Защищенный документооборот. Методологические аспекты реализации

89
Учитывая, что объем информации (в том числе и документов), создаваемой, передаваемой, обрабатываемой и хранимой в электронном виде, неуклонно растет (и тенденция роста сохраняется), вопрос обеспечения защиты этой информации становится как никогда актуальным. Однако зачастую ответственность за решение этого вопроса перекладывают на ИТ-специалистов организации (или, в лучшем случае, специалистов по информационной безопасности), забывая о ключевой роли службы ДОУ во всем, что связано с документами. А ведь именно специалисты в области управления документами и информацией должны совместно со специалистами по информационной безопасности ставить задачу, определять – что необходимо защищать, зачем это необходимо делать, в каких объемах и т.п. От этого зависит и то, как должна реализовываться защита. Следует помнить, что организация защиты информации в документной системе – это целый комплекс взаимосвязанных технических, технологических и организационных мероприятий, в которых должны принимать непосредственное участие и специалисты в области управления документами и информацией, и специалисты в области информационной безопасности, и ИТ-специалисты.

Что такое защита информации?

Для начала разберемся, что же мы представляем при словах «защита информации», «защищенный документооборот»? Каждый имеет в виду что-то свое, но, как правило, большинству приходят в голову модные в последнее время слова «электронная подпись», «шифрование». Некоторые вспоминают защиту от несанкционированного доступа, защищенный периметр и т.п. Поэтому, прежде чем говорить о защите, попробуем определить, что именно нужно защищать и в чем же заключается эта защита.

Итак, под защитой понимается:

  1. Защита системы (или нескольких систем, комплекса систем), в которой обрабатываются данные (в данном случае, СЭД).
  2. Защита непосредственно данных (документов и информации) внутри системы (систем).

Защита системы это, прежде всего, защита ее работоспособности – обеспечение ее безотказной работы и быстрого восстановления после каких-либо сбоев или повреждений и, в идеале, даже после уничтожения.

Таким образом, необходимо защищать:

  • аппаратные элементы системы (компьютеры, серверы, элементы компьютерной сети и сетевое оборудование) от таких угроз, как поломка и выход из строя, доступ злоумышленника, отключение питания и т.д.;
  • файлы системы (программного обеспечения системы и базы данных) от возможного влияния злоумышленника или внешних обстоятельств.

Например, файлы базы данных могут быть скопированы злоумышленником или повреждены в результате сбоя операционной системы или оборудования.

Защита данных включает:

  1. Обеспечение доступа к данным, непредставляющего угрозы для них (защита от несанкционированного доступа), и разграничение прав пользователя на работу с этим данными.
  2. Обеспечение сохранности данных (защита от потери и порчи данных, в т. ч. обеспечение возможности их быстрого восстановления).
  3. Защиту от некорректных действий пользователей с данными:

протоколирование действий пользователей – как выполненных действий, так и попыток выполнения каких-то действий – позволит отследить неправомерные действия и найти виновника, а при оперативном вмешательстве даже пресечь попытку несанкционированных или наносящих вред действий.

  1. Обеспечение конфиденциальности данных – шифрование.
  2. Обеспечение целостности данных (защита от повреждения и уничтожения информации, искажения информации как ненамеренного в случае ошибок и сбоев, так и злоумышленного) и подтверждение авторства – электронная подпись.

Итак, мы видим, что понятие «защищенный документооборот» включает целый комплекс действий по защите информации, объединенных общим заголовком.

Мероприятия по реализации защищенного документооборота

В целом, мероприятия по реализации защищенного документооборота можно свести в три группы, по мере уменьшения их важности:

  1. Работа с человеческим фактором.
  2. Техническое, программное и организационное обеспечение по ограничению доступа к защищаемой информации.
  3. Программные средства непосредственной защиты информации.

Рассмотрим эти мероприятия более подробно.

Работа с человеческим фактором

Первым, самым важным пунктом идет работа с так называемым человеческим фактором, а именно  – с сотрудниками организации.

Почему именно этот пункт ставится на первое место? Практика показывает, что наибольшую угрозу для информации представляют именно внутренние нарушители – сотрудники компании, имеющие доступ к информации. И чем выше уровень доступа, чем больше прав у сотрудника на работу с информацией, тем потенциально больший вред этот сотрудник может нанести информации и, соответственно, организации. Ведь если у сотрудника есть доступ на чтение и редактирование информации, значит, по неосторожности ее можно исказить и удалить, а при определенном умысле – украсть, подменить, уничтожить (в зависимости от преследуемых целей).

Работа с человеческим фактором включает:

  • повышение уровня активности администраторов сети и общего уровня компьютерной грамотности сотрудников, являющихся пользователями системы;
  • проведение обучения сотрудников работе с системой и сопутствующим программным обеспечением;
  • ознакомление сотрудников с их правами и обязанностями как администраторов и пользователей системы, имеющих доступ к данным.

Сотрудники компании должны понимать ответственность за свои действия с корпоративной информацией (либо бездействие). Желательно, чтобы это ознакомление было оформлено документально, зафиксировано и подписано собственноручной подписью каждого сотрудника (например, аналогично тому, как осуществляется ознакомление с правилами техники безопасности).

Неграмотный (необученный) с точки зрения информационной безопасности сотрудник может также опосредованно стать угрозой – на неосторожно оставленный им без присмотра или переданный в чужие руки носитель информации (например, флеш-карту) может быть записана вирус-программа, которая, оказавшись на рабочем компьютере сотрудника и через него – в сети организации, нанесет вред информации. И никакое шифрование в данном случае информацию не спасет.

Важно знать!

Необходимо проводить с сотрудниками регулярный инструктаж по технике безопасности работы с данными, курсы компьютерной грамотности (все – с регулярными проверками и экзаменами и наказаниями за их провал) и т.п.

  • грамотная мотивация сотрудников, ответственных за безопасность информации, и, в первую очередь, администраторов сети и парка компьютеров организации.

Нет ничего опаснее, чем обиженный и озлобленный системный администратор – он мало того, что не будет выполнять свои непосредственные обязанности (или просто начнет выполнять их хуже), но и сам может стать внутренним нарушителем, «шпионом», имеющим практически неограниченный доступ ко всему объему информации, циркулирующей по организации в электронном виде.

Если говорить о данных мероприятиях именно в контексте реализации защищенного документооборота, то, в первую очередь, следует обратить внимание на таких сотрудников организации, как сотрудники службы ДОУ. Именно они являются ключевыми пользователями СЭД, у них, как правило, максимальные права в части работы с документами и информацией. Защищенный документооборот. Методологические аспекты реализацииЗачастую на службе ДОУ лежит ответственность за настройку СЭД, ее поддержание в актуальном состоянии, назначение другим пользователям прав доступа и работы с документами и информацией в СЭД.

В данном случае сотрудники службы ДОУ выступают не только в роли пользователей, с которыми должны быть проведены указанные выше мероприятия (т.е. пассивных участников мероприятий), но и в роли тех, кто проводит обучение и инструктаж других сотрудников (т.е. является инициатором и исполнителем этих работ).

Безусловное и непосредственное участие в подготовке и реализации данных мероприятий принимают специалисты службы информационной безопасности, ИТ-специалисты, руководство организации (на уровне принятия решений).

Резюмируя обсуждение первой группы мероприятий, следует сказать: программной и/или аппаратной защиты от внутреннего нарушителя не существует! Без решения вопроса с человеческим фактором все дальнейшие действия будут нецелесообразны. Поэтому к их реализации имеет смысл прибегать, только когда сделано все возможное для решения вопроса с человеческим фактором, ведь плохая организация может свести к нулю все технические меры, сколь совершенны они бы не были.

Техническое, программное и организационное обеспечение

Перейдем ко второй группе мероприятий по защите: к техническому, программному и организационному обеспечению по ограничению доступа к защищаемой информации.

Прибегать к нему следует тогда, когда грамотного персонала и аккуратной работы уже недостаточно. Например, в средних и крупных компаниях (когда сложно обеспечить безопасность организационными мерами) либо просто при большой вероятности атаки снаружи. Подобного рода обеспечение подразумевает:

  • создание ролей доступа к информации, разграничение прав на работу с информацией;
  • протоколирование всех действий и попыток к действиям (включая не только создание, редактировании и удаление, но и чтение, печать, выгрузку, пересылку и т.п.);
  • запрет на использование внешних носителей;
  • по мере ужесточения мер обеспечения безопасности возможно даже создание специальной, отдельно охраняемой экранированной комнаты, в которой установлен компьютер с важными данными, отключенный от любой сети кроме электрической.

Чем более суровы данные методы, тем более высокую степень защиты (естественно, при условии того, что мы позаботились об исключении негатива первого фактора) они дают.

Основное участие в подготовке и реализации (в качестве исполнителей) данных мероприятий для СЭД принимают специалисты службы информационной безопасности, ИТ-специалисты, специалисты службы ДОУ. Причем роль службы ДОУ, как и при реализации мероприятий первой группы, определяется уровнем ее вовлеченности в процессы настройки СЭД, назначения пользователям прав доступа и работы с документами и информацией в СЭД.

Если служба ДОУ отвечает за это направление, ее сотрудники принимают непосредственное участие в работах. В противном случае служба ДОУ оказывает консультирование основных исполнителей по вопросам использования СЭД в организации. Ну и, разумеется, нельзя забывать, что служба ДОУ является основным «потребителем» этих мер безопасности (наряду с прочими пользователями СЭД).

Резюмируя обсуждение второй группы мероприятий, следует сказать: реализуя меры по техническому, программному и организационному обеспечению по ограничению доступа к защищаемой информации, нельзя забывать, что такого рода меры напрямую (и крайне негативно) сказываются на скорости и эффективности работы, на функционале защищаемой системы, поэтому злоупотреблять ими не стоит (согласитесь, мало кому понравится, скажем, хранить важные документы на дискетах в сейфе с двумя ключами, находящимися у разных людей, под присмотром автоматчиков в герметичной комнате, особенно если доступ к документам требуется регулярный). И еще раз подчеркну, что пользы от данных мер при игнорировании человеческого фактора не будет.

Программные средства непосредственной защиты информации

Третья группа мероприятий по защите: программные средства непосредственной защиты информации.

К ним относим:

  • криптографические средства – электронную подпись и шифрование (как отдельных файлов, так и целых баз данных);
  • системы аутентификации, построенные на криптографии.

Приступая к реализации этих мероприятий, следует помнить, что это – последний (и, как правило, не очень нужный) слой защиты информации, так называемый последний рубеж. Применение его необходимо, когда предполагается наличие внутреннего нарушителя (в случае внутрикорпоративного документооборота), либо когда обмен информацией ведется с внешними организациями без возможности защиты каналов передачи этой информации. Все, от чего данные меры защитят, так это от того, что злоумышленник не сможет ознакомиться с информацией или исказить ее. Но эти меры (при «забывании» о первых двух группах мероприятий) не помешают ему эту информацию, скажем, удалить, тем самым парализовав работу организации.

Реализацию данных мероприятий (в качестве исполнителей) СЭД осуществляют специалисты службы информационной безопасности, ИТ-специалисты. Роль службы ДОУ в данном случае – на этапе подготовки мер к реализации – сводится к консультированию основных исполнителей по вопросам использования СЭД в организации, а в дальнейшем – к использованию, наряду с прочими пользователями СЭД.

Резюмируя обсуждение третьей группы мероприятий, следует заметить: так же, как и с прочими техническими мерами обеспечения защиты, использование программных средств еще больше снижает эффективность и скорость работы, ведь, например, при обмене данными отправителю придется их зашифровывать, получателю –  расшифровывать, а на это требуется время и действия.

Важно знать!

Использовать данную ступень защиты следует только при весьма серьезной угрозе, просчитав все плюсы и минусы подобного решения.

Подводя итог, хочу еще раз отметить, что подход к защите электронного документооборота должен быть комплексным. Необходимо трезво оценивать вероятные угрозы и риски и величину возможных потерь от реализации этих угроз.

Вообще же, выбирая методы организации защищенного документооборота, следует искать разумный баланс между необходимостью и возможностью, между безопасностью данных и стоимостью решения по их защите. Обеспечивать защиту документооборота только ради самого факта наличия защиты не только лишено смысла, но и вредно, т.к. может существенно осложнить деятельность организации с документами и информацией.

Ну и, конечно, ни в коем случае нельзя забывать о главном недостатке  любой защиты: абсолютной защиты не бывает, бывает лишь усложнение защиты настолько, чтобы ее взлом стоил дороже, чем защищаемая информация.

СЛОВАРЬ

Шифрова́ние — способ преобразования открытой информации в закрытую и обратно. Применяется для хранения важной информации в ненадежных источниках или передачи её по незащищенным каналам связи. Согласно ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» шифрование подразделяется на процесс зашифровывания и расшифровывания. В зависимости от алгоритма преобразования данных, методы шифрования подразделяются по гарантированной или временной криптостойкости, т.е. способности криптографического алгоритма противостоять возможным атакам на него.

Аутентифика́ция (англ. Authentication) — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

Криптогра́фия (от др.-греч. κρυπτός — скрытый и γράφω — пишу) — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.

Е.Ю. Антошечкина, главный специалист ООО «Электронные офисные системы», отв. секретарь ПК 6 ТК 459

Анонсы будущих номеров
    Подробнее о журнале


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Мероприятия

      Мероприятия

      Проверь свои знания и приобрети новые

      Посмотреть

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией
      Вебинар «Секретарь в соцсетях. Правила поведения»
      Журнал «Справочник секретаря и офис-менеджера»




      Вопрос - ответ

      Отвечаем на Ваши вопросы

      Какие реквизиты используются при оформлении приказов по основной деятельности?
      Проекты приказов по основной деятельности готовятся по поручению руководителя организации в структурных подразделениях организации, оформляются на специальном бланке и содержат следующие реквизиты
      Недавно устроилась секретарем в компанию, где передо мной встала задача наладить документооборот
      Подскажите, как правильно начать формировать локальную нормативную базу и какие нормативные документы мне в этом помогут? Читайте ответ на вопрос
      Задайте свой вопрос здесь>>> www.sekretariat.ru/pk

      PRO Делопроизводство
      Портал для руководителей служб ДОУ и секретарей всех уровней

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Свидетельство о регистрации ПИ № ФС77-64197 от 25.12.2015


      E-mail: document@sekretariat.ru

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Зарегистрируйтесь и продолжите чтение!

      Регистрация бесплатная и займет всего минуту!

      После регистрации вы сможете:

      • читать любые статьи по Делопроизводству и Документообороту на нашем сайте
      • бесплатно подписаться на ежедневные новости для секретарей и офис-менеджеров
      • участие в онлайн вебинарах и возможность задавать вопросы экспертам

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      Всего один шаг - и документ Ваш!

      Только зарегистрированные пользователи могут скачивать материалы с сайта. Регистрация бесплатна и займет менее минуты. После нее Вы сможете загрузить документ, а также получите доступ к материалам и сервисам сайта.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль