01.07.2025 21:42
AleksGRV 1 2200 Источник

Документы с грифом «Для служебного пользования» (ДСП) содержат сведения ограниченного распространения. Это информация, не подпадающая под государственную тайну, но доступ к которой ограничен по служебной необходимости или в соответствии с законами.

На бумаге такие документы пересылают в плотных непрозрачных пакетах через фельдъегерскую службу, курьером или заказным письмом. Но можно ли передавать такие данные по электронной почте — и если да, чем заменить этот самый «плотный пакет» в цифровом виде?

В этой статье разберем:

  • что такое документы ДСП и какими нормативными актами они регулируются;

  • можно ли пересылать их по электронной почте и при каких условиях;

  • какие технологии защиты обязательны;

  • какие программные решения можно использовать для автоматизации.

Что такое документы ДСП

ДСП (для служебного пользования) — это категория информации с ограниченным доступом (еще их называют — документы ограниченного распространения), не относящаяся к государственной тайне, но требующая особых условий хранения и передачи. Документы с грифом ДСП часто содержат сведения, разглашение которых может повлечь за собой серьезные последствия — от дисциплинарной до уголовной ответственности.

К типичным примерам относятся:

  • внутренние инструкции, протоколы, служебные записки;

  • отчеты аудита, техзадания, планы безопасности;

  • архитектура ИБ-систем и сведения об уязвимостях;

  • переписка между подразделениями, содержащая чувствительные данные.

Доля таких документов растет.  Для примера, в документообороте правительства она составила на 2024 году 21%.

Важно: документы с грифом ДСП не подлежат свободному распространению в интернете, в том числе по открытым каналам связи, таким как обычная электронная почта без шифрования вложений или всего письма.

Какие законы регулируют обращение с ДСП-документами?

Передача и защита документов с грифом ДСП регулируются рядом нормативных актов, действующих на 2025 год:

  1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — определяет понятия информации ограниченного доступа и обязанности по её защите.

  2. Указ Президента РФ от 06.03.1997 № 188 (с правками № 357 от 13.07.2015) «Об утверждении перечня сведений конфиденциального характера» — относит служебные сведения, доступ к которым ограничен органами государственной власти, к конфиденциальной информации.

  3. Постановление от 03.11.1994 № 1233 (с правками № 1350 от 09.10.2024) — регламентирует порядок работы с документами, которые содержат служебную информацию ограниченного распространения.

  4. Приказ ФСТЭК России от 11.02.2013 № 17 (с правками № 159 от 28.08.2024) определяет порядок защиты информации при её обработке в информационных системах, включая передачу по сетям связи.

  5. Приказ Минцифры РФ N 611, ФСО РФ № 96 от 12.07.2024 — описывает требования к обмену документами в электронном виде, в том числе формат документа и контейнера.

Уголовный и административный кодексы РФ

  • Статья 13.14 КоАП РФ — штраф за разглашение информации с ограниченным доступом (в том числе ДСП).

  • Статья 183 УК РФ — предусматривает уголовную ответственность за незаконное получение и разглашение конфиденциальных данных.

Можно ли отправлять ДСП-документы по электронной почте?

Можно, но только при соблюдении мер защиты информации, установленных законодательством и ведомственными нормативными актами. Ключевое требование — шифрование данных с использованием средств криптографической защиты информации (СКЗИ). Именно шифрование и заменит «плотный пакет», скрыв содержимой от сторонних лиц.

Шифрование

Передача ДСП-документов возможна только в зашифрованном виде. Это требование установлено как федеральным законодательством, так и внутренними регламентами безопасности. Без криптографии — никак. Обычный пароль на PDF или архив — не защита. Некоторые пытаются отправлять ДСП через Telegram («ведь там есть шифрование!»). Но мессенджеры не подходят для официального документооборота данными, тем более в открытом виде.

Обязательное условие: использование алгоритмов ГОСТ 28147-89, ГОСТ Р 34.12-2015 (ГОСТ 34.12-2018) или ГОСТ Р 34.13-2015 (ГОСТ 34.13-2018).

Ограничение доступа

Документы с грифом ДСП должны быть доступны только уполномоченным лицам, у которых:

  • есть соответствующий уровень доступа согласно должностной инструкции и приказу);

  • ведется аудит доступа (кто, когда и какой документ открыл, отправил, сохранил или удалил)

Учет, регистрация и автоматизация

Для минимизации человеческого фактора и исключения нарушений:

  • все документы должны иметь маркировку «ДСП» и регистрироваться в журнале учета ДСП-документов;

  • автоматизируйте документооборот с учетом регламентов;

Главное правило: если сомневаетесь — не отправляйте, пока не уточните статус документа и регламент. Лучше перестраховаться, чем разбираться с последствиями утечки.

Один из ключевых инструментов для защиты электронной почты с документами ДСП — это технология S/MIME. Она помогает обеспечить конфиденциальность, целостность и подлинность сообщений

Что такое S/MIME?

S/MIME (Secure/Multipurpose Internet Mail Extensions) — это международный стандарт, описывающий механизмы шифрования и подписи электронных писем с помощью криптографии с открытым ключом. Он обеспечивает:

  • Конфиденциальность — содержимое письма невозможно прочитать посторонним;

  • Целостность — нельзя незаметно изменить письмо без потери подписи;

  • Подтверждение подлинности отправителя — вы точно знаете, от кого письмо, а не «похоже, что от директора».

Технология широко поддерживается большинством популярных почтовых клиентов, мобильных приложений и корпоративных платформ. Есть и готовые отечественные решения, про наиболее популярные (КриптоАРМ, RuPost Desktop, МойОфис Почта, DioPost-M и прочие) можно прочитать в статье «8 лучших российский аналогов Microsoft Outlook в 2024 году».

S/MIME использует механизм PKI (инфраструктуры открытых ключей). Это значит, что у каждого пользователя есть:

  • Открытый ключ — им шифруют данные, он общедоступен;

  • Закрытый ключ — им расшифровывают или подписывают данные, он должен хранится в безопасности у владельца.

При шифровании:

  1. Отправитель получает сертификат открытого ключа получателя.

  2. Содержимое письма шифруется симметричным алгоритмом.

  3. Ключ симметричного шифрования дополнительно шифруется открытым ключом получателя.

  4. Получатель расшифровывает письмо, используя свой закрытый ключ.

Обратите внимание, что при шифровании письма шифруется тело (текст и вложения), а заголовки (тема, отправитель, получатель) остаются открытыми.

Простой пример письма без шифрования:

Обычное письмо
Обычное письмо

И после шифрования:

Зашифрованное письмо
Зашифрованное письмо

Давайте посмотрим ASN1 парсером (в примерах использую lapo.it), что хранится внутри файла smime.p7m:

ASN1 структура зашифрованного тела письма
ASN1 структура зашифрованного тела письма

Здесь видно сведения сертификате получателя (RecipientInfo), данные об алгоритмах и собственно сам зашифрованный контент (EncryptedContent), недоступный для чтения без расшифрования.

А так выглядит зашифрованное письмо при просмотре в браузере или клиенте без поддержки расшифрования (или если нет доступа к закрытому ключу получателя):

Зашифрованное письмо в обычном браузере
Зашифрованное письмо в обычном браузере

Вложение можно скачать и расшифровать локально «вручную»:

Расшифрованные файла smime.p7m в КриптоАРМ
Расшифрованные файла smime.p7m в КриптоАРМ
Просмотр расшифрованного eml
Просмотр расшифрованного eml


Но конечно удобнее пользоваться почтовым клиентом с поддержкой расшифрования и ГОСТ-алгоритмов:

Чтение зашифрованного письма в КриптоАРМ
Чтение зашифрованного письма в КриптоАРМ

Программные решения для автоматизации отправки и обработки ДСП-документов на сервере

Чтобы снизить нагрузку на сотрудников, требуется автоматизация. Ручная отправка ДСП-документов — это:

  • Риск человеческой ошибки (например, забыли зашифровать документ или отправили его не тому адресату);

  • Задержки в процессе (нужно последовательно заархивировать, подписать, зашифровать, вручную указать получателя);

  • Невозможность обеспечить корректный аудит (не ведется автоматический журнал действий, нет фиксации получения, открытия и проверки документа);

  • Нарушение регламентов при массовой или повторяющейся отправке (например, пересылка отчетов между территориальными подразделениями).

Существует множество библиотек и инструментов, используемых разработчиками для автоматизации почтового обмена. Приведем только наиболее популярные.

  1. Node.js

  • Nodemailer — популярная библиотека для отправки почты из Node.js. Простая в использовании, поддерживает SMTP, аутентификацию и вложения. Однако не имеет встроенной поддержки ГОСТ-шифрования и требует дополнительной реализации защиты.

  • emailjs  — легковесная библиотека для отправки email через SMTP. Поддерживает вложения, SSL. Подходит для простых задач.

  • smtp-client  — минималистичная и чистая реализация SMTP-клиента.

  1. Python

  • smtplib и email — стандартные модули для отправки почты и работы с MIME-сообщениями. Не обеспечивают криптографию, но широко используются в скриптах и автоматизации.

  1. Другие языки

  • PHPMailer —  самая популярная библиотека для отправки email в PHP.

  • Gomail — это простой и эффективный пакет для отправки писем на Go.

  • Jakarta Mail  — библиотека/фреймворк для работы с email в Java.

Хотя это и удобные библиотеки с множеством примеров, но, к сожалению, они не соответствуют российским требованиям для обработки ДСП-документов.

Среди подходящих под задачу отправки ДСП выберем для примера КриптоАРМ Server. Это серверное решение для централизованного шифрования, подписи и автоматической обработки электронной почты с поддержкой ГОСТ-алгоритмов и полной интеграцией с корпоративной инфраструктурой. В составе несколько специализированных модулей под Node.js.

Как автоматизировать передачу и обработку ДСП-документов при помощи КриптоАРМ Server

Для организаций, где передача документов с грифом ДСП происходит регулярно, ручные процессы — это риск и излишняя нагрузка. Решением становится автоматизация с использованием КриптоАРМ Server и модуля trusted-mail.

Что такое trusted-mail

trusted-mail — это модуль для Node.js из состава КриптоАРМ Server, реализующий автоматическую защиту и доставку электронной почты, включая документы с грифом ДСП. Он работает как связующее звено между сервером почты и системой криптозащиты. Исходный код открыт. Используется библиотека MailCore 2, а она зависит от LibEtPan.

Основные возможности trusted-mail

  • Подключение к SMTP, IMAP и POP3-серверам.

  • Формирование и парсинг писем.

  • Подпись и шифрование по ГОСТ-алгоритмам.

  • Проверка подписи и расшифрование входящей почты.

trusted-mail использует в качестве криптопровайдера КриптоПро CSP. Криптографические операции выполняется вызовами методов CSP (из нативной C++ части).

Преимущества автоматизации с trusted-mail

  • Уменьшение ручных операций и человеческих ошибок.

  • Возможность интеграции с корпоративной ИТ-инфраструктурой.

  • Повторяемость процессов, масштабируемость, отказоустойчивость.

  • Для криптографии используется СКЗИ КриптоПро CSP.

Пример шифрования и отправки email на сервере

Приведем упрощенный пример шифрования и отправки по SMTP письма с вложением. Для автоматизации стоит обернуть код в микросервис.

import {
  MessageBuilder,
  MessageHeader,
  Attachment,
  SMTPAsyncSession,
  AuthType,
  connectionTypeFromString,
} from 'trusted-mail';
import * as fs from 'fs';
import moment from 'moment';

const email = ‘test@mail.ru’;

// Сборка MIME-сообщения
async function buildMessage(
  message: IMail,
  attaches: UploadedFile[],
): Promise<{ buildedMessage: MessageBuilder; errorMsgs: DraftErrorMessage[] }> {
  const builder = new MessageBuilder();
  const header = new MessageHeader();
  const errors: DraftErrorMessage[] = [];

  header.date = new Date();
  header.sender = email;
  header.to = message.To;
  header.cc = message.Cc;
  header.bcc = message.Bcc;
  header.subject = message.Subject;
  header.replyTo = [email];
  header.setExtraHeader('Return-Path', email);

  if (message.In_Reply_To.length) header.inReplyTo = [message.In_Reply_To];
  if (message.References?.length) header.references = message.References;
  if (message.Message_ID) header.messageID = message.Message_ID;

  if (message.enableReadReport) {
    header.setExtraHeader('Disposition-Notification-To', `<${email}>`);
  }

  if (message.enableDeliveryReport) {
    header.setExtraHeader('Return-Receipt-To', `<${email}>`);
  }

  builder.header = header;
  if (message.content.length) builder.htmlBody = message.content;
  if (message.preview.length) builder.textBody = message.preview;

  await addAttachments(builder, attaches, errors);

  return { buildedMessage: builder, errorMsgs: errors };
}


// Добавление вложений в письмо
async function addAttachments(
  builder: MessageBuilder,
  attaches: UploadedFile[],
  errors: DraftErrorMessage[],
) {
  const normal: Attachment[] = [];
  const inline: Attachment[] = [];

  for (const file of attaches) {
    try {
      const attach = new Attachment();
      attach.data = file.content
        ? Buffer.from(file.content, 'base64')
        : await fs.promises.readFile(file.path);
      attach.filename = file.name;

      if (file.contentId) {
        attach.contentID = file.contentId;
        inline.push(attach);
      } else {
        normal.push(attach);
      }
    } catch (err) {
      errors.push({
        title: `Ошибка вложения ${file.name}`,
        text: err.message || JSON.stringify(err),
        timestamp: moment().format('YYYY-MM-DD HH:mm:ss'),
      });
    }
  }

  if (normal.length) builder.attachments = normal;
  if (inline.length) builder.relatedAttachments = inline;
}

// Установка сертификатов получателей
async function setEncryptionCertificates(
  builder: MessageBuilder,
  recipients: ICertificateData[],
  errors: DraftErrorMessage[],
) {
  try {
    const certs: string[] = recipients.map((cert) => {
      try {
        return CertStore.getInstance().certInfoToPem(cert);
      } catch (err) {
        errors.push({
          title: `Ошибка сертификата ${cert.subjectFriendlyName}`,
          text: err.message || JSON.stringify(err),
          timestamp: moment().format('YYYY-MM-DD HH:mm:ss'),
        });
        return '';
      }
    });

    builder.SetRecipientsCerts(certs);
  } catch (e) {
    errors.push({
      title: `Ошибка установки сертификатов`,
      text: e.message || JSON.stringify(e),
      timestamp: moment().format('YYYY-MM-DD HH:mm:ss'),
    });
  }
}

// Подготовка и отправка письма
async function buildAndSendMessage(
  mesageParams: IMessageParams,
  activeAccount: IMailAccountData,
  logsInfo: ErrorMessage[],
): Promise<void> {
  const { buildedMessage, errorMsgs } = await buildMessage(
    mesageParams.message,
    activeAccount,
    mesageParams.attaches,
  );

  await setEncryptionCertificates(buildedMessage, mesageParams.recipients, errorMsgs);

  let buffer = await buildedMessage.getDataAsync();

  const session = new SMTPAsyncSession();
  session.hostname = activeAccount.smtpServer;
  session.port = activeAccount.smtpPort;
  session.username = activeAccount.email;
  session.password = activeAccount.password;
  session.checkCertificateEnabled = true;
  session.authType = AuthType.AuthTypeSASLLogin;
  session.connectionType = connectionTypeFromString(activeAccount.smtpConnectionType);

  const recipients = extractAllRecipients(mesageParams.message);

  if (!buffer?.length) {
    try {
      buffer = await buildedMessage.getDataAsync();
    } catch (err) {
      throw [
        {
          title: 'Ошибка сборки сообщения',
          text: err.message || JSON.stringify(err),
          timestamp: moment().format('YYYY-MM-DD HH:mm:ss'),
        },
      ];
    }
  }

  if (mesageParams.sign && activeAccount.certificate) {
    const cert = JSON.parse(activeAccount.certificate);
    logsInfo.push({
      title: 'Письмо подписано',
      text: `Сертификат: ${cert.subjectFriendlyName}: ${cert.serial}`,
      operation: 'Подпись',
      timestamp: moment().format('YYYY-MM-DD HH:mm:ss'),
    });
  }

  if (mesageParams.encrypted) {
    logsInfo.push({
      title: 'Письмо зашифровано',
      text: `Сертификаты: ${mesageParams.recipients
        .map((c) => `${c.subjectFriendlyName}: ${c.serial}`)
        .join(', ')}`,
      operation: 'Шифрование',
      timestamp: moment().format('YYYY-MM-DD HH:mm:ss'),
    });
  }

  await session.sendMessageOperation(
    activeAccount.email,
    recipients,
    buffer,
    mesageParams.message.enableDeliveryReport ? 1 : 0,
  );
}

// Извлечение всех получателей
function extractAllRecipients(message: IMail): string[] {
  const extract = (list: string[]) =>
    list.map((el) =>
      el.includes('<') ? el.slice(el.indexOf('<') + 1, el.indexOf('>')) : el,
    );
  return [...extract(message.To), ...extract(message.Cc), ...extract(message.Bcc)];
}

Вывод

Отправка документов с грифом ДСП по электронной почте — задача, требующая четкого соблюдения законодательных норм и обеспечения высокого уровня безопасности. Для организаций, работающих с такими документами, особенно важно использовать решения, которые поддерживают необходимые криптографические стандарты, автоматизируют процессы и позволяют контролировать всю цепочку обработки.

Выбор конкретного решения зависит от масштаба организации, особенностей инфраструктуры и требований к безопасности. В любом случае, автоматизация отправки и обработки ДСП-документов позволяет повысить эффективность работы, снизить риски и обеспечить необходимый уровень контроля.

Используйте шифрование для писем с грифом «ДСП» и отправляйте документы в «защищённых пакетах» — безопасно, автоматически и с соблюдением всех требований.

Комментарии (1)


  1. itshnick88
    02.07.2025 02:24
    #28515454

    Спасибо, статья интересная, но я бы рекомендовал при передаче чувствительно информации что-то типа Деловой Почты ViPNet - тут у вас и закрытый канал через криптошлюзы типа Coordinator и шифрование почтовых писем по ГОСТу. Риски сильно снизятся