Системы защиты электронного документооборота
Переход на электронный документооборот подразумевает не просто отказ от бумажного делопроизводства, но и изменение подхода к системе защиты документооборота и обеспечению его безопасности.
Типичные угрозы безопасности
Перечислим наиболее вероятные угрозы для системы электронного документооборота (СЭД):
- угроза целостности информации: повреждение, уничтожение или искажение информации, в том числе из-за вмешательства злоумышленников или в результате сбоев в работе системы;
- нарушение конфиденциальности: перехват информации, несанкционированное копирование и др.;
- нарушение нормального функционирования системы или прекращение её работы в результате умышленных атак, ошибок пользователей, а также из-за аппаратных или программных сбоев.
Особенность использования СЭД состоит в том, что, с одной стороны, консолидируя всю документацию организации, вы увеличиваете риск, поскольку «складываете все яйца в одну корзину». Однако с другой стороны, защитить такое консолидированное электронное хранилище легче, чем разбросанные по разным помещениям офиса шкафы и папки с бумажными документами.
Перечислим основные задачи по обеспечению безопасности СЭД:
- защитить аппаратную часть системы: компьютеры, серверы, сетевое оборудование и обеспечить бесперебойность электропитания;
- защитить системные файлы и базу данных от воздействия извне;
- защитить документы от повреждений внутри системы.
Кто может нанести системе электронного документооборота ущерб? Потенциальных «вредителей» можно разделить на три группы:
- обычные пользователи;
- администраторы системы;
- внешние злоумышленники.
Пользователи системы могут нарушить её работоспособность или испортить файл документа непреднамеренно. Администраторы системы имеют неограниченные полномочия по работе с СЭД, поэтому их некомпетентные действия могут нанести гораздо больший ущерб.
Обучение сотрудников работе с системой — это меры, в том числе, и по обеспечению безопасности СЭД.
Как защищать
Защищенные системы электронного документооборота имеют встроенные средства контроля основных угроз и обеспечивают:
- сохранность документов;
- контроль доступа и разграничение прав пользователей;
- конфиденциальность и проверку подлинности документов;
- протоколирование действий пользователя.
Обеспечение сохранности документов
По статистике, в большинстве случаев потеря важной информации происходит из-за отказа аппаратуры. На втором месте — ошибки пользователей, и на последнем месте стоят вредоносные программы и действия злоумышленников. Система электронного документооборота должна обеспечивать сохранность документов, а также давать возможность их быстрого восстановления.
Одно из эффективных решений этой задачи — резервное копирование. Как правило, в СЭД имеется возможность настроить как автоматическое резервирование по расписанию, так и по команде пользователя.
Обеспечение контроля доступа и разграничение прав
Защита СЭД предусматривает гибкое разграничение прав пользователей. Это потребует дополнительного времени на настройку, но существенно повышает уровень безопасности.
Для аутентификации пользователя при входе в систему могут использоваться:
- пароль;
- USB-ключи, смарт-карты и т.п.;
- биометрическая аутентификация.
Можно сочетать различные методы, например, ввод пароля и отпечаток пальца. Стоимость этих решений различна, поэтому выбор наиболее приемлемого варианта необходимо делать взвешенно.
Обеспечение подлинности документов
Основным решением для обеспечения подлинности документа является электронно-цифровая подпись (ЭЦП) — система электронного документооборота должна иметь встроенные средства для использования ЭЦП.
Протоколирование действий пользователей
Все действия пользователей в СЭД регистрируются, при возникновении проблем можно выявить их виновника.
Также в СЭД сохраняется история изменений документов и все их версии.
Заключение
К защите электронного документооборота необходим комплексный подход. Безопасность СЭД не сводится только лишь к защите документов и разграничению доступа к ним — эта задача решается на уровне программного обеспечения. Необходима также подготовка персонала, в особенности ИТ-администраторов к работе с конфиденциальной информацией. Плохая организация может свести к нулю даже самые сложные технические способы защиты документов.