2015-04-17
336
Основное проблемное место при организации защиты СЭД, как отмечают большинство разработчиков систем защиты, это не технические средства, а лояльность пользователей. Как только документ попадает к пользователю, конфиденциальность этого документа по отношению к пользователю уже нарушена. Техническими мерами в принципе невозможно предотвратить утечку документа через этого пользователя. Он найдет множество способов скопировать информацию, от сохранения его на внешний носитель до банального фотографирования документа с помощью камеры, встроенной в сотовый телефон. Основные средства защиты здесь - это организационные меры по ограничению доступа к конфиденциальным документам и работы с самим пользователем. Он должен понимать степень своей ответственности, которую несет перед организацией и законом Российской Федерации.
Системы российских разработчиков условно можно поделить на две группы - ориентированные на коммерческое использование (Directum, «Ефрат-документооборот», LanDoc, Optima-WorkFlow) и ориентированные на использование в государственных структурах («Гран-Док» и «Золушка»). Это не означает, что их применение строго ограничено, некоторые системы вполне успешно применяются как в государственных структурах, так и в коммерческих организациях. Просто каждая их этих групп имеет свою специфику не только в технологиях организации документооборота и делопроизводства, но и свои отличительные черты в системах защиты.
|
|
|
Основное отличие в системах защиты - это алгоритмы, применяемые в шифровании и ЭЦП К сожалению, пока вопрос защищенности систем документооборота только начинает интересовать конечных пользователей и разработчиков соответственно. Практически все системы обладают парольной аутентификацией и разграничением доступа пользователей. Некоторые из них имеют также возможности интеграции с Windows-аутентификацией, что дает возможность пользоваться дополнительными средствами аутентификации, поддерживаемыми Windows. Не все из перечисленных решений имеют свою криптографическую защиту - шифрование документов или ЭЦП. В ряде продуктов это возможно только при помощи дополнительных средств сторонних разработчиков.
Подход к защите электронного документооборота должен быть комплексным. Необходимо трезво оценивать возможные угрозы и риски СЭД и величину возможных потерь от реализованных угроз. Как уже говорилось, защиты СЭД не сводится только лишь к защите документов и разграничению доступа к ним. Остаются вопросы защиты аппаратных средств системы, персональных компьютеров, принтеров и прочих устройств; защиты сетевой среды, в которой функционирует система, защита каналов передачи данных и сетевого оборудования, возможно выделение СЭД в особый сегмент сети. Комплекс организационных мер играют роль на каждом уровне защиты, но им, к сожалению, часто пренебрегают. А ведь здесь и инструктаж, и подготовка обычного персонала к работе с конфиденциальной информацией. Плохая организация может свести к нулю все технические меры, сколь совершенны они бы не были.
