Защита электронного документооборота
Как сохранить неприкосновенность корпоративных данных
Вопрос безопасности электронного документооборота еще никогда не стоял так остро. Издание «Ведомости» сообщило, что только за первые четыре месяца 2023 года было более семидесяти утечек конфиденциальных сведений из российских компаний и государственных органов. Эта цифра в полтора раза превышает показатель прошлого года за аналогичный период.
Безопасность электронного документооборота: что на самом деле нужно защищать
Крупные организации для работы с данными (создания, согласования и хранения) используют различные ИТ-продукты, например, системы электронного документооборота (СЭД). Они являются важной составляющей цифрового ландшафта бизнеса и содержат огромное количество корпоративной информации, которая точно не должна просочиться во внешний мир. Защита электронных систем документооборота — приоритетная задача для вендоров.
Главный элемент корпоративной системы — документ. Поэтому говоря о надежности цифровых решений, часто имеют в виду именно защиту документов, а точнее той информации, которую они содержат. В действительности степень устойчивости СЭД характеризуется не только сохранностью её содержимого, но и работоспособностью системы и скоростью восстановления после кризисных ситуаций.
Только комплексный подход способен гарантировать безопасность на всех уровнях. Специальных защитных мер требуют:
- аппаратные составляющие: техника, сетевое оборудование и серверы;
- программные файлы и базы данных;
- документы.
Регулярные утечки корпоративных сведений доказывают, что вопрос безопасности СЭД не перестраховка, а необходимая основа для эффективной работы бизнеса.
Источники угроз для ИТ-систем
Набор инструментов для защиты информации электронного документооборота зависит от характера угроз. Все риски для СЭД можно поделить на две большие группы:
- Внешние угрозы. Как понятно из названия, они поступают извне и не зависят от действий внутри компании. Внешние угрозы могут быть естественными (природные катаклизмы, пожары, аварии и другие стихийные бедствия) и искусственными (атаки конкурирующих фирм, взломы, вирусы).
- Внутренние угрозы. Чаще всего причиной неполадок и утечек в этом случае являются сами сотрудники. Это может быть преднамеренная передача данных или непреднамеренная, например, когда документы просачиваются наружу из-за ошибок или некомпетентности сотрудника.
Важно, чтобы СЭД была готова к этим угрозам и имела несколько уровней защиты.
Как гарантировать информационную безопасность электронного документооборота
Бесперебойность работы цифровых решений зависит от того, выполняется ли ряд условий, которые можно разделить на две группы:
Организационно-правовые | Технические |
---|---|
Соответствие законодательству. Сохранность данных регулирует 149-ФЗ «Об информации, информационных технологиях и о защите информации». |
Безопасность оборудования. Важно гарантировать надежность аппаратных составляющих, предусмотреть специализированные шлюзы и маршрутизаторы. |
Разграничение доступа. Любая СЭД обязательно должна включать инструменты для настройки прав доступа пользователей. Это помогает сохранить контент внутри компании. Можно полностью скрыть документы от определенных групп сотрудников или выдать им права только на просмотр, без возможности менять содержимое. |
Резервное копирование. Помогает в случае перебоев в работе сохранить информацию на защищенных носителях. |
Организация учета, хранения и применения ключей шифрования и квалифицированной электронной подписи. | Антивирусная защита ПО. |
Фиксация истории работы с данными. Недостаточно разграничить права доступа к информации, необходимо еще и фиксировать все действия пользователей с конкретными объектами системы. Пример: помимо гибкой настройки прав доступа в Directum RX все действия с объектами системы фиксируются в истории. В пару кликов можно посмотреть, кто взаимодействовал с документом, вносил изменения или менял права. |
Программные средства для идентификации и аутентификации сотрудников. Доступ в систему должен быть персонифицированным. Для этого вендоры используют разные варианты аутентификации. Пример: в архитектуру Directum RX уже заложена функциональность для гарантии безопасной аутентификации и авторизации. Даже если клиентское приложение окажется в распоряжении третьих лиц, благодаря дополнительной проверке прав доступа они не смогут получить конфиденциальные данные. |
Цифровая подпись, криптографические средства защиты и шифрования информации. | |
Отказоустойчивость. Когда ИТ-продуктом пользуются тысячи сотрудников, одним из важных параметров надежности является подтвержденная отказоустойчивость системы и готовность к высокой нагрузке. |
Полноценной защиты электронных систем документооборота можно добиться только если ИТ-продукт отвечает всем перечисленным характеристикам. Недостаточно проработать только одну из них — СЭД останется уязвимой.
Если компания планирует использовать облачный вариант поставки, важно получить от поставщика гарантии сохранности данных. Гарантом может выступать SLA — это ключевой параметр в договоре услуг с облачными сервисами, который закрепляет за провайдером обязательства по надежному хранению информации.
Стоит учитывать и внешние факторы. Для большинства компаний уже давно очевидно, что импортонезависимость и устойчивость к внешним санкциям играют значительную роль на пути построения ИТ-инфраструктуры.
Как обстоят дела с безопасностью СЭД на практике
Современные системы для управления цифровыми документами и процессами уже выходят за рамки классических СЭД или ECM. Они включают функциональность BPM-решений, а иногда и интеллектуальные сервисы. Уже на этапе разработки вендор закладывает механизмы идентификации и аутентификации пользователей, возможность установки разных уровней доступа к данным и другие важные характеристики, гарантирующие защиту электронных систем документооборота. Это не новомодные фичи, а необходимая функциональность.