Ливинец Валерия Николаевна МЕХАНИЗМЫ ЗАЩИТЫ СИСТЕМ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
04.10.2020, 21:21
Аннотация. В статье рассмотрены основные виды угроз систем электронного документооборота. Изучены меры защиты информации в современных условиях.
Ключевые слова: система электронного документооборота, угрозы, система защиты информации, меры защиты.
Annotation. The article discusses the main types of threats to electronic document management systems. Information security measures in modern conditions are studied.
Keywords: electronic document management system, threats, information security system, security measures.

Система электронного документооборота (СЭД) – очень важная часть информационного ландшафта любой современной организации. СЭД предназначена для решения критически важных бизнес-задач, связанных с управлением, хранением и интеграцией документов, различных файлов и другой важной информации, содержащейся в различных информационных системах и бизнес-приложениях, из которых как раз и состоит ИТ-ландшафт организаций.
То есть СЭД сегодня – главное связующее звено между различными управленческими, финансовыми и любыми другими системами внутри компании, обеспечивающее единство и неразрывность информации, ее уникальность, доступность и при этом безопасность и конфиденциальность.
Защищенный электронный документооборот – одна из важнейших задач обеспечения общей безопасности в компании, которой необходимо уделять очень большое значение и пристальное непрерывное внимание
Для нормальной работы электронного документооборота на предприятии необходим надежный и безопасный процесс обработки и хранения информации, организация которого требует четко определить основные риски и способы их предупреждения.
Основными угрозами для системы электронного документооборота, как и для любой другой информационной системы, являются:
1. Угроза целостности информации – повреждение, искажение или уничтожение информации;
2. Угроза доступности информации – ошибки пользователей, внешние сетевые атаки, вредоносное ПО.
3. Угроза конфиденциальности – кража информации, подмена маршрутов обработки, несанкционированный доступ к информации.
Таким угрозам должна «уметь» противостоять любая система электронного документооборота, защищая не только данные, хранимые внутри, но и саму себя, поддерживая работоспособность и доступность для пользователей. Поэтому система защиты современных СЭД должна развиваться еще быстрее и интенсивнее, чтобы быть на шаг впереди опасности.
Наряду с основным и наиболее непредсказуемым источником угроз – внешними злоумышленниками, опасность может исходить и от пользователей системы электронного документооборота, в частности, от их особого «класса» – администраторов, то есть пользователей с привилегированными неограниченными правами доступа к контенту и настройкам системы. Не менее 70% потерь информации происходит в результате именно внутренних атак на информационную систему. Для внутренних «вредителей» существует множество вариантов и путей реализации угроз. И здесь не так важны мотивы действий сотрудников – ошибочные или злонамеренные, результат в обоих случаях может быть весьма печален – утрата или разглашение информации.
Но все же, для защиты и предупреждения атак на информационные системы, мотивы угроз не стоит сбрасывать со счетов, ведь от того, как их квалифицировать по признаку мотивации – случайные или намеренные, может зависеть стратегия борьбы с ними, методология их предупреждения и мероприятия по реагированию на них.
Система защиты информации системы электронного документооборота – это общая совокупность методов, средств и мероприятий, снижающих уязвимость системы и препятствующих несанкционированному доступу к информации, ее разглашению, повреждению, утрате или утечке.
На основании анализа угроз для систем электронного документооборота можно сформировать перечень основных средств защиты информации и методы обеспечения информационной безопасности СЭД.
В соответствии с законом Республики Беларусь «Об информации, информатизации и защите информации» для защиты информации используются правовые, организационные и технические меры.
К правовым мерам по защите информации относятся заключаемые обладателем информации с пользователем информации договоры, в которых устанавливаются условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий.
К организационным мерам по защите информации относятся обеспечение особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), а также разграничение доступа к информации по кругу лиц и характеру информации.
К техническим мерам по защите информации относятся меры по использованию средств технической и криптографической защиты информации, а также меры по контролю защищенности информации.
Государственные органы и юридические лица, осуществляющие обработку информации, распространение и (или) предоставление которой ограничено, определяют соответствующие подразделения или должностных лиц, ответственных за обеспечение защиты информации.
Правовые меры защиты информационных систем принимает, в первую очередь, государство, осуществляя правовое регулирование отношений в сфере защиты информации путем установления законодательных требований к защите информации, а также ответственности за нарушение этих законов. Соответственно, наличие современной и актуальной нормативно-правовой базы, учитывающей все возможные новейшие угрозы в сфере информатизации – одно из главных условий обеспечения безопасности информационных систем, как государственных, так и корпоративных.
Организация мер безопасности информационных систем вытекает из правовых основ регулирования. Наряду с этим, дополнительные и весьма разнообразные требования к защите информации предъявляют современные множественные угрозы информационных систем. Поэтому важными критериями эффективности таких мер является их комплексность, актуальность и своевременность. Ну и конечно самое главное – исполнение этих решений и регламентов, без этого они просто теряют смысл.
Для построения эффективной современной защиты корпоративной информационной системы необходимо постоянно и весьма внимательно мониторить все возможные угрозы, их вариации и комбинации. В последнее время таких угроз становится все больше, они появляются в ранее совершенно безопасных сферах и направлениях. Злоумышленники применяют методы все ухищреннее, комбинируя и импровизируя самые неожиданные варианты.
Сами угрозы становятся все более интеллектуальными, обретая элементы искусственного интеллекта, используя самые современные достижения бурно развивающихся информационных технологий. Например, приобретает новый смысл с точки зрения информационной безопасности термин «социальная инженерия», которая ежедневно наносит самым разнообразным информационным системам ощутимый и зачастую непоправимый ущерб.
Поэтому организационная защита – один из критериев безопасности предприятия. В результате анализа актуальных угроз вырабатываются внутрикорпоративные стандарты и регламенты, требующие неукоснительного исполнения. Также должен быть разработан и реализован комплекс мероприятий по обеспечению информационной безопасности – четкая классификация видов информации и информационных систем, владеющих этой информацией, строгий учет организации доступа к той или иной информации в зависимости от ее важности, ценности, конфиденциальности.
Примером таких мер является организация учета, хранения и эксплуатации ключей шифрования и электронной подписи с использованием персональной ответственности сотрудников, создание реестра стандартных корпоративных комплексных профилей доступа к информационным ресурсам в зависимости от структурной и/или должностной принадлежности сотрудника. Это в свою очередь обеспечивает своевременную организацию доступа только к необходимым корпоративным информационным ресурсам, нивелируя человеческий фактор и минимизируя возможность ошибки или злонамеренного действия.
Таких организационных мер, и тем более их комбинаций, может быть неограниченное множество. К ним необходимо подходить с точки зрения обоснованности и целесообразности. Также немаловажным, а может и решающим, критерием выступает экономический фактор. Основной деятельностью предприятий и организаций является экономическая, в том или ином ее виде. Ценность информации и требуемая степень ее защиты, и, как правило – стоимость, находятся в прямой зависимости. Поэтому выбор необходимых организационных и технических мер решается непосредственно самим владельцем информационной системы.
Другим направлением для обеспечения информационной безопасности являются технические средства и программное обеспечение.
Это могут быть, например:
– специализированное защищенное сетевое оборудование – маршрутизаторы, сетевые шлюзы, канальные шифраторы и т.д.;
– построение изолированных сетей для обращения конфиденциальной информации с многоуровневой защитой доступа – как физического (защищенные помещения и здания), так и логического (идентификация и аутентификация, шифрование);
– для купирования рисков потери актуальной информации в результате сбоя или сетевой атаки необходимо использовать хорошо проработанные планы резервного копирования с размещением архивной информации на защищенных от порчи и несанкционированного доступа носителях;
– для защиты от атак на уровне программного обеспечения нужно использовать современные антивирусные интеллектуальные пакеты, использующие актуальные антивирусные базы, принципы эвристического анализа, возможности искусственного интеллекта и нейронных сетей;
– применение современных криптографических средств защиты и шифрования информации для однозначного разграничения доступа к ней, применения технологии блок-чейн для сохранности и исключения фальсификации данных.
Наряду с этим даже электронная подпись, которая сегодня является обязательным элементом бизнес-среды любой организации вне зависимости от формы собственности, сферы деятельности или масштабов, представляет собой такое же техническое средство защиты. Без электронной подписи невозможно сдать обязательную налоговую отчетность, использовать электронный обмен юридически значимой документацией с контрагентами, а также обеспечить нормальное и эффективное функционирование компании.
Разграничение прав доступа пользователей в системе может быть устроено совершенно по-разному. При использовании изолированных подсистем разграничения прав в каждой системе ИТ-ландшафта, например, управление профилями децентрализовано и плохо управляемо, выдача прав в такой информационной среде вызывает определенные трудности и требует немалых трудозатрат для актуализации и верификации.
Централизованные подходы в управлении разграничениями прав доступа даже в гетерогенной корпоративной информационной системе, например Active Directory, представляют собой более профессиональный вариант организации, и позволяют достаточно легко управлять профилями доступа и изменять их комбинацию. Но, как правило, такие системы недешевы, требуют совместимости от управляемых информационных систем, и в нашей стране распространены не очень широко.
В целом можно отметить, что нами были рассмотрены лишь некоторые методы обеспечения безопасности систем электронного документооборота. При этом можно сделать вывод, что меры противодействия угрозам можно принять еще на стадии внедрения безбумажного документооборота. Для полноценной защиты необходимо использовать комплекс мер и средств, комбинировать различные программно-аппаратные и организационные решения, обеспечивая их актуальность и действенность в условиях современной информационной вселенной.
Категория: Smart Student Science — 2020 | Добавил: nikinice123putin
Просмотров: 18 | Загрузок: 0 | Рейтинг: 0.0/0
Всего комментариев: 0
avatar