Методика защиты информации в системах электронного документооборота (Основные понятия и определения)

Содержание:

Введение

Ни одна организация не может обойтись без документооборота, т.е. организации процесса движения и учета документов, который в свою очередь делится на централизованный и структурных подразделений. В централизованный документооборот включается вся документация, подлежащая централизованной регистрации. В документооборот уровня структурного подразделения включены только документы, учитываемые в структурных подразделениях. Документы могут быть оформлены на бумажных носителях или в электронном формате. Поэтому и документооборот может быть разный: стандартный или электронный. В современном мире сложившаяся бюрократия и ведение бумажного документооборота серьезно замедляет, ограничивает и подвергает опасности все делопроизводство. Зачастую принятие, подписание, утверждение документов занимает колоссальное время, иногда это дни а, иногда недели. Для решения подобных трудностей на выручку приходят системы электронного документооборота(СЭД), они в состоянии помочь организациям увеличить скорость принятия и утверждения документов за счет автоматизации документооборота.

Но в то же время переводя документационное обеспечение организации в электронный вид, нельзя забывать и про безопасность системы, утечка или потеря данных в наше время может дорого стоить. Таким образом требование безопасности при использовании СЭД выходит на ключевые позиции.

Основные понятия и определения

Система электронного документооборота (СЭД) — это система (компьютерная программа. программное обеспечение и т.п.), позволяющая организовать и автоматизировать работу с электронными документами (т.е. электронный документооборот) на протяжении всего их жизненного цикла. Основной функционал СЭД должен включать в себя возможность создания, изменения, хранения и маршрутизации документов, а также ряда сервисных возможностей, таких как поиск, классификация.

Основные понятия делопроизводства нормативно закреплены в стандарте ГОСТ, который представлен как Национальный стандарт РФ ГОСТ Р 7.0.8-2013 "Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 17 октября 2013 г. N 1185-ст).

Делопроизводство: Деятельность, обеспечивающая документирование, документооборот, оперативное хранение и использование документов.

Документ: Зафиксированная на носителе информация с реквизитами, позволяющими ее идентифицировать.

Документационное обеспечение (управления), ДОУ: Деятельность, целенаправленно обеспечивающая функции управления документами.

Документирование: Запись информации на носителе по установленным правилам.

Электронный документ: Документ, информация которого представлена в электронной форме.

Документированная информация: Структурированная информация, зафиксированная на носителе.

Носитель (документированной) информации: Материальный объект, предназначенный для закрепления, хранения (и воспроизведения) речевой, звуковой или изобразительной информации.

Реквизит документа: Элемент оформления документа.

Доступ к документу: Возможность и условия получения и использования документа.

Подписание (документа): Заверение документа собственноручной подписью должностного или физического лица по установленной форме.

Подпись: Реквизит, содержащий собственноручную роспись должностного или физического лица.

Электронная подпись: Информация в электронной форме, присоединенная к электронному документу или иным образом связанная с ним и позволяющая идентифицировать лицо, подписавшее электронный документ.

Текст документа: Основная содержательная часть документа.

Документооборот: Движение документов в организации с момента их создания или получения до завершения исполнения или отправки.

Электронный документооборот: Документооборот с использованием автоматизированной информационной системы (системы электронного документооборота).

Включение документа в СЭД: Осуществление действий, обеспечивающих размещение сведений о документе и/или документа в системе электронного документооборота.

Метаданные: Данные, описывающие контекст, содержание, структуру документов, обеспечивающие управление документами в информационной системе.

Конвертирование (электронных документов), конвертация (электронных документов): Процесс перемещения электронных документов с одного носителя на другой или из одного формата в другой.

Миграция (электронных документов): Перемещение электронных документов из одной информационной системы в другую с сохранением аутентичности, целостности, достоверности документов и их пригодности для использования.

Регистрация документа: Присвоение документу регистрационного номера и внесение данных о документе в регистрационно-учетную форму.

Электронное дело: Электронный документ или совокупность электронных документов и метаданных к ним, сформированные в соответствии с номенклатурой дел.

Входящие документы — это документы, поступающие в организацию извне по различным каналам связи.

Исходящие документы — это документы, разработанные внутри организации и отправленные за его пределы для руководства нижестоящим органам управления (подчиненным должностным лицам, учреждениям и организациям) либо во исполнение письменных указаний (руководящих документов) высшей инстанции (старших начальников).

Свойства систем электронного документооборота

1. Контроль исполнения документов. Система контроля исполнения документов СЭД автоматически создает и направляет сотрудникам уведомления о приближении сроков исполнения заданий.
2. Аннотирование документов. То есть создание краткого текста так сказать аннотации документа или задания. Это может значительно повысить эффективность работы. Т.к. сотрудники будут экономить время. Аннотации содержат адресата документа, его назначение, описание его структуры и тематики.
3. Характеристики хранения документов в СЭД. Для построения архитектуры хранилища документов в СЭД чаще всего используется принцип распределенной базы данных, при этом, один и тот же документ, физически размещенный в одном экземпляре по определенному адресу в хранилище, может виртуально входить в состав нескольких папок на разных уровнях, что позволяет реально снижать необходимый объем этого хранилища за счет использования механизма ссылок.
4. Организация хранилищ документов и реквизитов. В большинстве случаев, серверная часть СЭД состоит из следующих логических компонентов (которые могут располагаться как на одном, так и на нескольких серверах). Хранилища атрибутов документов (карточек) и хранилища документов, хранилище документов обычно размещается, на файл-сервере.
5. Маршрутизация документов. Одной из, важнейших задач электронного документооборота является обеспечение движения документов в учреждении, то есть автоматического перемещения каждого документа между подразделениями, ответственными лицами по определенному маршруту, установленному для каждого документа в отдельности, действующими в данной организации правилами делопроизводства. Та часть, реализующая маршруты в СЭД, называется, модулем маршрутизации документов.
6. Открытость. Большинство СЭД строятся по принципу модульности и открытости интерфейсов, что позволяет добавлять к уже функционирующей системе новые функции или и модернизировать уже имеющиеся.
7. Разграничение прав доступа к документам. В первую очередь в СЭД должны, быть реализованы разграничение на права пользователей. Любые изменения в текст документа должны быть запротоколированы, для возможности «отката» или досконального исследования документа в поисках виновных.
8. Наличие управления версиями документов. Подавляющее большинство СЭД реализуют возможность одновременной работы с одним документом нескольких пользователей, каждый из которых может в процессе согласования (в случае обладания соответствующими правами) внести в текст документа свои коррективы, тем самым создав его новую версию. Все версии документа могут хранятся в системе и отображаться в карточке. Пользователь, в соответствии с заданными правами может просмотреть нужную ему версию документа, внести изменения, сравнить с другими документами удалить, или загрузить новую версию.
9. Интеграция с прикладным ПО. Одной из важнейших характеристик СЭД, определяющих ее возможности, является степень интеграции с различными прикладными программными средствами.
10. Средства просмотра документов. Система электронного документооборота предоставляет перемещение и хранение документов, в различных форматах, то есть в составе большинства систем имеются специальные программные средства для преобразования информации из одного формата в другой и отображения документов
11. Работа клиентских программ на различных платформах. Программы, установленные на пользовательских компьютерах в СЭД должны работать на платформах различных операционных систем таких как Windows, Linux.

Типы систем электронного документооборота

Рис.1

1. Процессно-ориентированные СЭД. В основе данного типа СЭД лежит концепция ЕСМ (Enterprise Content Management). Процессно-ориентированные системы (ПО-СЭД) предназначены для документационного обеспечения управления каким либо сложным процессом (производственным, торговым, научно-исследовательским и т.&), в котором участвуют несколько специализированных подразделений или организаций, вертикально или горизонтально интегрированных.
2. Корпоративно-ориентированные СЭД. Основным назначением корпоративно-ориентированных СЭД (КОР7СЭД) является создание общей Для всех пользователей конкретной организации (корпорации информационно-технологической инфраструктуры, обеспечивающей коллективную работу с документами, включая их создание, распределенное планирование работ, маршрутизацию, доставку, проведение онлайновых дискуссий, согласование и контроль исполнения.
3. Контентно-ориентированные СЭД (КОН-СЭД). Под контентом в КОН-СЭД понимаются те информативные части документов, которые содержат значимые для пользователя сведения по определенной тематике.
4. Системы управления информацией. Системы управления информацией (СУП) - название в значительной степени условное, т.к. под информацией здесь понимаются не отдельные документы, а агрегированные сведения, метаданные, накопленные в результате деятельности в определенной области. Кроме рассмотренных четырех видов СЭД существует еще целый ряд систем, автоматизирующих информационные процессы в смежных с документооборотом направлениях: системы управления образами, системы управления потоками работ, системы управления электронными записями, системы управления отчетами.

Цели организации документооборота на базе СЭД

Основной целью организации документооборота на базе СЭД является организация полноценной, развитой системы управления потоками работ, в частности – документооборота, механизмов для выполнения технологических процессов обработки документов, цепочек взаимосвязанных работ, а также организация межведомственного электронного документооборота с использованием современных информационных и коммуникационных технологий и методов защиты информации.

Целями являются:

• повышение качества и оперативности работы с документами за счет унификации и автоматизации процессов документационного обеспечения управления;
• повышение качества документов, создаваемых в органе, за счет использования единых шаблонов документов и процедур подготовки и согласования;
• создание единой Системы автоматизации процессов по работе с входящими, исходящими, внутренними и организационно-распорядительными документами, а также с обращениями между органами;
• создание необходимых условий для повышения доли интеллектуального производительного труда по содержательной работе с документами, за счет снижения трудозатрат на рутинные операции;
• сокращение времени поиска документов и исключение их потерь;
• обеспечение автоматизированного контроля за прохождением документов в органе с момента их получения или создания до завершения исполнения;
• предоставление инструментов для согласования документов в электронном виде, в том числе с использованием электронной подписи;
• обеспечение автоматизированного упреждающего контроля за своевременным исполнением документов, поручений руководства и рассмотрением обращений;
• обеспечение возможности оперативного получения информации о состоянии и месте нахождения любого документа;
• обеспечение централизованного хранения документов, а также всех связанных материалов (сопроводительных писем, резолюций, отчетов, результатов согласования и ознакомления и т.п.);
• создание условий для перехода от традиционного бумажного документооборота к электронной (безбумажной) технологии работы с документами;
• обеспечение должностных лиц из состава руководителей возможностью работы с Системой на мобильных автоматизированных рабочих местах.

Сведения об объекте автоматизации

Объектом автоматизации являются процессы и процедуры документационного обеспечения управления органов, а именно:

• прием, регистрация и направление на рассмотрение бумажной и электронной входящей корреспонденции;
• сканирование образов документов, в том числе потоковое сканирование;
• создание проектов внутренних, исходящих и организационно-распорядительных документов, согласование, направление на подпись и регистрацию;
• подписание и регистрация документов;
• наложение резолюций, ввод отчетов об исполнении;
• контроль исполнения резолюций;
• контроль процесса согласования проектов правовых актов;
• контроль хода исполнения входящих, организационно-распорядительных и исходящих документов;
• учет и контроль рассмотрения обращений, поступающих в органы;
• установка универсальных двухсторонних связей между документами;
• фиксация информации о прочтении документов и резолюций по месту их получения;
• отнесение документов к делам;
• поиск документов по набору реквизитов и(или) контексту (поиск по форме);
• вывод на печать отчетов по выбранным или найденным документам.

Методы защиты СЭД

Угрозы для систем электронного документооборота

Любая современная система должна быть хорошо защищена как от угроз из вне так и изнутри, система электронного документооборота не стала исключением.

Основные угрозы для системы электронного документооборота можно разбить на следующие группы:

• угроза целостности — угроза нарушения целостности, которая включает в себя любое умышленное изменение, уничтожение, искажение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую
• угроза конфиденциальности — любой неправомерный доступ к информации, например, изменения маршрутов следования;
• угроза работоспособности системы — всевозможные угрозы которые, снижают работоспособность, сюда входят, ошибки пользователей, сбои в оборудовании, программном обеспечении, которые частично или полностью блокируют доступ к системе.

В СЭД должна быть реализована защита от этих угроз, иначе использование такой системы может больше навредить нежели помочь организации. От утраты, утечки, разглашения информации организация может потерять на порядок выше, чем от неоперативной и несвоевременной обработки информации.

При рассмотрении угроз системе необходимо понимать откуда они будут исходить, статистически соотношение такое:

• 82% сотрудники предприятия
• 17 внешние угрозы
• 1 случайные лица

Рис 2.

Изучая угрозы безопасности, можно подумать что обеспечив безопасность файлов, о самой системе, можно не беспокоится, но это не так.

Для стабильной работы СЭД так же необходимо обеспечить её работоспособность, резервное копирование устойчивою, работу во время пиковой нагрузки, быстрое, полное восстановление данных после их повреждения или утраты.

Таким образом выходит что необходимо защищать все части системы в комплексе, как аппаратную часть т.е. серверы, компьютеры пользователей, сетевое оборудование так и программное обеспечение т.е. пакеты данных внутри самой системы(файлы, документы, маршруты).

Пользователь системы является потенциальным злоумышленником, он может сознательно или несознательно нарушить конфиденциальность информации. Спектр возможных злоумышленных действий легальных пользователей достаточно широк — от случайной потери до кражи информации с корыстной целью.

Состав внешних злоумышленников сугубо индивидуален. Это могут быть как конкуренты так партнеры или клиенты.

Любая защищенная СЭД должна иметь средства защиты для выполнения следующих функций:

• • • обеспечение сохранности документов;
    • обеспечение безопасного доступа;
    • обеспечение конфиденциальности;
    • обеспечение подлинности документов;
    • протоколирование действий пользователей.

1. Самый дешевый и распространенный способ обеспечения безопасного доступа - это аутентификация - это процесс проверки подлинности, чаще всего реализован через многоразовые пароли. Логины и пароли хранятся в базе данных на сервере и известны только самому пользователю. К сожалению метод несколько существенных недостатков:

• • • • пароль можно украсть
      • подобрать
      • выманить обманом
      • потерять

Человеческий фактор делает этот способ крайне ненадежным, утратить пароль крайне легко, а чем выше права пользователя потерявшего логин и пароль, тем более масштабнее можно понести ущерб.

2. Полномочия пользователя так же можно подтвердить специальным устройством(токеном, электронной цифровой подписью).

Рис.3

ЭЦП(электронная цифровая подпись) - это реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу. Метод надежнее парольной защиты, т.к. даже при потере токена(ключа), злоумышленнику так же понадобится пароль(ПИН) для доступа в СЭД.

ЭЦП состоит из "закрытого ключа" - это уникальная последовательность символов известная только подписанту электронного документа(владельцу эцп) и "открытого ключа" это тоже уникальная последовательность символов, только в отличии от закрытого ключа она общедоступна, т.е. известна всем пользователям системы и служит для проверки электронной подписи, с её помощью получатель документа может определить его авторство и убедится в неизменности после подписания.

Проверить соответствие открытых ключей можно обратившись в Удостоверяющий центр(организация которой доверяют, все участники информационного обмена, которая имеет право выпускать сертификаты электронной подписи юридическим и физическим лицам)

Успешная проверка эцп доказывает подлинность документа и его неизменность.

3. Биометрия. Отпечаток пальца, сетчатка глаза, голос, лицо и т.п. Этот способ аутентификации считается наиболее надежным, но дорогим и труднореализуемым.

Процесс аутентификации может быть однофакторным, двухфакторным и т. д. Возможно также комбинирование различных методов. Например, аутентификация может проходить при помощи пароля и отпечатка пальца (двухфакторный способ).

Рис 4.

Протоколирование действий и разграничение прав пользователей

В любой системе электронного документооборота должно быть реализовано разграничение прав доступа к объектам.

Пользователи Системы, как участники электронного взаимодействия, должны выступать в функциональных группах, минимальный набор прав пользователей представлен в таблице №1

ФУНКЦИОНАЛЬНАЯ ГРУППА	ОБЯЗАННОСТИ
Руководители высшего звена	Создание распоряжений Утверждение подготовленных проектов Выдача поручений Согласование и подписание документов.
Регистраторы	Получение, сортировка, сканирование и регистрация входящей корреспонденции. Регистрация внутренних и исходящих документов. Администрирование и пополнение справочника адресатов/корреспондентов. Передача входящих и внутренних документов на рассмотрение. Присвоение регистрируемому документу номера дела по номенклатуре
Исполнители	Непосредственное исполнение заданий по поручению руководителя. Предоставление информации о ходе исполнения поручений руководителя. Подготовка проектов документов, в том числе во исполнение поручений Руководителя.

Таблица 1. Функциональные группы сотрудников

Заключение

По результатам проведенной работы можно сделать следующие выводы.

Правильно организованный документооборот - неотъемлемая часть успешного учреждения. Избежать работы с документами нельзя, но можно упростить работу с ними, например переводя документы в электронный вид и автоматизировав работу с ними. СЭД - это система (компьютерная программа. программное обеспечение), позволяющая организовать и автоматизировать работу с электронными документами. Электронный документооборот охватывает все вопросы документирования и организации работы с документами в организации.

Современные технологии способны обеспечить безопасность как самой системы электронного документооборота так и файлов в ней обрабатываемые, передаваемые на техническом уровне. Но говоря о защищенности документооборота нужно иметь ввиду и информацию в нем используемую.

К сожалению основная угроза для данных исходит не из технических средств ,а от самих пользователей системы. Как только документ или любая другая информация попадает к пользователю можно считать, его конфиденциальность нарушена. От банальной утечки или несанкционированного доступа СЭД не спасет(это просто невозможно),при желании пользователь может легко скопировать или сфотографировать необходимую информацию. Базовым и практически единственным способом защиты информации в таком случаи являются организационные меры по ограничению доступа к конфиденциальным документам и профилактические работы с сотрудниками. Пользователи должны осознавать свою ответственность перед предприятием, коллегами и законами Российской Федерации.

Список использованной литературы

1. Александр Самодуров. Особенности защиты электронного документооборота// Интернет издание Cnews [Электронный ресурс] http://www.cnews.ru/reviews/free/security2006/articles/e-docs/
2. Интернет издание СОВРЕМЕННЫЕ ТЕХНОЛОГИИ УПРАВЛЕНИЯ БИЗНЕСОМ [Электронный ресурс]
   https://piter-soft.ru/knowledge/glossary/edo/sistema-elektronnogo-dokumentooborota.html
3. Соколова О.Н. Документационное обеспечение управления в организации: учебное пособие. – М.: КноРус, 2016.
4. Калужин Е. А., Монастырский Д. С. Особенности обеспечения информационной безопасности электронного документооборота территориально распределенного предприятия // Молодой ученый. — 2017
5. Якович Ш.А. Делопроизводство в кадровой службе: учебник. –М.: Юнити-Дана, 2014.
6. Денисов Д.В. Интернет-курс по дисциплине «Информационная безопасность»(Информационная безопасность и защита информации)
7. Фатьянов А.А. Правовое регулирование электронного документооборота: учебно-практическое пособие, 2015
8. Панесенко Ю.А. Делопроизводство: документационное обеспечение управления: учебное пособие. – М.: Инфра-М, 2016
9. Кузнецов С.Л. Современные технологии документационного обеспечения управления. – М.: Термика , 2017
10. Фабричнов А.Г. Конфиденциальное делопроизводство и защищенный электронный документооборот: учебник. - М.: Логос, 2011
11. Положение о системе межведомственного электронного документооборота, утвержденное постановлением Правительства Российской Федерации от 22.09.2009 № 754.
12. Магомедов М.С., Муртузалиева Н.М. СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА – ПРОБЛЕМЫ ЗАЩИТЫ //2015г