документ загружаем обратно в Pilot-ECM и видим, что подпись недействительна. Именно так и должна работать технология защиты документов усиленной ЭП!
Рисунок 7. Попытка подделки документа обнаружена криптографическим алгоритмом ЭП
Криптографический алгоритм гарантированно выявляет малейшее изменение содержимого, поэтому попытка подделки провалилась. Актуализируем предыдущую версию документа, где целостность подписи не нарушена.
Рисунок 8. Возвращаем нескомпрометированную версию документа
Такой же надежный результат будет при подписании XPS отсоединенной подписью (например, с помощью распространенной программы КриптоАРМ).
* * *
Мы рассмотрели в статье форматы файлов DOC, DOCX и PDF, которые чаще всего как раз и используются для создания документов, чтобы предупредить о скрытых в них опасностях. Хотя, конечно, есть и другие форматы, которые не рекомендуется применять для создания электронных подлинников (их более полный перечень приведен в Таблице 2).
Таблица 2. Список популярных форматов и степень их защищенности при использовании усиленной ЭП
Наиболее надежными для создания электронных подлинников и их длительного архивного хранения в неизменном виде сейчас являются форматы PDF/A и XPS. Именно их следует использовать совместно с усиленной ЭП. Другие форматы следует применять с осторожностью.
Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для
этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:
А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!
Для того, чтобы оставить комментарий, необходимо авторизоваться
1 мая 2024 года вступил в силу новый ГОСТ Р 7.0.109–2024 о метаданных. Главная ценность этой статьи в том, что она написана одним из его разработчиков. Таким образом, вы получаете информацию «из первых рук»: для чего он разработан, что в нем есть.
Рассказываем о 3 отечественных стандартах (созданных на базе международных), которые помогут вам обеспечить достоверность и долговременную сохранность электронных документов, конвертировать их из одного формата в другой, мигрировать из одной системы в другую. Эти стандарты обобщают лучший практический опыт. Мы объясняем, что из них можно взять. Они помогут вам наладить работу с электронными документами, достигнуть большего взаимопонимания со своим руководством и ИТ-специалистами.
Как сгруппированы метаданные о документе в новом ГОСТ, какой подход использовался ранее. На примере приказа по основной деятельности показали, какие метаданные о реквизитах этого документа, о действиях с ним, а также чисто технические метаданные стоит предусмотреть в СЭД, СХЭД или иной специальной системе.
09.04.2024 прошел онлайн-семинар «Риски использования ЭП и МЧД», организованный журналом «Делопроизводство и документооборот на предприятии» и сайтом delo-press.ru. Мы пригласили для выступления ведущих экспертов. А сейчас предлагаем вам ответы на уточняющие вопросы слушателей семинара, которые дали спикеры во время мероприятия (при публикации в журнале мы дополнили их ссылками на нормативную базу и расширили аргументацию).
Режим «Рецензирование» существенно облегчает разработку, согласование вордовского документа группой людей – он автоматически фиксирует каждую вставку, удаление, перемещение текста, форматирование и все это пользователи еще могут комментировать! Показываем, как управлять отображением правок (каким способом, какие типы и от каких пользователей показывать, как определить автора изменений, как распечатать исходный или окончательный вариант текста). Как выявить правки, которые коллега пытался вставить незаметно! Можно объединить в одном документе правки от разных людей, присланные ими в разных версиях файла. А еще можно защитить документ от редактирования либо установить пользователям пределы дозволенного. Даже если режимом «Рецензирование» уже пользуетесь, из этой статьи сможете узнать новые «ювелирные» настройки, которые сделают вашу работу еще удобнее.
Приведен список из более 60 действующих нормативных правовых и методических документов в сфере управления документами, которые мы систематизировали по 6 разделам: требования к документированию деятельности, автоматизации, работе с документами и данными, их хранению, работе с электронными документами и подписями и др. Авторы статьи рассматривают причины, по которым данная система регламентации и существующие подходы в СЭД пока не позволяют массово внедрить безбумажную модель документооборота. Предложено сформировать эталонную модель цифрового документооборота электронных подлинников документов (с готовыми решениями вместо перечня правил) в виде отечественного стандарта. Его разработкой уже занимается экспертная компания «ДокМенеджмент Консалт», рассказываем, какие пробелы он призван восполнить, какие конкретные методики работы воплотить.
Раскрыты секреты создания эффектной презентации в современном стиле для деловых отчетов и планов: как сделать данные наглядными, как привлекать внимание, как лучше форматировать гистограммы и диаграммы, как использовать шрифты, цвета и картинки, где взять бесплатные фото и иконки. Описаны интересные возможности программы PowerPoint из Microsoft Office, которые стоит применять.
Автор напоминает основные принципы организации контроля исполнения поручений, а потом подробно объясняет, как удобнее автоматизировать эту работу с использованием стандартных возможностей MS Excel (какие поля в таблице регистрационной формы пригодятся, как настроить фильтрацию данных и пользоваться ею, какие сведения удобно выделять автоматически). Статья особенно пригодится тем, кому на покупку специализированного программного обеспечения для автоматизации делопроизводства денег пока не дают.
Оформить подписку на журнал
«Делопроизводство и документооборот на предприятии»
можно в любом отделении почты:
