Способы защиты с сэд

Безопасность электронного документооборота

Специалисты, впервые подключающие организацию к ЭДО, задумываются о безопасности электронного документооборота. Это закономерно, так как защита документооборота от угроз — важный аспект работы в любой компании.

Рассмотрим подробнее, какие существуют методы защиты электронного документооборота.

Для начала проанализируем, как обеспечивается безопасность в системах электронного документооборота (СЭД) внутри компании. Защита в СЭД обычно охватывает несколько сторон безопасности:

• сохранность документов, подлинность и конфиденциальность;
• разграничение доступа по категориям пользователей;
• фиксация операций пользователя.

Контроль уровня защиты в СЭД регулируется как со стороны закона, так и внутри системы.

Теперь рассмотрим, как системы электронного документооборота (ЭДО), которые компании используют для обмена документами с контрагентами, обеспечивают безопасность. Уровень безопасности зависит от конкретного оператора ЭДО.

При выборе оператора ЭДО необходимо обратить внимание на следующие моменты:

• хранение и резервирование данных;
• ответственность за безопасность и гарантии в договоре;
• дополнительное шифрование документов;
• наличие независимого аудита и сертификат об этом.

Перечисленные пункты означают, что провайдер серьезно подходит к безопасности и готов тратить ресурсы на ее обеспечение. Высокий уровень защищенности снижает риски случайных или умышленных утечек и нарушений целостности данных до минимально возможных.

Как Диадок обеспечивает безопасность электронного документооборота

Через сервис ЭДО компании отправляют юридически значимые документы, которые содержат коммерческую информацию. Нарушение безопасности таких документов несет риски для организации. Поэтому Контур уделяет особое внимание безопасности:

1. В Диадоке цифровые документы передаются по зашифрованному каналу. Это исключает перехват или фальсификацию данных.
2. Диадок поддерживает использование квалифицированной электронной подписи (КЭП). После подписания документов с помощью КЭП их невозможно корректировать, то есть никто извне не поменяет содержание документа.
3. В Диадоке для защиты информации в системе электронного документооборота можно настроить двухфакторную аутентификацию: вход будет подтверждаться с помощью короткого СМС-сообщения.
4. Диадок создает три резервные копии всех документов и технологических файлов на серверах. С каждым дополнительным резервированием риск потери документов уменьшается. Дополнительное резервное копирование происходит при проведении работ с риском потери данных.

Это распространенные методы и средства защиты электронного документооборота.

Источники угроз

Информационная безопасность электронного документооборота обеспечивается не только мерами профилактики, описанными выше, но и знанием основных угроз. Их делят на внешние, то есть поступающие со стороны, и внутренние, которые исходят от сотрудников.

Выделяют виды угроз для систем электронного документооборота:

• Повреждение целостности данных. Это может быть потеря, уничтожение, искажение информации.
• Сложности с доступом к документам: ошибки при открытии, сетевые атаки.
• Потеря конфиденциальности: кража информации или несанкционированный доступ к ней.

Разберем подробнее каждый вид:

1. Внешние угрозы информационной безопасности электронного документооборота не зависят от того, что происходит внутри организации. Среди них выделяют:

a. естественные — стихия, авария, пожар, катаклизмы;
b. искусственные — атаки конкурентов, вирусы, взломы недоброжелателями и мошенниками.

2. Внутренние угрозы. Чаще исходят от сотрудников и бывают:

a. преднамеренные — осознанная передача информации сторонним людям;
b. непреднамеренные — инциденты, которые совершают из-за недостатка знаний или по неосторожности.

Главную опасность представляют искусственные преднамеренные угрозы. Поэтому важно подобрать защищенную систему ЭДО.

Передавайте документы по зашифрованному каналу, используйте КЭП и двухфакторную аутентификацию в Диадоке

Способы и методы защиты СЭД

Основные принципы безопасного электронного документооборота условно делят на правовые и технические. К первым относят:

• законодательное регулирование правоотношений в области электронного документооборота;
• организацию учета, хранения и эксплуатации ключей шифрования и КЭП;
• учет доступа сотрудников к информации.

На законодательном уровне защита данных регулируется требованиями Федерального закона России от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

К техническим принципам относят грамотное использование:

• безопасного оборудования;
• резервного копирования данных;
• антивирусного и защитного ПО;
• ПО для распознавания ответственных;
• криптографических средств защиты информации;
• технологий КЭП.

Высокий уровень защиты электронных документов и их отдельных фрагментов обеспечивается совмещением вышеперечисленных принципов.

Принципы защиты в системе ЭДО Диадок

В Диадоке используются следующие методы защиты данных:

1. В личный кабинет пользователи заходят с помощью КЭП, надежного логина и пароля либо по номеру телефона, что защищает данные от доступа сторонних лиц.
2. Сертификаты электронной подписи обрабатывают посредством «Крипто Про». Это сертифицированная ФСБ программа.
3. Данные сложно потерять или повредить, так как они троекратно копируются, а после хранятся на разных серверах Контура. Серверы расположены в нескольких дата-центрах страны.
4. Срок хранения электронных документов на серверах Контура не ограничен.

Процесс внедрения системы защищенного электронного документооборота невозможен без должного инструктажа и обучения сотрудников. Важным аспектом будут регулярные тесты и проверки с последующим разбором ошибок.

Такой серьезный подход к информационной безопасности документооборота не усложняет работу и не делает документы недоступными для сотрудников. Наоборот, специалист с настроенными правами доступа может начать работу в любой момент. Веб-версия системы ЭДО позволяет выполнять любые операции с электронными документами удаленно.

Защита электронного документооборота и удобный доступ к документам в Диадоке

Вопрос-ответ

Защищен ли Диадок от DDoS-атаки?

Да, в случае начала DDoS-атаки сервис, предоставляемый интернет-провайдером, защищает систему. При этом внешний адрес diadoc.kontur.ru поменяется, что может потребовать от клиента изменить настройки межсетевого экрана.

Как выглядит обработка персональных данных в Диадоке?

Система не сертифицируется на защиту персональной информации, так как по закону это не требуется. Сертификацию проходят средства защиты информации — средства КЭП.

Работа с сертификатами электронной подписи происходит с использованием сертифицированных ФСБ криптосредств — «Крипто Про». Защита от потери или повреждения персональных данных обеспечена трехкратным резервным копированием документов, копии которых хранятся на нескольких серверах.

Проводится ли в Диадоке аудит информационной безопасности?

Оператор ЭДО Контур добровольно проводит независимый аудит безопасности. Это показывает уровень защищенности, который не содержит критичных уязвимостей информационной безопасности.

Какие сертификаты подходят для работы в Диадоке?

Для работы в Диадоке используют сертификаты КЭП, выданные аккредитованным удостоверяющим центром, который работает на основе «Крипто Про УЦ».

Клиенты Диадока часто получают КЭП в Удостоверяющем центре Контура. У него есть аттестат соответствия классу защищенности 1Г для автоматизированных систем.

Защитите персональные данные и конфиденциальную информацию. Обменивайтесь документами с контрагентами безопасно в Диадоке

Источник

Защита информации в системах электронного документооборота (ЭДО)

ИБ-аутсорсинг
на базе DLP-системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА

С овременное делопроизводство невозможно без использования программ электронного документооборота. ЭДО внедрены в большинстве крупных организаций государственного сектора, постепенно переходят на него и небольшие предприятия. Где-то решения реализуются на простых платформах, например, на базе 1С, где-то используются более технологичные варианты программного обеспечения, интегрированные в общую сферу автоматизации предприятия. ЭДО позволяет упростить и оптимизировать процесс создания, согласования, хранения документов любого уровня важности. Но пользователей часто волнует не только вопрос удобства работы с программой, насущной становится задача сохранности важной информации при работе с договорами или перепиской.

Как и где используется электронный документооборот

Сущность системы ЭДО проста. Каждый возникающий в компании документ общераспорядительного и правового характера – приказ, договор, внутреннее положение – становится базовой единицей, подлежащей обработке в ЭДО. Бухгалтерские и производственные документы (накладные, счета-фактуры, путевые листы) обычно не обрабатываются таким образом. Но это правило работает только для стандартных программ, обеспечивающих делопроизводство.

Многофункциональные современные программные продукты предлагают в качестве дополнительных финансовые блоки и CRM-модули, хранящие и обрабатывающие информацию, связанную с взаимодействием с клиентами. Если контрагенты по какому-либо договору приняли решение подписывать все связанные с ним приложения электронной подписью (ЭП), в систему документооборота попадут накладные и счета-фактуры, которыми будут обмениваться поставщик и покупатель или заказчик и подрядчик, при этом информация из них будет оперативно перекачиваться в бухгалтерские и производственные модули.

Наличие электронных подписей, сгенерированных разными удостоверяющими центрами, не станет проблемой, если разработчик программного обеспечения предоставил возможность пользователю работы с разными сертификатами. Это предусмотрено в большинстве программных продуктов, работающих с ЭП как с необходимой опцией, то есть для всех, кроме простых, предназначенных для офисного делопроизводства.

Документ при обработке получает свой уникальный номер и карточку, в которой отмечаются все этапы его жизни. В карточку попадает следующая информация:

• инициатор – лицо и подразделение;
• целевой характер;
• цена (если она предусмотрена, например, для договоров);
• классификация – общехозяйственные договоры, приказы, поручения, протоколы;
• маршрут согласования, он может быть разным для головного офиса и филиалов, для документов разного целевого назначения, разной стоимости – меняются согласующие подразделения;
• сделанные при визировании замечания и их судьба;
• дата итогового визирования;
• назначенные исполнители;
• результаты исполнения;
• дата прекращения срока действия.

На всем протяжении своей жизни документ в той или иной форме – картинки или текстового файла – путешествует по сетям внутри компании и выводится на экраны монитора. На этом пути он неоднократно может быть скопирован, перехвачен, сфотографирован с экрана. Поэтому службы безопасности при выборе системы ЭДО ставят вопрос о том, насколько надежно предложенное решение с точки зрения хранения и обеспечения безопасности конфиденциальной информации.

Обзор программ ЭДО

Выбор ЭДО является задачей, состоящей из нескольких подзадач – определение цены, степени защиты информации, функционала.

В зависимости от функционала системы ЭДО делятся на несколько групп:

• программы, работающие в основном как электронный архив. При выборе таких программ акцент делается на удобстве хранения документов и поиска по базе, он может быть более или менее четким или нечетким, по названию, цели, фразам из текста, другим атрибутам;
• продукты, делающие акцент на удобстве workflow (маршрутизации). Здесь четко прописывается процесс создания и обработки базовой единицы информации, который меняется на каждом этапе его путешествия. Маршрутизация обычно задается жесткая, прописанная программистами для каждого типа изначально;
• системы гибридного типа, соединяющие преимущества двух предыдущих. Для них характерна наряду с жесткой мягкая маршрутизация, когда путь конкретного файла задается самостоятельно руководителем соответствующего подразделения;
• ЭДО, предполагающие совместную работу с файлами (collaboration). Они изначально не настроены на жесткую иерархичность и создают удобство для проектных работ, когда каждый участник группы вносит свой вклад в обработку общего решения. Так как они часто используют форумный тип обсуждения и размещение файлов на открытых для общего доступа площадках, вопросы безопасности в них решены наиболее слабо;
• многозадачные продукты с дополнительными сервисами. Так, CRM может быть встроена в документооборот, а не наоборот.

Вопрос безопасности данных актуален для всех программ, но его решение зависит от еще одного уровня классификации – типа самой ЭДО. Системы могут быть:

• самостоятельными модулями;
• облачными решениями;
• модулями CRM или иной программы управления предприятием.

Выбор будет основан и на том, кто является разработчиком программного обеспечения. В последнее время политика правительства направлена на поддержку отечественных программных продуктов.

Сейчас на рынке представлены следующие решения, пользующиеся вниманием пользователей, но, к сожалению, в описании разработчиком функционала большинства из них слабо освещен вопрос безопасности:

• Optima WorkFlow. Ее преимуществом является возможность контролировать процесс общих работ на базе диаграммы Ганта. CRM-функционала нет. Система транспортировки и хранения документов реализована в Windows Exchange, что дает представление об общей степени защищенности.
• «Е1 Евфрат». Простой электронный архив, где хранятся не файлы, а ссылки на них. Вопрос размещения архива в Интернете с условием надежности хранения службам безопасности придется решать самостоятельно.
• «1С Документооборот». Задача защиты информации в ЭДО решается стандартно для семейства программ и зависит от того, где именно хранятся файлы – в облаке или иным способом, на сервере. Права пользователей ранжируются.
• «Дело». Программа-маршрутизатор предназначена для оптимизированного делопроизводства. Сохранность документов всецело в руках IT-службы предприятия, так как режим безопасности и права доступа оно определяет самостоятельно.
• Directum. Имеет расширенный функционал, помогает в работе с проектами, финансовыми задачами, обращениями граждан (для государственных служб). Архивирование построено по принципам российского законодательства. Безопасность информации обеспечивается тем, что для сторонних посетителей файлы представлены в формате читального зала. Реализована модель управления доступом. Применяется шифрование и ЭП.
• ELMA. Многофункциональная система с хорошей версией безопасности. Реализована модель входа только с доверенных устройств, вход по токену и сертификату.

Утечки данных: возможности и практика

Сотрудники службы безопасности часто тестируют программы электронного документооборота на возможность утечек данных, На практике системы ЭДО, разработанные на высоком уровне, обеспечивают большую защиту от утраты информации, чем в ситуации, когда файлы просто хранятся в базе, на сервере или компьютерах пользователей, не архивируются, не шифруются, бесконтрольно копируются и передаются между контрагентами по незащищенным каналам связи телекоммуникационных сетей. Тем не менее, при их использовании существуют следующие риски:

• несанкционированный доступ третьих лиц к архиву документов при его хранении как на сервере, так и в «облаке»;
• утечка документов или информации при передаче по незащищенным каналам связи или в незашифрованном виде;
• копирование или изменение файлов пользователями.

В большинстве продуктов ЭДО предусмотрены технические решения, устраняющие все или большинство рисков, кроме риска копирования. Это такие решения по защите конфиденциальной информации, как разграничение прав пользователей, контроль доступа, шифрование документов при хранении и передаче, возможность работы только с фотографиями страниц, электронная подпись. Выбор должен основываться и на том, какие из этих средств реализованы в конкретном предложении. В случае полноценного технического решения степень сохранности сведений и их текстовых версий существенно повышается по сравнению с обычным типом их обработки.

Комплексный подход к защите от утечек данных реализован в DLP-системах.«СёрчИнформ КИБ» контролирует максимальное количество каналов передачи информации из компании и вовремя сообщает о подозрительных действиях сотрудников. Узнать больше.

Защита данных

Процесс защиты информации в системах электронного документооборота включает три задачи:

1. Защита архива файлов и информации от уничтожения и иных угроз в случае аппаратных сбоев или в результате намеренных действий пользователей. Таким образом, вполне может быть утрачен накопленный архив. И если для созданных ранее могут остаться неоцифрованные бумажные оригиналы, то созданные уже в электронном виде файлы могут погибнуть безвозвратно.

2. Защита информации от утечек при ее нахождении в ЭДО или при передаче в облачное хранилище либо контрагентам.

3. Защита информации от копирования любым способом.

4. Защита данных от уничтожения.

Часто называются и такие риски, как намеренное искажение данных, подмена маршрутов следования, хакерские атаки. Но на практике они уже решены разработчиком, причем первые и вторые риски легко выявляются каждым следующим назначенным исполнителем или при его регистрации, а защита от хакерских атак окажется общей для всей организации.

Все эти задачи решаются по-разному, как на уровне разработчиков программного продукта, так и на уровне служб безопасности и IT-подразделений предприятия. Самостоятельное построение модели угроз и ее отражение в архитектуре ведренной программы ЭДО не будут целесообразными решениями, каждый разработчик уже готов предложить целостную концепцию защиты данных, предусматривающую все актуальные угрозы. Это правило не работает только для совсем простых версий программ, которые придется подкреплять самостоятельными способами защиты, дополнительными модулями и криптографическими средствами.

Важными остаются организационные меры безопасности, состоящие в повышении ответственности сотрудников при работе с конфиденциальными данными. Здесь традиционно используются правовые методы, а именно:

• разработка положения о коммерческой тайне;
• включение в перечень конфиденциальной информации всех копий и окончательных версий файлов, содержащихся в ЭДО;
• включение в трудовые договоры сотрудников оговорки об ответственности за разглашение коммерческой тайны.

Кроме того, необходим стандартный контроль за действиями сотрудников. По данным собственного исследования «СёрчИнформ», человеческий фактор становится причиной 74% утечек ценных данных. Контроль допуска внешних посетителей в кабинеты сотрудников и исключение вероятности создания снимков документов третьими лицами при помощи мобильного устройства также является одной из задач службы безопасности. Задача решается различными путями – от проведения переговоров только в специальных помещениях до обязательного требования о выключении компьютеров при организации встреч.

Способы защиты информации от утечек

Задача защиты информации от утечек или уничтожения в системах электронного документооборота решается на нескольких уровнях:

• разграничение прав пользователей;
• использование электронной цифровой подписи (ЭЦП), только при ее наличии возможна полноценная работа с файлами;
• криптографические средства защиты, обеспечивающие шифрование данных при передаче;
• передача сведений только по защищенным протоколам HTTPS;
• протоколирование действий пользователей;
• контроль входа в программу. Среди современных решений предлагаются модели доверенных устройств, токенов (специальных средств с электронными ключами и PIN-кодами) и сертификатов, разрешающих вход только с конкретных устройств. Проблемой является то, что ключи и сертификаты хранятся у пользователей, и остается риск передачи их или доверенных устройств третьим лицам.

Как защитить документ от копирования

На практике практически не предлагается систем электронного документооборота, которые могли бы защитить информацию от бумажного копирования, и такие решения достаточно дороги. Существуют варианты, когда системы с таким функционалом уже встроены в общую среду автоматизации предприятия. Если недоступен ни первый, ни второй способ решения задачи, на рынке предлагаются технические приспособления, которые помогают справиться с проблемой автономно.

Программы контроля утечек конфиденциальных бумажных документов могут быть подключены к ЭДО. Суть решения состоит в том, что каждый пользователь получает индивидуальную копию электронного документа, которая визуально неотличима от оригинала. Программный продукт не увеличивает число копий файлов и не дает возможности архивировать их в системе документооборота, а позволяет сохранить в базе несколько важных параметров, а именно:

• алгоритм преобразования письма или договора;
• дату и время создания индивидуальной копии;
• информацию о сотруднике, которому копия была предоставлена.

Это значит, что если при служебном расследовании была выявлена утечка файлов в бумажном виде или в виде фотографии с экрана, программа при сличении этой копии мгновенно определит, кто из сотрудников виновен в конкретной утечке. Информирование о внедрении этого механизма на предприятии сыграет превентивную роль в предотвращении утечек. Каждый сотрудник теперь точно будет знать, что его действия по работе с конфиденциальными данными окажутся быстро выявлены.

Защита от уничтожения

Также важной организационной задачей является обеспечение физической безопасности электронных документов и серверов, на которых они хранятся. Преимуществом электронной версии договора или письма становится то, что для него не существует понятия подлинника и копии. Все сгенерированные и подписанные электронной подписью уполномоченного лица документы являются оригиналами, поэтому своевременное резервное копирование архива с условием хранения копий отдельно от общей базы решает задачу.

От физического уничтожения сведений лучше защищены системы электронного документооборота, расположенные в «облаке». Защита информации таким способом имеет свои недостатки. Человеческий фактор может сработать и здесь: IT-специалист, осуществляющий резервное копирование, может сделать и третью копию – для неназванного заказчика-конкурента. Такие вопросы решаются в каждом конкретном случае на уровне служб безопасности, а решением станет поручение резервного копирования третьим лицам и копирование только зашифрованных версий архива.

Целостность информации позволяет сохранить контроль доступа к архиву и конкретному файлу. Обычно пользователи имеют возможность работать только с фотографиями текста, внося свои замечания в особую форму и не имея ручного доступа к архиву, прав редактирования и удаления.

Риски утраты данных, находящихся в облачном хранилище, устраняются уровнем сервиса, предлагаемого разработчиком программы. Большинство разработчиков готовы гарантировать абсолютную защищенность собственного облачного архива на уровне технологий, одобренных для хранения персональных данных, так как и они часто содержатся в файлах программы. Это значит, что документы шифруются, криптооперации (согласование, подписание электронной подписью) с ними проводятся по защищенным каналам связи. Такие сервисы также применяют двухфакторную аутентификацию при входе в систему с мобильного устройства.

Приобретение функциональнй и эффективной программы ЭДО помогает оптимизировать ключевые процессы работы предприятия, сократить расходы и время, требуемое для обработки файлов, повысить ответственность исполнителей. Дополнительным позитивным фактором становится повышенный уровень сохранности данных, охрана от утечек и копирования. При выборе программы ЭДО следует обращать внимание на ее функционал и уровень обеспечения безопасности.

Источник