CC BY
85
4. Коробов В.Б. Сравнительный анализ методов определения весовых коэффициентов влияющих факторов // Социология: методология, методы, математическое моделирование, 2005. № 20. С. 54-73.
РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ВЫБОРУ СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Юсупова Э.Р. Email: Yusupova17108@scientifictext.ru
Юсупова Элина Руслановна - бакалавр, кафедра информационной безопасности, Национальный исследовательский университет Московский институт электронной техники, г. Москва
Аннотация: в данной статье приведены необходимые механизмы защиты и критерии, которые стоит учесть при выборе системы электронного документооборота для обработки персональных данных. Рассмотрены и проанализированы наиболее известные на отечественном рынке системы электронного документооборота относительно выбранных критериев. Также составлены рекомендации по выбору системы для различных предприятий, в зависимости от размеров организации, наличия территориально-распределенных филиалов или сотрудников, работающих удаленно, наличия заказчиков или внешних компаний, которым нужен доступ к персональным данным и прочие. Ключевые слова: персональные данные, система электронного документооборота, безопасность персональных данных, электронный документооборот.
THE DEVELOPMENT OF RECOMMENDATIONS FOR SELECTING AN ELECTRONIC DOCUMENT MANAGEMENT SYSTEM FOR THE PROCESSING OF PERSONAL DATA
Yusupova E.R.
Yusupova Elina Ruslanovna - Bachelor, THE DEPARTMENT OF INFORMATION SECURITY, NATIONAL RESEARCH UNIVERSITY OF ELECTRONIC TECHNOLOGY, MOSCOW
Abstract: this article provides the necessary protection mechanisms and criteria to consider for choosing an electronic document management system for the processing of personal data. Reviewed and analyzed the most famous in the domestic market of electronic document management system relative to the selected criteria. Also recommendations on choice of system for different enterprises, depending on the size of the organization, the availability of geographically distributed branch offices or employees working remotely, the presence of customers or external companies who need access to personal data and other. Keywords: personal data, electronic document management system, personal data security, electronic document management.
УДК 331.225.3
Проблема обеспечения защиты персональных данных напрямую зависит от защищенности систем электронного документооборота. Управление информацией в них происходит на протяжении всего жизненного цикла данных. Информация
проходит через все процессы в организации, она создается и обрабатывается при помощи разных приложений.
Говоря о выборе СЭД необходимо учитывать реальный перечень основных угроз персональным данным на предприятии и материальные возможности последнего.
В результате анализа уязвимостей СЭД был определен необходимый набор механизмов защиты: безопасное хранение данных, протоколирование действий пользователей, обеспечение безопасного доступа, обеспечение подлинности документов, обеспечение доступности данных [1].
Критериями при выборе СЭД должны быть такие функции: разграничение прав доступа, протоколирование действий пользователя, поддержка ЭЦП, поддержка шифрования, база данных на SQL-сервере, поддержка межсетевых экранов и VPN -каналов.
Для анализа защищенности современных СЭД были выбраны комплексы электронного документооборота, имеющие наибольший набор функций защиты и используемые в настоящее время в различных секторах производства и бизнеса. Они считаются наиболее востребованными и безопасными. Рассмотрению и последующему анализу подлежат следующие СЭД: Корпоративный документооборот (1С), DocsVision, Directum, Е1 Евфрат, Alfresco, Documentum, СЭДКП [6].
При выборе СЭД необходимо учитывать реальный перечень основных угроз персональным данным на предприятии и материальные возможности последнего. Если на предприятии большой штат сотрудников с постоянной сменой персонала нужно учесть малую заинтересованность людей в сохранности персональных данных клиентов или сотрудников, таким образом, нужно обеспечить максимально функциональную подсистему управления доступом и протоколирование всех действий сотрудников. В идеале в такой системе необходимо использовать аппаратные средства аутентификации личности, такие как токены. Такой подход обеспечивают СЭД Directum и СЭДКП.
При плохо организованной защите внутренней сети предприятия нужно выделить угрозу перехвата информации, в таком случае стоит обратить внимание на СЭД, обеспечивающие надежное шифрование передаваемых внутри предприятия данных [4]. Такими системами являются Корпоративный Документооборот 1С, Directum и СЭДКП, они обеспечивают шифрование согласно ГОСТ 28147-89 [3].
Другой случай - подключение сотрудников не из корпоративной сети, а, например, из дома или из командировки. Если сотруднику необходимо работать с ПДн, то в таком случае необходимо настраивать VPN-соединение Intranet VPN, использующее протокол IPSec. Такой протокол не поддерживает ни одна СЭД.
При обмене персональными данными с внешними компаниями или подрядчиками можно использовать протокол TLS. Такой протокол поддерживают почти все СЭД, тут можно выбирать любую кроме Documentum, т.к. она пока слабо интегрирована на Российском рынке и не имеет поддержки туннелирования.
Говоря о госпредприятиях нужно отметить СЭД СЭДКП, так как она является развитием Системы регистрации и контроля исполнения документов (РКД), используемой в Минобрнауки России и ряде других ведомств. Помимо прочего она использует государственные криптостандарты и поддерживает VPN.
Малый и средний бизнес, а также индивидуальные предприниматели, располагающиеся в пределах одной корпоративной сети, могут пользоваться такими СЭД как Alfresco, E1 Евфрат или Documentum [5]. Еще одним интересным решением является DirectumRX. Это облачное решение для малого и среднего бизнеса. Они используют достаточно надежные криптостандарты, и удовлетворяют всем необходимым критериям безопасности данных, не имея средств защиты данных при передаче по открытым каналам связи кроме шифрования. Стоимость таких СЭД относительно низкая.
Крупному бизнесу, имеющему в распоряжении территориально-распределенные филиалы или подразделения, обрабатывающему персональные данные или иные сведения, составляющие большую ценность для компании лучше использовать более защищенные и соответственно дорогие СЭД, такие как Directum, Корпоративный Документооборот 1С или DocsVision [3].
Использование сертифицированной версии системы особенно актуально для таких учреждений, как государственные предприятия, предприятия финансового сектора (банки, страховые компании и т.д.), медицинские и образовательные учреждения и коммерческие предприятия, участвующие в тендерах на госзаказ. Действующие сертификаты ФСТЭК и ФСБ в настоящий момент имеет лишь СЭД Directum, обеспечивая защиту от НСД по 5 классу.
Как показал анализ имеющегося функционала, СЭД Directum имеет наилучший результат, обладая практически всеми критериями, установленными ранее. СЭД Directum обладает такими функциями как журналирование, многофакторная аутентификация, в том числе с токенами. Более того, поддерживается шифрование документов с помощью государственных криптостандартов, квалифицированная ЭЦП и поддержка VPN соединения посредством TLS протокола [2]. При учете стоимости и функционала эта СЭД является наилучшей из сравниваемых.
Список литературы /References
1. Бутакова Н.Г., Федоров Н.В. Криптографические методы и средства защиты информации, 2016. С. 384.
2. Информационная безопасность. Повышение безопасности работы с документами, 2016. [Электронный ресурс]. Режим доступа: http://.directum.ru/ (дата обращения: 05.05.2017).
3. 1С: Документооборот, 2017. [Электронный ресурс]. Режим доступа: http://.doc-online.ru/ (дата обращения: 29.04.2017).
4. Использование шифрования в компаниях России, 2014. [Электронный ресурс]. Режим доступа: https://habrahabr.ru/ (дата обращения: 04.04.2017).
5. О системе. Что такое Е1? 2015. [Электронный ресурс]. Режим доступа: http://www.evfrat.ru/about/ (дата обращения: 19.04.2017).
6. Информационная безопасность СЭД Docsvision, 2014. [Электронный ресурс]. Режим доступа: http://www.docsvision.com/info-centr/webinars/vebinar-serii-cdelano-v-docsvision-informatcionnaia-bezopasnost-sed-docsvision.html/ (дата обращения: 22.04.2017).
