Соколова М.Ю., к. э. н.
доцент
кафедра статистики, эконометрики и информационных
технологий в управлении Куклин Е.А. студент 2 года обучения Стенькина А. О. студент 2 года обучения направление «Бизнес-информатика» ФГБОУ ВПО «МГУ им. Н.П. Огарева»
Россия, г. Саранск ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ СИСТЕМ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
Аннотация: в данной статье рассмотрены актуальные проблемы безопасности систем электронного документооборота и предложены пути их устранения.
Ключевые слова: системы электронного документооборота, информационная безопасность, электронно-цифровая подпись.
В настоящий момент любая компания - от малой и средней до огромных корпораций и концернов производит в своей финансово-хозяйственной деятельности огромное количество операций, многие из которых требуют документального подтверждения и обоснования. Зачастую бывает так, что одна операция на предприятии требует даже не одного, а нескольких документов. Это может быть счет, налоговая накладная, расходная накладная, акт выполненных работ и услуг и т.д. В среднем, по статистике, десять продаж ежедневно подтверждаются тысячей документов ежемесячно.
В связи с всеобщей компьютеризацией, изъяны бумажного делопроизводства стали особенно очевидными. Огромное количество трудовых ресурсов расходуется неэффективно, так как при выполнении своих прямых обязанностей, зачастую, сотрудники занимаются «бумажной» работой, а в случае, если организация большая, требуется содержать целые отделы, занимающиеся этой работой, а также объемные архивы. Еще одной проблемой является рост объемов информации, которую требуется обрабатывать в организации. И справляться с ней традиционными канцелярскими методами, даже при наличии компьютеров и современной офисной техники становится все труднее. А ведь качество обработки данных, необходимых для принятия решений, оптимизация документооборота в условиях конкуренции и рынка имеют ключевое значение, поскольку в наше время сама информация - важнейший ресурс развития.
В данной ситуации не просто удобством, а необходимостью является внедрение системы электронного документооборота. Таким образом,
появляется возможность не только избавиться от проблем хранения нужной информации, а также появляется реальная возможность сократить затраты времени на распечатку, копирование и заполнение документов вручную, а это порядка 70% рабочего времени, потраченного на оформление документов.
Обеспечение безопасности электронного документооборота (ЭДО) является актуальной задачей. Под обеспечением безопасности ЭДО подразумевается не только возможность системы электронного документооборота подтверждать авторство, но и обеспечивать контроль целостности и конфиденциальность электронного документа.
Помимо перечисленных свойств важным является обеспечение юридической значимости электронных документов. Юридическая значимость позволяет организации защитить свои интересы в спорных ситуациях - как при договорных отношениях, так и внутри самой компании.
Следует отметить существенные факторы, из-за которых развитие систем защищенного электронного документооборота в данный момент обретает актуальность:
1. Под прямым контролем элиты государства стремительно формируются государственные услуги, осуществляемые в цифровой форме, оборот электронных документов очень быстро приближается к критическому объему, при котором ясно видны проблемы протекции конфиденциальной информации, в том числе, частной;
2. В конце концов, наступает повсеместное осознание потребности внедрения систем электронного документооборота в государственных учреждениях, которые обслуживают физические и юридические лица, и использования средств обеспечения безопасности для сохранения целостности и конфиденциальности информации;
3. Принятие закона "Об электронной цифровой подписи" дало возможность для более широкого подхода к защите электронных документов;
4. Появилась реальная необходимость придания электронным документам юридической силы наравне с бумажными документами.
Мероприятия по реализации защищенного документооборота можно свести в три группы, по мере уменьшения их важности:
1. Работа с человеческим фактором.
2. Техническое, программное и организационное обеспечение по ограничению доступа к защищаемой информации.
3. Программные средства непосредственной защиты информации.
Работа с человеческим фактором
Одной из самых важных задач является нивелирование человеческого фактора - работа с персоналом организации.
Из-за чего именно эта задача стоит на первом месте? Статистика говорит о том, что наибольшую угрозу информации представляют
сотрудники предприятия, имеющие к ней доступ. Чем большими правами доступа к информации обладает сотрудник, тем больший вред он может нанести компании. Он может сделать это по неосторожности, незнанию, или преднамеренно - в корыстных целях.
Работу с человеческим фактором составляют:
1. Повышение навыков персонала в области работы с системой и прочим программным обеспечением.
2. Стимулирование работы системных администраторов и повышение общей компьютерной грамотности сотрудников.
3. Устранение конфликтов и общее улучшение отношений в коллективе для того, чтобы избежать ситуаций, которые могут подтолкнуть сотрудников на умышленное нанесения ущерба.
Сотрудники компании должны знать азы информационной безопасности, в противном случае их действия могут стать угрозой безопасности всей системы, например, на оставленные без присмотра компьютер или флэш-карту злоумышленник может записать вирус, или программу-шпион.
Для этого важно регулярное проведение инструктажа по технике безопасности, в особенности с сотрудниками, имеющими доступ к конфиденциальной или секретной информацией.
Резюмируя обсуждение первой группы мероприятий, можно отметить: невозможно с помощью программных или аппаратных средств полностью устранить человеческий фактор, в связи с этим к данным средствам имеет смысл обращаться, только если проведена работа по устранению человеческого фактора, иначе данные меры будут иметь нулевую эффективность, какими бы совершенными они не были.
Техническое, программное и организационное обеспечение по ограничению доступа к защищаемой информации
Вводить данные меры следует только тогда, когда персонал обучен основам информационной безопасности. В противном случае эффективность данных средств будет сведена к нулю. Подобного рода обеспечение подразумевает:
1. Распределение прав доступа к информации на уровни и разграничение прав на работу с информацией;
2. Протоколирование всех действий и попыток к действиям (включая не только создание, редактирование и удаление, но и чтение, печать, выгрузку, пересылку и т. п.);
3. Запрет на использование внешних носителей;
4. По мере ужесточения мер обеспечения безопасности возможно даже создание специальной, отдельно охраняемой экранированной комнаты, в которой установлен компьютер с важными данными, отключенный от любой сети, кроме электрической.
Основное участие в подготовке и реализации (в качестве
исполнителей) данных мероприятий для системы электронного документооборота (СЭД) принимают специалисты службы информационной безопасности, ИТ-специалисты, специалисты службы документационного обеспечения управления (ДОУ). Причем роль службы ДОУ, как и при реализации мероприятий первой группы, определяется уровнем ее вовлеченности в процессы настройки СЭД, назначения пользователям прав доступа и работы с документами и информацией в СЭД.
Использовать данную ступень защиты следует только при весьма серьезной угрозе, просчитав все плюсы и минусы подобного решения.
Таким образом, реализуя меры по техническому, программному и организационному обеспечению по ограничению доступа к защищаемой информации, нельзя забывать, что такого рода меры напрямую (и крайне негативно) сказываются на скорости и эффективности работы, на функционале защищаемой системы, поэтому злоупотреблять ими не стоит.
Программные средства непосредственной защиты информации
Третья группа мероприятий по защите - программные средства непосредственной защиты информации. К ним относятся:
1. Криптографические средства - электронная подпись и шифрование (как отдельных файлов, так и целых баз данных);
2. Системы аутентификации, построенные на криптографии.
Приступая к реализации этих мероприятий, следует помнить, что это -
последний слой защиты информации, так называемый последний рубеж. Применение его необходимо, когда предполагается наличие внутреннего нарушителя (в случае внутрикорпоративного документооборота), либо когда обмен информацией ведется с внешними организациями без возможности защиты каналов передачи этой информации. Все, от чего данные меры защитят, так это от того, что злоумышленник не сможет ознакомиться с информацией или исказить ее. Но эти меры (при «забывании» руководством о первых двух группах мероприятий) не помешают ему эту информацию, скажем, удалить, тем самым парализовав работу организации.
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию [1].
Работа электронной подписи основана на технологиях шифровки двух ключей. Открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу и используется для шифрования сообщения и для проверки электронной подписи. Для расшифровки сообщения и для генерации электронной подписи используется секретный ключ. Электронные ключи представляют собой уникальную последовательность определённых символов. Соответственно, использование электронной подписи является гарантом того, что электронный документ подписан именно владельцем закрытого ключа. При
использовании электронной подписи у владельца подписи есть возможность зашифровать электронные документы с целью последующей их отправки. Поскольку электронная подпись является результатом криптографического преобразования (наиболее эффективный метод шифровки) набора электронных данных, то данные могут принадлежать только владельцу ключа и идентифицировать подписавшегося [5].
Программное обеспечение, которое используется для работы с электронной подписи, проходит экспертизы в Государственной службе специальной связи и защиты информации. Автоматизация документооборота в электронном виде обеспечивает сохранность документов, а также безопасность доступа к электронной бухгалтерской отчетности и первичным документам.
Принципами использования электронной подписи являются:
1. Право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;
2. Возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования ФЗ №63 «Об электронной подписи» применительно к использованию конкретных видов электронных подписей;
3. Недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в системе [1].
Реализацию данных мероприятий СЭД (в качестве исполнителей) осуществляют специалисты службы информационной безопасности, ИТ-специалисты. Роль службы ДОУ в данном случае - на этапе подготовки мер к реализации - сводится к консультированию основных исполнителей по вопросам использования СЭД в организации, а в дальнейшем - к применению наряду с прочими пользователями СЭД.
Резюмируя обсуждение третьей группы мероприятий, следует заметить так же, как и прочих технических мер обеспечения защиты, использование программных средств еще больше снижает эффективность и скорость работы. Например, при обмене данными отправителю придется их зашифровывать, получателю - расшифровывать, а на это требуется время и действия.
Таким образом, использование электронно-цифровой подпись как
единственного средства защиты информации - крайне неэффективно и опрометчиво.
Многие разработчики систем защиты отмечают, что главным проблемным местом при организации защиты системы электронного документооборота является лояльность пользователей, а не технические средства. Нарушение конфиденциальности документа по отношению к конкретному пользователю происходит, как только документ попадает к этому пользователю. В этой ситуации почти невозможно предотвратить утечку документа через этого пользователя, используя только технические меры. Он может найти разнообразные способы скопировать информацию, например, сохранить её на внешний носитель или сфотографировать документ с помощью камеры сотового телефона. В таком случае главным средством защиты будут являться организационные меры, связанные с ограничением доступа к конфиденциальной информации и документам. Также необходимо производить работу с самим пользователем, которому необходимо осознавать всю свою ответственность, которую он несет перед организацией и законом страны.
К обеспечению безопасности электронного документооборота следует подходить системно. Очень важно здраво проанализировать вероятность возникновения угрозы безопасности системы электронного документооборота, после чего следует рассчитать суммарный ущерб от потенциальных уязвимостей. Защита системы электронного документооборота не ограничивается всего лишь шифрованием документов и разделением прав доступа к ним. Сохраняют актуальность проблемы обеспечения безопасности аппаратных средств системы, ПК, оргтехники и прочей периферии; защиты от угроз в локальных проводных, беспроводных и глобальных сетях, в которых функционирует СЭД, защита линей передачи информации и сетевого оборудования, потенциальное обособление системы электронного документооборота в отдельный кластер сети. Совокупность принятых мер важна на всех уровнях защиты, но некоторые из них, очень часто игнорируют. Сюда входят и инструктаж, и обучение сотрудников основам информационной безопасности. Отсутствие структурного подхода делает бессмысленными все технические меры, насколько идеальны бы они не были.
При выборе методов организации защиты системы электронного документооборота, следует найти оптимальный баланс между необходимостью и возможностью, между безопасностью данных и стоимостью решения по их защите. Обеспечивать защиту документооборота только ради самого факта наличия защиты не только лишено смысла, но и вредно, т. к. может существенно осложнить деятельность организации с документами и информацией.
Ну и, конечно, ни в коем случае нельзя забывать о главном недостатке любой защиты: абсолютной защиты не бывает, бывает лишь усложнение
защиты настолько, чтобы ее взлом стоил дороже, чем защищаемая информация.
Использованные источники:
1. Федеральный закон от 6 апреля 2011г. N 63-Ф3 "Об электронной подписи"
2. Компьютерное делопроизводство: учеб. курс / Н.В. Макарова, Г.С. Николайчук, Ю.Ф. Титова. - СПб.: Питер, 2005. - 411с.
3. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. - М.: Наука и техника, 2003. - 384с.
4. Зайченко Ю.П. Исследование операций: учеб. - 6-е изд., перераб. и доп. -Киев: Изд. дом «Слово», 2003. - 688с.
5. https://ru.wikipedia.org/
Соколова М.Ю., к. э. н.
доцент
кафедра статистики, эконометрики и информационных
технологий в управлении Казакова С.В. студент 2 года обучения направление «Бизнес-информатика» ФГБОУ ВПО «МГУ им. Н.П. Огарева»
Россия, г. Саранск АНАЛИЗ ИНФОРМАЦИОНОЙ СИСТЕМЫ УПРАВЛЕНИЯ
ДОКУМЕНТООБОРОТОМ ЭСКАДО Аннотация: в статье освещаются вопросы выбора систем электронного документооборота предприятиями и организациями. Раскрыты основные модули, функции и преимущества системы управления документооборотом ЭСКАДО.
Ключевые слова: документооборот, системы электронного документооборота, СЭД ЭСКАДО.
В настоящее время на любом предприятии или в организации приходится иметь дело с возрастающими объемами информации из самых разнообразных источников: электронная почта, факсимильные сообщения, печатные и электронные документы. В связи с этим широкое распространение получили системы электронного документооборота (СЭД). Именно автоматизация документооборота дает новые возможности любой организации по ускорению работы, позволяет опередить конкурентов при принятии как оперативных, так и стратегических решений.
При внедрении систем электронного документооборота возникает большое количество проблем. Это и не удивительно - мы живем в эпоху революционных изменений в области делопроизводства и документооборота, когда новое соседствует со старым, новейшие технологии внедряются в условиях законодательства, ориентированного на бумажный документооборот [2].