На сегодняшний день системы электронного документооборота (СЭД) широко распространены как в коммерческих, так и в государственных организациях. Сейчас они используются не только для автоматизации канцелярских функций, как это было во время первой волны автоматизации документооборота. СЭД доводятся до уровня конечных пользователей, работающих с документами, идут массовая замена и консолидация внедрений первой волны, особенно в холдинговых структурах. Не удивительно, что в подобных условиях быстрого и свободного обмена документами на первый план выходит вопрос защиты информации. Ведь в системах документооборота зачастую обрабатываются персональные данные, информация, являющаяся коммерческой тайной или предназначенная только для служебного использования.
Как организовать защиту СЭД?
Систему электронного документооборота можно представить в виде пирога из нескольких слоев: оборудования, системного и прикладного программного обеспечения и данных, обрабатываемых и передаваемых по сети. Именно поэтому защиту СЭД невозможно выстроить отдельно от других ИБ-систем организации, она должна быть комплексной. Важно обеспечить безопасность на всех уровнях – от использования инструментов защиты периметра до организации информационной безопасности на уровне приложений, рабочих станций и мобильных устройств. Впрочем, такая многоуровневая структура защиты характерна не только для СЭД, но и для большинства сложных систем, содержащих конфиденциальную информацию.
В связи с этим необходимо предусмотреть меры противодействия угрозам безопасности на всех уровнях:
- сетевом – межсетевые экраны, шифрование трафика, средства обнаружения атак и контроля информационных потоков, защита удаленного доступа и т. п.;
- серверов, рабочих станций и мобильных устройств – антивирусы, разграничение доступа на уровне ОС, шифрование, обновление системного и прикладного ПО, контроль приложений и т. п.;
- СУБД и приложений – защита от атак на веб-приложения и СУБД, аутентификация и разграничение доступа, контроль целостности и т. п.
Кроме того, следует принимать следующие меры:
- фиксировать события и управлять инцидентами информационной безопасности;
- контролировать действия персонала – как рядовых пользователей, так и администраторов систем, для чего можно использовать организационные меры, методики повышения осведомленности, технические средства контроля администраторов;
- сформировать необходимый набор организационных мер – разработать концепцию, правила и методики для управления информационной безопасностью, назначить ответственных за соблюдением требований и распределить их обязанности;
- обеспечить меры физической защиты оборудования и помещений.
Важной особенностью защиты СЭД является разграничение прав доступа как к системному функционалу, так и к отдельным документам. При этом системы документооборота первой волны, как правило, обеспечивают защиту документов только тогда, когда они находятся на сервере СЭД и не предоставляют необходимого набора инструментов контроля на протяжении всего периода существования документальных файлов.
В частности, на этапе редактирования документ загружается на рабочую станцию пользователя и открывается в текстовом редакторе, в таком случае система не может контролировать доступ к нему. Но развитие технологий не стоит на месте, и сегодня у нас есть возможность решить эту задачу с помощью систем класса Information Rights Management (IRM). Они позволяют выгрузить из контура СЭД не просто файл, а защищенный контейнер, открыть который может только отдельное клиентское приложение с проверкой прав доступа. Если у пользователя нет разрешения, IRM-система запретит доступ к документу. А если есть, то после завершения сеанса редактирования файл снова попадет в защищенный контейнер. Более того, документ в защищенном виде может быть передан даже за пределы организации (в частности, контрагенту) и получатель также сможет выполнять только разрешенные действия (например, только прочитать, но не распечатать и не переслать).
На данный момент далеко не все заказчики понимают, что встроенные инструменты электронного документооборота защищают документы только внутри периметра системы, и задача ИТ-специалистов – донести до них сведения о существовании рисков нарушения режима защиты за пределами СЭД. К счастью, в крупных проектах модернизации или масштабирования СЭД, IRM все чаще является одним из обязательных инструментов для внедрения.
Помимо программных и аппаратных средств защиты СЭД нужно подключать еще один пласт мер – организационных. К ним относятся регламентация действий сотрудников и обслуживающего персонала, установление владельцев информационных ресурсов, управление рисками информационной безопасности, фиксирование в локальных нормативных актах ответственности пользователей СЭД за несоблюдение правил работы.
Для того чтобы обеспечить конфиденциальную информацию должным уровнем защиты, уже на этапе проектирования СЭД следует предусмотреть все меры обеспечения информационной безопасности. Бывают случаи, когда компании нужно внедрить средства защиты для уже используемой системы документооборота или расширить уже существующие механизмы безопасности. Но это более сложная и дорогостоящая задача, потому что ее решение может потребовать серьезных изменений и в архитектуре электронного документооборота, и в уже выстроенной комплексной системе информационной безопасности.
И наконец, нельзя забывать о мобильности пользователей СЭД. В современных реалиях согласование и подтверждение документов удаленно – важная составляющая качественной и эффективной работы. Однако в описанном случае информация уже не находится исключительно в рамках периметра безопасности организации. Конечно, можно было бы сказать, что спасение утопающих – дело рук самих утопающих, при доступе со своих мобильных устройств их владельцы должны сами обеспечивать их защиту, но не в случае СЭД. Для защиты мобильного документооборота необходимы не только организационные, но и технические меры.
К последним, в частности, относятся шифрование и изоляция корпоративных данных на мобильных устройствах, организация защищенного доступа к СЭД, централизованное управление политиками безопасности на мобильных гаджетах. В некоторых случаях полезна возможность удаленного уничтожения корпоративной информации на устройстве сотрудника. Для решения задач управления корпоративной информацией на устройствах сотрудников используются инструменты класса Mobile Device Management.
Таким образом, при организации защиты СЭД важно комплексно рассматривать все аспекты обеспечения информационной безопасности, выделить приоритеты и последовательность реализации задач, а при эксплуатации поддерживать систему в актуальном состоянии в соответствии с изменяющимися требованиями бизнеса, технологиями и реалиями жизни.
Внедрение системы управления правами доступа к конфиденциальной информации в компании КРОК
Цель проекта: реализация решения для защиты информации, составляющей коммерческую тайну или интеллектуальную собственность компании при работе как внутри организации, так и при обмене документами с партнерами и подрядчиками. При этом важно было обеспечить возможность централизованного и гибкого управления доступом пользователей к конфиденциальной информации, а также хранения истории и аудита операций над конфиденциальными документами внутри компании и за ее пределами. В основу решения легла система управления правами доступа к информации EMC IRM (Information Rights Management). Приложение создает дополнительный уровень защиты для важных данных посредством их шифрования и управления правами пользователей, которым разрешается расшифровать тот или иной документ. В ходе проекта внедрены клиентские приложения EMC IRM для Outlook, MS Office, редактирования PDF и системы электронного документооборота на базе EMC Documentum. Они позволяют защитить документы и вложения электронной почты в форматах MS Office 2003–2010: Word, Excel, Power Point и Adobe PDF.
Основные преимущества:
- обеспечение конфиденциальности защищенных документов;
- возможность контроля прав доступа пользователей к документу (чтение, изменение, вывод на печать и т. п.);
- защита документа на всех этапах его жизненного цикла, при нахождении в периметре системы электронного документооборота, в сети или на рабочих станциях организаций-партнеров и подрядчиков;
- наличие функций интеграции c другими корпоративными приложениями;
- обеспечение доступа к IRM Server сторонних приложений и сервисов для шифрования контента и управления правами на доступ к файлу.
Электронная подпись – гарант достоверности
Еще одна интересная тенденция в области защиты СЭД – возможность использования электронной цифровой подписи или просто электронной подписи (ЭП) согласно последнему Федеральному закону № 63-ФЗ. Основная задача электронной подписи – сохранение целостности сделок, транзакций и документов в электронном виде. Совсем недавно подобные документы составлялись только в бумажном виде и требовали собственноручного подписания с простановкой печати.
Электронная подпись необходима прежде всего в тех случаях, когда документ может потребоваться в качестве доказательства при судебном разбирательстве, для предоставления отчетности в органы государственной власти, например в налоговую службу, или для обмена документами между юридическими лицами. При грамотной организационной и технической реализации электронной подписи риски непризнания электронных документов в суде минимальны. В соответствии с законом об использовании ЭП документ с электронной подписью в электронном виде, как правило, не требуется дополнительно заверять на бумаге.
Современное законодательство позволяет использовать как простые, так и усиленные (неквалифицированные и квалифицированные) ЭП, т. е. построенные с применением криптографических технологий. Самый легкий для внедрения вариант – простая подпись, состоящая из логина и пароля. Чаще всего она используется во внутреннем документообороте для определения авторства того или иного фрагмента текста. Введение в оборот квалифицированной подписи является более сложной процедурой, которая требует верификации и получения специальных ключей в удостоверяющем центре, а иногда и разворачивания собственной инфраструктуры удостоверяющих центров. Однако такая подпись нередко оказывается единственным вариантом для официального общения юридических лиц с органами госвласти и между собой в электронном виде.
За безопасность ключей электронной подписи всегда отвечает пользователь, у которого находится физический носитель с закрытым ключом шифрования, при этом задача организации – обеспечить его техническими средствами защиты. Так, на рабочей станции должен быть, как минимум, установлен антивирус, периметр сети защищен, а до пользователя доведены правила работы с ключевыми носителями и средствами защиты.
Обеспечение информационной безопасности СЭД для администрации Пермского края
Цель проекта: перевод в электронный вид процессов документооборота для повышения эффективности управления и обеспечения прозрачности работы около 15 тыс. работников администрации губернатора, аппарата правительства и исполнительных органов государственной власти Пермского края (к системе подключены десятки органов регионального и муниципального управления). В рамках проекта необходимо было обеспечить юридическую значимость документооборота, так как формируемые и исполняемые сотрудниками органов госвласти документы требуют персональной ответственности.
Для этого была внедрена система электронного оборота на базе платформы EMC Documentum, кроме того, с участием специалистов КРОК была разработана методологическая база в целях обеспечения юридической силы электронных документов. В состав СЭД вошли подсистемы работы с усиленной цифровой подписью и защиты данных от несанкционированного доступа. В системе реализованы функции удостоверяющего центра, а также создания и проверки электронной подписи на базе сертифицированного ПО компании «КриптоПро».
Общая схема автоматизации деятельности администрации и исполнительных органов государственной власти Пермского края
Упрощенная схема подготовки исходящего документа
Основные преимущества для заказчика:
- перевод бумажных, в том числе официальных, документов в электронный вид;
- эффективная защита документов от искажений;
- невозможность отказа от ответственности со стороны лица, подписавшего документ;
- разграничение прав доступа пользователей к функциям системы в зависимости от их полномочий;
- сокращение числа случаев со срывом сроков согласования или подписания документов;
- возможность удаленного доступа к системе.
Защита документооборота с позиции бизнеса
Чаще всего заказчиком систем электронного документооборота выступает крупный бизнес. При этом основная цель для организации – контроль, причем как в плане эффективности работы тех или иных структур, так и в разрезе юридической безопасности сделок и прозрачности бизнеса.
Если изначально электронный документооборот в компании развернут качественно, а бизнес-процессы четко выстроены, то электронный документооборот становится для них хорошим подспорьем – работа будет выполняться значительно быстрее, чем без использования средств автоматизации. В этом случае сотрудники не будут сопротивляться контролю, а у руководства компании появится возможность отслеживать корректность процессов и повышать эффективность как отдельных специалистов, так и всей структуры бизнеса. Если же в системе электронного документооборота возникнут проблемы, то они проявятся и во всей организации в целом. Равно как и наоборот.
Таким образом, вопрос снижения рисков (а вместе с этим и финансовых потерь) в отношении СЭД является не просто обязанностью службы информационной безопасности. Это более комплексная задача. Важно также предусмотреть защиту от потери и недоступности данных с помощью эффективной системы резервного копирования и удобного поиска, который может пригодиться в том числе и для сокращения времени сбора документации при проведении проверок со стороны регуляторов. Компаниям может пригодиться и функционал для контроля за ходом и сроками согласования документов, соответствием отраслевым или корпоративным стандартам оформления документации, исполнением договорных обязательств и пр.
Подводим итоги
Вопрос защиты СЭД тесно связан с обеспечением информационной безопасности всей организации. Одно без другого просто бессмысленно. Поэтому на этапе внедрения системы стоит быть готовыми к тому, что потребуется перестроить привычные механизмы защиты. И в этом случае опытный сторонний исполнитель, вероятно, будет более успешен, поскольку сможет посоветовать оптимальный способ решения стоящих перед организацией задач.
Что касается внедрения средств информационной безопасности для защиты СЭД, то его можно провести силами внутреннего ИТ-подразделения компании. Но для этого нужно иметь штатных квалифицированных сотрудников в области информационной безопасности, которые смогут решить эту задачу на должном уровне. Если ИТ-персонал компании перегружен или ориентирован только на поддержку уже существующих систем, всегда можно рассмотреть вариант с привлечением внешнего подрядчика, который, как правило, имеет более высокий уровень экспертизы в данной области и подтвержденный опыт.