Все новости

Системы защиты электронного документооборота

Переход на электронный документооборот подразумевает не просто отказ от бумажного делопроизводства, но и изменение подхода к системе защиты документооборота и обеспечению его безопасности.

Типичные угрозы безопасности

Перечислим наиболее вероятные угрозы для системы электронного документооборота (СЭД):

  • угроза целостности информации: повреждение, уничтожение или искажение информации, в том числе из-за вмешательства злоумышленников или в результате сбоев в работе системы;
  • нарушение конфиденциальности: перехват информации, несанкционированное копирование и др.;
  • нарушение нормального функционирования системы или прекращение её работы в результате умышленных атак, ошибок пользователей, а также из-за аппаратных или программных сбоев.

Особенность использования СЭД состоит в том, что, с одной стороны, консолидируя всю документацию организации, вы увеличиваете риск, поскольку «складываете все яйца в одну корзину». Однако с другой стороны, защитить такое консолидированное электронное хранилище легче, чем разбросанные по разным помещениям офиса шкафы и папки с бумажными документами.

Перечислим основные задачи по обеспечению безопасности СЭД:

  • защитить аппаратную часть системы: компьютеры, серверы, сетевое оборудование и обеспечить бесперебойность электропитания;
  • защитить системные файлы и базу данных от воздействия извне;
  • защитить документы от повреждений внутри системы.

Кто может нанести системе электронного документооборота ущерб? Потенциальных «вредителей» можно разделить на три группы:

  1. обычные пользователи;
  2. администраторы системы;
  3. внешние злоумышленники.

Пользователи системы могут нарушить её работоспособность или испортить файл документа непреднамеренно. Администраторы системы имеют неограниченные полномочия по работе с СЭД, поэтому их некомпетентные действия могут нанести гораздо больший ущерб.

Обучение сотрудников работе с системой — это меры, в том числе, и по обеспечению безопасности СЭД.

Как защищать

Защищенные системы электронного документооборота имеют встроенные средства контроля основных угроз и обеспечивают:

  • сохранность документов;
  • контроль доступа и разграничение прав пользователей;
  • конфиденциальность и проверку подлинности документов;
  • протоколирование действий пользователя.

Обеспечение сохранности документов

По статистике, в большинстве случаев потеря важной информации происходит из-за отказа аппаратуры. На втором месте — ошибки пользователей, и на последнем месте стоят вредоносные программы и действия злоумышленников. Система электронного документооборота должна обеспечивать сохранность документов, а также давать возможность их быстрого восстановления.

Одно из эффективных решений этой задачи — резервное копирование. Как правило, в СЭД имеется возможность настроить как автоматическое резервирование по расписанию, так и по команде пользователя.

Обеспечение контроля доступа и разграничение прав

Защита СЭД предусматривает гибкое разграничение прав пользователей. Это потребует дополнительного времени на настройку, но существенно повышает уровень безопасности.

Для аутентификации пользователя при входе в систему могут использоваться:

  • пароль;
  • USB-ключи, смарт-карты и т.п.;
  • биометрическая аутентификация.

Можно сочетать различные методы, например, ввод пароля и отпечаток пальца. Стоимость этих решений различна, поэтому выбор наиболее приемлемого варианта необходимо делать взвешенно.

Обеспечение подлинности документов

Основным решением для обеспечения подлинности документа является электронно-цифровая подпись (ЭЦП) — система электронного документооборота должна иметь встроенные средства для использования ЭЦП.

Протоколирование действий пользователей

Все действия пользователей в СЭД регистрируются, при возникновении проблем можно выявить их виновника.

Также в СЭД сохраняется история изменений документов и все их версии.

Заключение

К защите электронного документооборота необходим комплексный подход. Безопасность СЭД не сводится только лишь к защите документов и разграничению доступа к ним — эта задача решается на уровне программного обеспечения. Необходима также подготовка персонала, в особенности ИТ-администраторов к работе с конфиденциальной информацией. Плохая организация может свести к нулю даже самые сложные технические способы защиты документов.