CC BY
121
УДК 004.01
СОВРЕМЕННЫЕ МЕТОДЫ РАБОТЫ С КОНФИДЕНЦИАЛЬНЫМИ ЭЛЕКТРОННЫМИ ДОКУМЕНТАМИ
С. В. Санников, Б. А. Литвинский Научный руководитель - Л. А. Жереб
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Анализируются современные методы работы с конфиденциальной информацией на отечественных предприятиях.
Ключевые слова: электронный документооборот, защита информации, электронная подпись, облачные технологии малый бизнес.
PROBLEMS IN CONDITIONS AGRICULTURAL PRODUCERS OF IMPORT SUBSTITUTION
S. V. Sannikov, B. A. Litvinsky Scientific Supervisor - L. A. Zhereb
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected]
The article analyzes the modern methods of work with confidential information on domestic enterprises.
Keywords: electronic document management, information security, electronic signature, cloud small business.
Современный этап развития российского общества характеризуется существенным возрастанием роли и актуальности проблем обеспечения безопасности во всех сферах жизнедеятельности. Особенно показателен этот процесс для сферы информационной безопасности документооборота, которое за последнее десятилетие вышла из области компетенции сугубо специальных служб и превратилась в мощный сегмент рыночной индустрии современных информационно-телекоммуникационных технологий.
Защита информации должна предусматривать ее сохранность от широкого круга угроз, таких как, утечка информации, несанкционированные и непреднамеренные действия. Тема организации работы с конфиденциальными документами актуальна на данный период времени, так как в достаточно бурном развитии экономики России и в условиях ужесточения конкурентной борьбы на рынке, всё чаще организации подвергаются различным видам коммерческих шпионажей, в том числе и промышленному [1].
Для эффективной работы с конфиденциальными документами необходимо определить, какие документы являются конфиденциальными, какие сотрудники имеют доступ какого уровня к каким документам. Таким образом, создается так называемый реестр конфиденциальных документов, содержащий, помимо описания документов и прав доступа, еще и правила внесения в него документов и правила их изъятия (уничтожения). Поскольку в каждой компании каждый день создается множество новых документов, часть из них - конфиденциальные, то без создания механизма их автоматической или полуавтоматической классификации реестр уже через несколько месяцев потеряет актуальность [2].
Особо следует обратить внимание на организацию процесса пометки конфиденциальных документов. Каждый конфиденциальный документ должен содержать метку, по которой контролирую-
Секция «Управление современными предприятиями, отраслями, комплексами»
щие программы могли бы определить степень его конфиденциальности и категорию пользователей, которые могут проводить с ним потенциально опасные операции - публикацию в Интернет, копирование на сменные носители, переименование, отправку по электронной почте и т. п. Технические и организационные методы установки меток выбирает заказчик. Если все защищаемые документы хранятся исключительно в формате MS Office, то в качестве метки может использоваться запись «конфиденциально» в соответствующих полях свойств документов. Некоторые производители систем документооборота используют программные метки и специальные форматы файлов. Однако самый распространенный и простой способ присваивание меток - именование файлов по специальной маске [3].
Документ, названный по такой маске, автоматически попадает в поле зрения контролирующих систем и перехватывается при запрещенных с ним действиях пользователя не только контентной фильтрацией, но и мониторами, действующими на основании политик. В отличие от контентной фильтрации этот метод дает 100 % гарантию. Это удобно и для визуального контроля - даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому же нелишне еще раз напомнить пользователю при открытии файла, что документ конфиденциален.
После создания реестра конфиденциальных документов можно приступать к реорганизации их хранения. В крупных компаниях организационными и техническими мерами запрещается хранение конфиденциальной информации локально - на рабочих станциях. Обычно такие данные хранятся в специальных клиент-серверных или web-приложениях (корпоративных интернет-порталах, документных хранилищах, бизнес-приложениях, справочно-нормативных базах, системах документооборота, ERP и т. д.), которые разделяют права доступа пользователей и защищают информацию от сохранения в несанкционированном месте. Защита таких данных на сервере является многоуровневой (на уровнях аппаратной платформы, операционной системы, СУБД и приложения). Однако риск утечки этой информации с рабочих станций, тем не менее, существуют. Компания должна защищать от утечки информацию трех основных типов: сводную информацию, конфиденциальные документы и интеллектуальную собственность.
К сводной информации относят разнообразные структурированные данные в формате базы данных или электронных таблиц. Это может быть не только информация о продуктах и ценах, финансовая информация и т.д., которая представляет ценность для конкурентов, но и персональная информация о клиентах, которую компания должна охранять по закону.
При хищении информации такого типа похитителю важно сохранить полноту, достоверность и структуру информации - ценность неполной информации резко снижается. Отдельным случаем рассматривается «заказ» на похищение конкретных данных, а не всей базы данных. Однако большинство инсайдеров допускают утечки информации, не имея конкретных заказчиков на нее, поэтому второй вариант встречается гораздо реже [4].
Интеллектуальная собственность - любая информация в электронном виде, которая обеспечивает компании конкурентные преимущества. Это могут быть любые внутренние материалы: шаблоны документов, должностные инструкции, описание бизнес-процессов, справочно-нормативная информация, документы, содержащие сведения об изобретениях, патентах, перспективных разработках и другие охраняемые законом. Эта информация может храниться в любом месте: в документном хранилище, базе данных, в специальных папках на серверах, на локальных рабочих станциях. Форматы хранения - это любые форматы приложений, в том числе и отсканированные образы документов, чертежей. В отличие от предыдущей группы информации, ценными являются не только сами документы, но и их фрагменты, черновики и т. п.
Все остальные документы, содержащие неструктурированную конфиденциальную информацию, можно отнести к оперативному документообороту. Это приказы по компании, внутренняя электронная переписка. Информация, находящаяся в них, имеет оперативный интерес для конкурентов и партнеров компании, и ее похищение также может привести к моральным и материальным потерям. Несколько лет назад по компьютерной прессе ходила копия приказа по одной из компаний «программистам принимать душ не реже двух раз в неделю». Вряд ли она привела к материальным потерям, но пятно на репутации компании оставила. А вот утечка документа, содержащего себестоимость коммерческого предложения, попавшая к заказчику, может привести к конкретным убыткам - заказчик будет знать, до какой суммы компания готова уступать. Поскольку такая информация разрознена, хранение ее никак обычно не регламентировано, защита ее от утечек особо затруднена [5].
Один из путей утечки информации через санкционированный доступ - клиентские приложения. Большинство рабочих станций в офисах крупных компаний - компьютеры на платформе Wintel.
Архитектура таких рабочих мест делает информацию, открытую с помощью клиентских приложений, практически беззащитной. Хранение информации в незашифрованных временных файлах, встроенная в операционную систему возможность копирования информации в буфер, наличие многих каналов ввода-вывода (дискеты, CD-R, USB, Wi-Fi, Bluetooth и т. д.) делают рабочую станцию весьма опасным устройством для реализации внутренних ИТ-угроз. Заметим, что таких угроз нет при доступе к информационной системе через тонкие клиенты или системы мэйнфрейм-терминал.
Библиографические ссылки
1. Об информации, информационных технологиях и о защите информации : федер. закон от 27.07.2006 № 149-ФЗ.
2. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных : Постановление Правительства РФ от 17.11.2007 № 781.
3. Об утверждении перечня сведений конфиденциального характера : Указ Президента РФ от 06.03.1997 № 188.
4. О персональных данных : федер. закон от 27.07.2006 № 152-ФЗ.
5. Горлевский К. И., Кукарцев А. В. Регламентация инновационных бизнес-процессов предприятия ракетно-космической промышленности // Вестник СибГАУ. 2014. № 1(53). С. 194-198.
© Санников С. В., Литвинский Б. А., 2016
