+7 (495) 956-79-28
Демо-версия клиента под BlackBerry
Версия для печати
Главная / Пресс-центр / Статьи и интервью / Чем отличается обычная СЭД от системы с поддержкой защищенного документооборота?
Статьи и интервью

Чем отличается обычная СЭД от системы с поддержкой защищенного документооборота?

30.06.2012

Источник: журнал "Современные технологии делопроизводства и документооборота"
Дата публикации: 06.2012 г.

При изучении вопроса, какую СЭД стоит внедрять в нашей организации, мы узнали, что существует такое понятие, как защищенный электронный документооборот. Чем отличается обычная СЭД от системы с поддержкой защищенного документооборота? Одни производители СЭД обещают предоставить возможность организации защищенного электронного документооборота, другие – нет. На чем основана эта защита, только ли на использовании электронной подписи?

Руководитель службы ДОУ, г. Екатеринбург

Алексей Назаренко, директор по качеству, компания "ИнтерТраст": Защищенный документооборот в современном понимании этого термина – это комплекс мер, направленных на обеспечение безопасности системы документационного обеспечения управления предприятия. Таким образом, защищенный электронный документооборот – это ни в коем случае не еще одна функциональность современной СЭД, а, прежде всего, совокупность взаимосвязанных решений, позволяющих эту безопасность обеспечить.

Немного теории. При организации защищенного электронного документооборота на предприятии посредством современной СЭД уделяется внимание следующему комплексу задач: работе с персоналом по организации защиты информации, управлению доступом к защищаемой информации, применению криптографических средств защиты информации. Чтобы было понятнее, рассмотрим все эти задачи подробнее.

Защищенный электронный документооборот

Работа с персоналом

Работа с персоналом, по существу, является методической деятельностью по снижению рисков компрометации и имитации электронных документов, возникающих из-за влияния человеческого фактора. Работа с персоналом – это основной аспект обеспечения защищенного документооборота. В организации такая работа должна в обязательном порядке включать в себя следующие действия (не ограничиваясь указанным):

1. Обучение пользователей работе с системой электронного документооборота не только в части ее функциональности, т. е. пользователи должны:

2. Работу с администраторами информационных систем предприятия, результатом которой являются:

3. Управление инцидентами.

Инцидентом называется любое отклонение от стандартно протекающих процессов. При работе с персоналом и администраторами информационной системы инцидентами являются любые нерегламентированные события, приводящие к возможным нарушениям режима управления документацией.

К примеру, инцидентами являются попытки отправить внутреннюю документацию по электронной почте во внешние сети, подключить флеш-накопитель с целью переноса электронных документов и т. д.

В задачи управления инцидентами входит, во-первых, документирование и учет всех событий такого рода, а во-вторых, анализ инцидентов, выделение и устранение проблематики, приводящей к инцидентам.

Таким образом, при выявлении, к примеру, попытки выноса документов за территорию предприятия на флеш=носителе проблемой является сама возможность сделать это, а решением будет блокировка соответствующей функциональности рабочих мест (ПК) таким образом, чтобы использование флеш-дисков на территории предприятия было недоступным.

Также необходимо в этом случае актуализировать и локальные нормативные акты, регламентирующие указанный вопрос, а при их отсутствии – внести соответствующие разделы в имеющиеся документы либо создать новый документ для этих целей.

Работа с персоналом в обязательном порядке должна включать, с одной стороны, информирование о том, как обеспечить надлежащий уровень информационной безопасности организации, а с другой – обеспечивать мотивацию персонала к выполнению всех требований политики организации в области информационной безопасности (далее – ИБ).

При внесении изменений в такие документы они должны в обязательном порядке доводиться до работников с обязательным дальнейшим контролем полученных знаний и навыков.

Все документы, регламентирующие политику в области ИБ организации, должны быть доступны в актуальной редакции на информационных ресурсах предприятия, а памятка по ИБ должна в печатном виде присутствовать на каждом рабочем месте, напоминая работнику о порядке и составе его действий в случае той или иной штатной либо нештатной ситуации.

На заметку! Все политики в области безопасности в организации должны быть оформлены документально, и работники всех уровней должны быть ознакомлены с ними при приеме на работу.

В этой части регламентация вопросов информационной безопасности в целом и защищенного документооборота в частности напрямую связана со следующим аспектом организации защищенного документооборота – управлением доступом к данным.

Управление доступом

В то время как информационная безопасность представляет собой состояние защищенности информационной среды предприятия, защита информации является деятельностью, направленной на ее достижение, где управление доступом – одно из важнейших средств по достижению защищенности информационной среды предприятия.

Управление доступом – совокупность процедур, направленных на решение задач ИБ, представляющая собой комплекс технических, технологических и организационных мер по предотвращению несанкционированного доступа к данным (электронным документам).

Несмотря на то что механизм управления доступом путем его разграничения к группам документов на основании должностей работников либо их ролевых функций в СЭД реализован в любой современной системе электронного документооборота, применение этого подхода действительно оправдано лишь в ситуациях, когда надлежащей работы персонала с данными, составляющими защищаемую информацию, уже недостаточно.

Такие ситуации могут возникнуть, к примеру, в случае если корпоративная СЭД имеет "выходы" во внешнюю среду или если она предназначена для интегрированной работы с другими информационными системами компании и, что более важно, с внешними информационными системами, к примеру интернет-порталом организации, системой обмена электронными документами и др.

Таким образом, технический аспект управления доступом представляет собой поддерживаемый СЭД следующий инструментарий технических средств защиты:

Например, главный бухгалтер имеет возможность доступа к одной информации, тогда как заместитель директора компании – к другой;

Например, работник, отчитывающийся в СЭД о командировке, не имеет доступа к отчетам других работников, так как ограничение доступа произведено именно на основании его ролевой функции в процессе подготовки отчета;

То есть, даже если администратор СЭД что-либо изменяет в системе, об этом должна оставаться запись.

Технологический подход к управлению доступом, называемый также программным подходом, напрямую связан с еще одной компонентой системы защищенного документооборота – средствами криптографической защиты информации.

Криптографическая защита

Средства криптографической защиты информации в СЭД обеспечивают выполнение следующих задач:

Криптографическая защита информации в этом случае применяется для однонаправленного шифрования с использованием хэш-функции идентификационных данных пользователя СЭД (к примеру, логина и пароля) и направления полученного таким образом набора данных (так называемого хэша) в модуль аутентификации СЭД. Поскольку хэш также зависит от большого количества других, в том числе и случайных, факторов, этот набор данных никогда не бывает одинаков, что исключает его имитацию; с другой стороны, в СЭД при этом не хранится пароль пользователя, что исключает дискредитацию и дальнейшее несанкционированное использование;

Применение криптографических средств защиты информации позволяет однозначно установить такие атрибуты любого хранимого в СЭД документа, как его авторство, дата и время создания, регистрации и т. д. В соответствии с Федеральным законом от 06.04.2011 № 63‑ФЗ "Об электронной подписи" документы, подписанные квалифицированной электронной подписью, приравнены к подписанным собственноручно. Такое решение обеспечивает возможность использования этого аспекта криптографической защиты информации в СЭД не только для установления правомочности документации, хранимой в СЭД организации, но и полноценного обмена электронными документами как с другими организациями, так и с органами власти;

Шифрование как механизм криптографической защиты информации позволяет не допустить дискредитацию (разглашение заинтересованным сторонам) корпоративного документационного контента даже в случае его утечки. Таким образом, в СЭД должны быть подписаны и зашифрованы не только отдельные документы, но и содержащая их база данных в целом, а также файлы, ее составляющие.

Защищенный электронный документооборот

Возвращаясь к заданному вопросу: из детального рассмотрения проблематики защищенного электронного документооборота (ЭДО), рассмотренной нами выше, становится понятно, что создание системы защищенного документооборота далеко не ограничено применением в СЭД средств криптографической защиты информации – на внедрение такой функции системы может уйти от одного месяца до двух, тогда как реализация организационной части защищенного ЭДО может потребовать несколько месяцев.

Но защищенный документооборот, безусловно, является для организации более привлекательным, прежде всего потому, что его внедрение максимально умешает риски компании, связанные с умышленной либо случайной потерей документов. Он также практически исключает разглашение конфиденциальной информации и позволяет организациям обеспечивать надлежащее обращение со сведениями, составляющими особую ценность.

Словарь

Хэш-функция – функция, преобразовывающая информацию в ее дайджест, т. е. сокращенную информационную последовательность, позволяющую точно установить лишь ее отдельные компоненты и принципиально не позволяющая оосуществить обратное преобразование и получить первоначальные сведения. Так, по хешированной паре логин/пароль можно установить только логин, а пароль преобразовывается таким образом, что при сохранении его корректности для СЭД сходство с первоначальным паролем утрачивается полностью. Таким образом, при проведении аутентификации хэшированный пароль (дайджест) по-прежнему принимается информационной системой как корректный, несмотря на то что, во-первых, он каждый раз отличается от предыдущего и, во-вторых, дважды применить один и тот же дайджест не получится, ведь при его создании используются данные со встроенных системных часов и действует этот дайджест лишь очень небольшой промежуток времени, которого, фактически, хватает только на то, чтобы авторизовать пользователя в СЭД, поэтому перехватывать и расшифровывать дайджест становится бессмысленно.

 
Подписка на новости
Ваш E-mail
вернуться наверх