IX Международная студенческая научная конференция Студенческий научный форум - 2017

Документооборот – это кровеносная система организации: любая деятельность находит отражение в документах, будь то управление, финансы или производство. Часто только оптимизация документооборота позволяет существенно улучшить качество процессов. Кроме того, научившись видеть места потенциальных улучшений в процессах документооборота, легко можно транслировать этот опыт на бизнес-процессы компании. [1]

Документы являются информационной основой организации и заключают в себе около 80 % всей информации. Документооборот упорядочивает обмен этой информацией между отдельными работниками и различными подразделениями.

Внедрение системы электронного документооборота (СЭД), позволяет приобрести огромную гибкость в обработке и хранении информации и заставляет бюрократическую систему компании работать быстрее и с большей отдачей. По данным ряда аналитиков, производительность труда персонала при использовании СЭД увеличивается на 20-25%, а стоимость архивного хранения электронных документов на 80% ниже по сравнению со стоимостью хранения бумажных архивов.

Несколько лет назад, понятие «информационная безопасность систем электронного документооборота» было не так актуально, на сегодняшний день оно стало более востребованным и употребляемым. Поэтому все больше государственных учреждений и коммерческих организаций переходят на СЭД, по данным DOCFLOW 40% компаний уже завершили внедрение и еще 28% находятся в процессе. Всего 13% компаний не планируют использовать СЭД. [6] Статистика внедрения СЭД в России приведена на рисунке 1.

Рисунок 1 География внедрения СЭД в России

Но при переходе к электронному документообороту (ЭД) возникает острая необходимость в его защите.

Оценка уровня защищенности систем электронного документооборота. При построении системы защиты необходимо в первую очередь определить актуальные угрозы безопасности и возможность их предотвращения функциональными возможностями программного обеспечения системы, поскольку данная мера позволяет избежать значительных финансовых затрат и не допустить избыточности.

Самыми острыми проблемами при обеспечении информационной безопасности при использовании систем электронного документооборота являются:

Угроза доступности – это программные сбои в работе системы; нарушение работы сети и средств вычислительной техники, в том числе вызванные атаками типа «отказ в обслуживании» и внедрением вредоносного ПО, стихийными бедствиями, отключение системы питания; блокирование или удаление информации, либо вследствие непреднамеренных действий пользователя.

Угроза целостности – повреждение и уничтожение информации, искажение информации – как не намеренное в случае ошибок и сбоев, так и злоумышленное.

Угроза конфиденциальности – это любое нарушение конфиденциальности, в том числе кража, перехват информации, изменения маршрутов следования.

Угроза работоспособности системы – всевозможные угрозы, реализация которых приведет к нарушению или прекращению работы системы; сюда входят как умышленные атаки, так и ошибки пользователей, а также сбои в оборудовании и программном обеспечении.

Защиту именно от этих угроз в той или иной мере должна реализовывать любая система электронного документооборота. При этом, с одной стороны, внедряя СЭД, упорядочивая и консолидируя информацию, увеличиваются риски реализации угроз, но с другой стороны, как это ни парадоксально, упорядочение документооборота позволяет выстроить более качественную систему защиты.

Помимо перечисленных свойств важным является обеспечение юридической значимости электронных документов. Юридическая значимость позволяет организации защитить свои интересы в спорных ситуациях – как при договорных отношениях, так и внутри самой компании.

Основное проблемное место при организации защиты СЭД, как отмечают большинство разработчиков систем защиты, это не технические средства, а лояльность пользователей. Как только документ попадает к пользователю, конфиденциальность этого документа по отношению к пользователю уже нарушена. Техническими мерами в принципе невозможно предотвратить утечку документа через этого пользователя. Он найдет множество способов скопировать информацию, от сохранения его на внешний носитель до банального фотографирования документа с помощью камеры, встроенной в сотовый телефон. Основные средства защиты здесь – это организационные меры по ограничению доступа к конфиденциальным документам и работы с самим пользователем. Он должен понимать степень своей ответственности, которую несет перед организацией и законом Российской Федерации, с помощью нормативных документов таких как, инструктаж сотрудников, направленный на предотвращение утечек видовой информации, а также уменьшения возможностей потенциального нарушителя, также персонал должен пройти обучение, поскольку использование СЭД – требует высокой квалификации персонала, как пользователей, так и администраторов. [2-3]

Рассмотрим более подробно средства, интегрированные в сами СЭД. Любая СЭД, претендующая на звание «защищенной», должна как минимум предусмотреть механизм защиты от основных ее угроз.

СЭД должна обеспечить сохранность документов от потери и порчи и иметь возможность их быстрого восстановления. По статистике, выявляют следующие потери важной информации, которые представлены на рисунке 2.

Рисунок 2 Диаграмма Потери важной информации при использовании СЭД

Из диаграммы видно, что 45% случаев потери информации приходится на физические причины (отказ аппаратуры, стихийные бедствия и подобное), 35% обусловлены ошибками пользователей и менее 20% – действием вредоносных программ и злоумышленников. [7]

Безопасный доступ к данным внутри СЭД обеспечивается аутентификацией и разграничением прав пользователя.

Обозначим процессы установления личности пользователя и процессы подтверждения легитимности пользователя на то или иное действие или информацию одним термином – аутентификацией, понимая под ним весь комплекс мероприятий, проводимых как на входе пользователя в систему, так и постоянно в течение его дальнейшей работы.

Здесь необходимо заострить внимание на методах аутентификации. Самый распространенный из них, конечно, парольный. Основные проблемы, которые сильно снижают надежность данного способа – это человеческий фактор. Даже если заставить пользователя использовать правильно сгенерированный пароль, в большинстве случаев его можно легко найти на бумажке в столе или под клавиатурой.

Недоказуемость от авторства, целостность и конфиденциальность обеспечиваются криптографическими методами. В настоящее время используется электронная цифровая подпись (ЭЦП) и шифрование. Эти средства реализуются при помощи асимметричной криптографии. У каждого сотрудника - пользователя системы ЭД - имеется два ключа (ключевая пара) – закрытый и открытый. При помощи закрытого ключа формируется ЭЦП и расшифровывается информация, предназначенная данному пользователю. Закрытый ключ должен быть доступен только его владельцу. Открытый ключ служит для проверки ЭЦП и шифрования и доступен любому пользователю информационной системы.

Для формирования электронной цифровой подписи и шифрования в СЭД используются криптопровайдеры – программные, программно-аппаратные средства. Необходимым является использование сертифицированных криптопровайдеров – это одно из основных условий для обеспечения юридической значимости СЭД.

Если электронный документооборот является юридически значимым, то в случае судебных разбирательств суд при рассмотрении обстоятельств по предмету спора принимает к рассмотрению доказательства в виде электронных документов, удостоверенных электронной цифровой подписью.

Таким образом, исходя из короткого анализа состояния информационной безопасности организации, включающей модель угроз и модель нарушителя, а также применение предложенных мер по устранению актуальных угроз безопасности, следует, что применение систем электронного документооборота требует тщательной разработки политики безопасности организации, проведения дополнительных организационных мероприятий и применения инженерно-технических средств защиты информации (СЗИ), а также дополнительных настроек СЗИ. В противном случае, угрозы информационной безопасности будут иметь высокую вероятность, а риски реальными, ощутимыми и внушительными. [4-5]

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Бакиров Э.Э., Басыров А.Р. Особенности защиты электронного документооборота. [Текст] // Сборник материалов Республиканской научно-практической конференции. Министерство сельского хозяйства РФ; ФГБОУ ВПО Башкирский государственный аграрный университет; Факультет информационных технологий и управления; Кафедра информатики и информационных технологий. 2016. - С. 6-8.

2. Досмухамедов Б.Р. Анализ угроз информации систем электронного документооборота // ISSN 2072-9502. Вестник АГТУ. Сер.: Управление, вычислительная техника и информатика.-2009.-№2. – С. 140-143.

3. В.И.Ярочкин. Информационная безопасность (Учебник для вузов). М. Фонд «Мир» и Изд-во «Академический проспект». 2006.

4. Рябко Б.Я., Фионов А.Н. Криптографические методы защиты информации: Учебное пособие для вузов. – М.: Горячая линия-Телеком, 2005. -229 с.

5. ГОСТ Р ИСО/МЭК 15408-2001 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

6. Источник – DOCFLOW, Российский рынок ECM 2015.

7. Компания TAdviser. Статистика по развитию СЭД в России. [Электронный ресурс]. URL: http://www.tadviser.ru/index.php/СЭД.

Код для цитирования: Скопировать