УДК 004.056

Использование ЭП в вузе для организации защищенного документооборота. Необходимость и предпосылки введения ЭП на примере изучения работы электронного деканата

Мазнин Дмитрий Николаевич – доцент кафедры Информатики и информационной безопасности Магнитогорского государственного университета им. Г.И. Носова.

Федорова Анастасия Константиновна – студент Магнитогорского государственного университета им. Г.И. Носова.

Аннотация: Информационные технологии развиваются с каждым днем, помогая упростить многие бумажные системы хранения, выполняя рутинную работу и обеспечивая при этом надежную защиту циркулирующей в системе информации. Но за развитием технологий не всегда и везде поспевает их внедрение. Не исключением стали и информационные системы высших учебных заведений. Организация защищенного документооборота в вузах является очень важным аспектом, поскольку в университетах обрабатывается множество конфиденциальных данных, включая данные студентов, преподавателей, исследовательские материалы, финансовые отчеты и другую важную информацию, защита которых является обязательной по законодательству РФ. В данной статье рассматривается, какие предпосылки к введению ЭП были обнаружены при исследовании ИСПДн «Электронный деканат» МГТУ им. Носова. Разбор данных предпосылок поможет не только понять, как можно улучшить и упростить уже существующую ИС, но и обеспечить при всем при этом должный уровень защищенности информации.

Ключевые слова: информационная безопасность, электронный документооборот, ЭП, информационная система.

Документооборот вуза это сложная витиеватая система, данные передаются длинными маршрутами и проходят множество этапов, на каждом из которых важно обеспечивать их защиту. Зачастую такая система имеет смешанный вид: наполовину бумажная, наполовину – электронная.

При изучении работы части большой системы вуза, а именно электронного деканата было обнаружено, что некоторый бумажный документооборот необходимо переводить в электронный вид не только для облегчения и упрощения работы, что в свою очередь так же отражается и на количестве ошибок, но и для обеспечения большей информационной безопасности.

Для начала необходимо понимать, что представляет собой ИСПДн «Электронный деканат».

Электронный деканат – это автоматизированная система управления учебным процессом в высших учебных заведениях, которая позволяет упростить и ускорить процессы по работе, связанные с информацией по студентам института, ведения учетной документации, выставления оценок и аттестации.

Система электронного деканата обеспечивает эффективное взаимодействие между студентами, преподавателями и администрацией института. Студенты могут быстро и удобно получать информацию о своем учебном процессе, расписании занятий, оценках и задолженностях. Преподаватели имеют возможность выставлять оценки и заносить их в базу данных. Администрация может управлять учебным процессом и осуществлять мониторинг его эффективности.

Электронный деканат позволяет сократить бумажную работу и уменьшить количество ошибок в учетной документации. Это также обеспечивает более быстрый и удобный доступ к информации о студентах и учебном процессе, что помогает оптимизировать работу института в целом.

Система ИСПДн «Электронный деканат» базируется на работе с базой данных (далее – БД) «Студент». Обработка ПДн в ИС «Студент» производится по схеме «клиент-сервер» – исходные данные заносятся в систему на АРМ операторов ИСПДн, обработка и хранение ПДн производятся на выделенном сервере баз данных.

В рамках технологического процесса основные операции с персональными данными включают следующие этапы:

  • Ввод/корректировка информации в ИСПДн пользователями;
  • Хранение/обработка информации;
  • Вывод информации.

В системе «Электронный деканат» с данными взаимодействуют 4 основные должности в лице заместителей директора деканата, в данной статье внимание будет сосредоточено вокруг заместителя по учебной деятельности, так как его работа больше всего связана с внесением изменений в электронном виде.

Схема потоков данных для заместителя по учебной работе представлена на рисунке 1.

1

Рисунок 1. Работа заместителя по учебной деятельности.

Из схемы видно, что исходя из данных по студентам, которыми являются, в том числе, данные об успеваемости, заместитель директора назначает стипендию. Рассмотрим более ранний этап: как данные об успеваемости студентов попадают в базу данных студент и существующую систему заполнения экзаменационной ведомости в вузе:

  1. Преподаватель заносит результаты по сессии в электронном виде на портал.
  2. После выставления всех оценок преподаватель отправляет ведомость без дальнейшей возможности на редактирование в БД «Студент».
  3. На основании успеваемости заместитель директора по учебной работе начисляет стипендию, данные о которой уходят и хранятся в БД «Студент»
  4. После проведения сессии преподаватель печатает бланк экзаменационной ведомости в бумажном виде и заверяет его подписью, вторая подпись ставится директором института и таким образом ведомость становится юридически значимым документом, хранимым в бумажном виде.

2

Рисунок 2. Схема потоков данных по электронной ведомости.

У каждого преподавателя за долгий опыт работы случается ситуация когда оценка в ведомости студенту перепутана или не выставлена, как устроена действующая система на этот случай?

Преподавателю необходимо в срочном порядке (так как это влияет на стипендию студента, а порой даже и на отчисление) в бумажном виде написать и подписать заявление об изменении оценки на конкретного студента, заверить его своей подписью и подписью заведующего кафедрой. Далее это заявление попадает к заместителю по учебной деятельности, который имеет доступ к изменению оценок в базе данных студент. Заместитель редактирует оценку в электронной ведомости и с учетом поправок вносит изменения (если это необходимо) в данные о начислении стипендии (рисунок 3).

Кроме того необходимо также переписать ведомость для всей группы с учетом поправок по ошибочной оценке, закрепив ее так же двумя подписями.

3

Рисунок 3. Схема изменения оценки.

Из-за возможных ошибок со стороны преподавателя система устроена таким образом, что заместителю по учебной работе открыт доступ для редактирования ведомости на постоянной основе, даже за периоды давно прошедших сессий. Разумеется, изменения заместитель может вносить только на основании имеющегося бумажного подписанного заявления, но сам факт наличия такой возможности оставляет пробел в безопасности для недобросовестного сотрудника. Например, редактирование оценок может стать основанием для начисления или повышения стипендии, что повлечет финансовые потери для вуза. Вдобавок такое редактирование не имеет равнозначных последствий с изменением реально подписанных документов.

Еще одной предпосылкой обнаруженной при изучении ИС стал момент заполнения ведомостей в период активной фазы COVID-19. Как известно в период пандемии 2021 года большинство вузов страны перешли на дистанционное обучение, экзамены и зачеты, в том числе проводились на удалении. Неудобство возникло в моменте заполнения ведомостей. После проведения сессии оценки выставлялись и заносились через портал преподавателями, после чего попадали в БД «Студент». Но так как необходимо хранить ведомости в бумажном виде с наличием подписи уполномоченных лиц, по выходу с удаленной формы обучения на каждого из преподавателя вуза и прочее вышестоящее руководство, разом обрушились обязательства по бумажному заполнению ведомостей прошедшей сессии и зачетных книжек студентов. Какие есть риски? Помимо рутинной большой дополнительной работы появляется также высокая вероятность ошибочного заполнения документов, так как преподавателю необходимо заполнить большое количество информации одномоментно. Всё это можно было бы избежать при наличии ЭП в ЭДО.

Почему нельзя перенести весь имеющийся бумажный документооборот в электронный вид?

Потому что юридически значимым документ является только при наличии подписи, а равнозначной с обычной рукописной подписью является электронная подпись, согласно №149-ФЗ.[5] Решением этой проблемы как раз и является ввод и использование ЭП в ЭДО.

Электронный документооборот (ЭДО) с использованием электронной подписи (ЭП) – это процесс обмена электронными документами между участниками, где каждый документ подписывается ЭП, которая гарантирует подлинность документа и подписавшего его лица.

ЭП является электронным аналогом обычной подписи на бумажном документе. Она состоит из криптографических ключей, сгенерированных для каждого участника, и используется для шифрования и проверки подлинности электронных документов.

ЭДО с использованием ЭП имеет множество преимуществ, таких как повышенная безопасность, ускоренный процесс обмена документами, уменьшение затрат на бумажную документацию и доставку почтой. Кроме того, ЭП позволяет исключить возможность подделки документов, обеспечивает надежность и подлинность информации.[2]

Применимо к вышеописанным случаям, наличие ЭП позволит придать юридическую значимость документам в электронном виде, что позволит отказаться от бумажной документации и облегчить работу, повышая при этом уровень безопасности.

В России в электронном документообороте можно использовать три вида подписи: простую, усиленную неквалифицированную и усиленную квалифицированную.[4] Какую выбрать для внедрения в документооборот вуза? Можно рассмотреть два варианта, это усиленная неквалифицированная электронная подпись (далее – НЭП) и усиленная квалифицированная (далее – КЭП).

Таблица 1. Сравнение НЭП и КЭП. [1]

Свойства электронной подписи

Неквалифицированная

Квалифицированная

Способ получения

В любом удостоверяющем центре

В аккредитованном УЦ

Защита подписанного документа

Защищает документ от подделки

Защищает документ от подделки

Юридическая значимость

Требует соглашения о признании

Равна собственноручной подписи

Где хранятся

На любом носителе

Защищенный носитель (Рутокен, eToken)

Усиленная квалифицированная электронная подпись – самый регламентированный государством вид подписи. Так же, как и неквалифицированная электронная подпись, она создается с помощью криптографических алгоритмов и базируется на инфраструктуре открытых ключей, но отличается от НЭП в следующем:

  • Обязательно имеет квалифицированный сертификат в бумажном или электронном виде, структура которого определена приказом ФСБ России № 795 от 27.12.2011.
  • Программное обеспечение для работы с КЭП сертифицировано ФСБ России.
  • Выдавать КЭП может только удостоверяющий центр, который аккредитован Минкомсвязи России.

Если в вузе ведут ЭДО, подписывая документы КЭП, их юридическая сила признается автоматически согласно федеральному закону № 63-ФЗ “Об электронной подписи”.[1]

Для выбора необходимо проанализировать объем внутреннего и внешнего электронного документооборота (как существующего на данный момент, так и планируемого после завершения проекта по внедрению ЭП).[3] Также необходимо понимать и согласовать все возможные затраты по финансированию такого проекта.

Для использования ЭП в вузе необходимо разработать четкий план его внедрения, обязательно имеющий следующие шаги:

  • Получение сертификата ключа ЭП у аккредитованного удостоверяющего центра.
  • Установка программное обеспечение для работы с ЭП.
  • Подписание документов с помощью ЭП, используя программное обеспечение.
  • Хранение ключа ЭП в надежном месте и обеспечение его конфиденциальности, чтобы исключить возможность несанкционированного доступа к ключу.
  • Обеспечение соответствия процедуры использования ЭП установленным законодательством требованиям, в том числе по подтверждению подлинности ключа и контролю доступа к ключу.

Для того чтобы проводить процессы электронного документооборота с использованием ЭП необходимо использовать специализированные программные продукты, которые позволяют обмениваться документами и подписывать. Это может быть как отдельная программа, так и плагин к уже установленному офисному пакету.

Важно убедиться, что программное обеспечение для работы с ЭП соответствует требованиям законодательства, а также настроено правильно и установлено корректно на компьютере.

В данной статье изучены, проанализированы и раскрыты некоторые аспекты работы, связанные с ИСПДн «Электронный деканат», которые необходимо модернизировать и переводить в электронный вид с помощью внедрения ЭП. Предложен выбор ЭП с обоснованием, а так же представлено тезисное описание необходимых шагов для использования ЭП в вузе.

Вопрос ввода ЭП в ЭДО является актуальным на сегодняшний день, так как это СЗИ не пользуется большой популярностью в Российских вузах, несмотря на имеющиеся предпосылки для его внедрения. А ведь это не только в разы упрощает работу существующей бумажной системы, но и повышает её безопасность.

Список литературы

  1. Электронная подпись – виды, способы применения и получения [Электронный ресурс]. – URL: https://tensor.ru/uc/ep/vidyi.
  2. Тимошин П.А. Перспективы развития и использования систем электронной цифровой подписи // Синергия. 2007. № 330 стр. 26.
  3. Что нужно знать об электронной подписи, прежде чем внедрять [Электронный ресурс]. – URL: https://www.audit-it.ru/articles/soft/a115/977113.html.
  4. Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ
  5. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ.

Интересная статья? Поделись ей с другими: