Система электронного документооборота
Система электронного документооборота (СЭД) – это значимая часть информационного поля любого современного предприятия. СЭД направлена на решение критически важных бизнес-задач, которые связаны с хранением и интеграцией документов, разнообразных файлов и прочей важной информации, содержащейся в разнообразных информационных системах и бизнес-приложениях.
Иными словами, СЭД является основным связующим звеном различных управленческих, финансовых и любых других систем внутри предприятия, чем обеспечивается единство и неразрывность информации, с ее уникальностью, доступностью, безопасностью и конфиденциальностью.
Защита электронногодокументооборота – важная задача обеспечения общей безопасности предприятия, которая требует пристального непрерывного внимания.
К основным угрозам для СЭД относят:
- угроза целостности информации – риски повреждения, искажения или уничтожения информации;
- угроза доступности информации – внешние сетевые атаки, пользовательские ошибки, вредоносное ПО;
- угроза конфиденциальности – несанкционированный доступ к информации, кража информации, распространение личных данных, редкой или уникальной информации в свободный доступ и пр.
Источники угрозы СЭД
Вместе с основными, наиболее непредсказуемыми источниками угроз, опасность может исходить также и от самих пользователей системы электронного документооборота, в частности, от особой группы – администраторов, то есть пользователей, имеющих привилегированные неограниченные права доступа к контенту и настройкам системы.
Для защиты, предупреждения и преодоления атак на информационные системы, мотивы угроз не стоит сбрасывать со счетов, так как от их классификации по признаку мотивации (случайные или намеренные) – зависит стратегия борьбы с ними.
Система защиты информации СЭД – это общая совокупность методов, средств и мероприятий, которые снижают уязвимость системы и препятствуют несанкционированному доступу к информации, ее разглашению и повреждению.
На основании анализа угроз для СЭД можно назвать основные средства защиты информации, а также основные методы обеспечения информационной безопасности СЭД.
С целью защиты информации используют правовые, организационные и технические меры:
- защита информации от несанкционированного доступа, уничтожения, копирования, фальсификации, распространения и других несанкционированных действий с информацией;
- соблюдение конфиденциальности информации определенного, ограниченного доступа;
- ограничение прав на доступ к информации.
Правовое обеспечение безопасности
Правовые меры защиты информационных систем реализуются государством, которым также осуществляется процесс правового регулирования отношений в области защиты информации через установление законодательных требований к защите информации, а также ответственности для тех, кто эти законы нарушает. То есть, наличие современной и актуальной нормативно-правовой базы, которая учитывает все возможные новейшие угрозы в области информатизации, является одним из основных условий обеспечения безопасности любой информационной системы, как государственной, так и корпоративной.
В РФ основной законодательный документ в этой сфере – Федеральный закон от 27 июля 2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который регулирует отношения в области электронного документооборота и электронного обмена информацией.
В России, кроме законодательных актов, действуют стандарты по защите информации, носящие характер рекомендаций:
- ГОСТ Р 50922-2007 – Защита информации. Термины и определения.
- ГОСТ Р 51275-2007 - Объекты информацтизации.
- ГОСТ Р 51624-2007 – Автоматизированные системы в защищенном исполнении.
Разграничение прав пользователей
Разграничение прав доступа пользователей в системе может быть реализовано по-разному. Если используются изолированные подсистемы разграничения прав для каждой из систем ИТ-ландшафта, например, децентрализованное управление профилями, выдача прав в такого рода информационной среде может вызывать ряд трудностей и предполагает большие трудозатраты для актуализации и верификации.
Централизованный подход к управлению разграничением прав доступа даже для гетерогенной корпоративной информационной системы, является более профессиональным вариантом организации, а также дает возможность достаточно легко управлять профилями доступа и изменять их комбинации. Обычно такие системы достаточно дорогие, требуют совместимости с управляемыми информационными системами, в нашей стране такие системы распространены не слишком широко.
После рассмотрения отдельных методов обеспечения безопасности систем электронного документооборота, можно сделать вывод, что меры противодействия угрозам могут быть приняты еще на стадии внедрения безбумажного документооборота. Чтобы осуществить полноценную защиту, необходимо использование комплекса мер и средств, комбинирование различных программно-аппаратных и организационных решений, с обеспечением их актуальности и действенности в условиях современной информационной вселенной.
