Информационная безопасность ЭДО

В современных организациях система электронного документооборота стала важной частью информационного ландшафта. Она решает критически важные задачи бизнеса — управление, хранение и интеграция документов, файлов, передача важной информации.

В этой статье мы расскажем о том, как обеспечивается безопасность системы документооборота в компании, какие угрозы существуют и что представляет собой понятие информационной безопасности ЭДО.

Почему нужно защищать ЭДО

Являясь главным связующим звеном между различными подразделениями — финансовыми, управленческими и прочими — система документооборота обеспечивает неразрывность и единство информационного потока. Также она ответственна за безопасность и конфиденциальность документооборота.

Все государственные органы переходят на систему ЭДО в обязательном порядке с 01.01.2023 года. По сути, государство на данный момент обязывает юридические лица перейти на систему электронного кадрового документооборота.

По сути, учитывая важность этой системы, она должна быть защищена от стороннего воздействия — особенно деструктивного. Защищённый электронный документооборот — одна из базовых задач по обеспечению общей безопасности компании. Ей нужно уделить огромное количество пристального внимания и поместить её в список приоритетов.

Чтобы электронный документ в компании работал нормально, нужно чётко определять риски и способы их предупреждения. Также нужно обеспечить оптимальный, надёжный и безопасный метод хранения и обработки информации.

Какие угрозы существуют

Для системы кадрового электронного документооборота существует ряд угроз, которые относятся к любой информационной системе. К ним относятся:

Пункт №1. Угроза целостности информации

Относится к повреждению, искажению и уничтожению информации в системе.

Пункт №2. Угроза доступности информации

К ней относятся риски установки или внедрения вредоносного программного обеспечения, пользовательские ошибки и внешние сетевые атаки.

Пункт №3. Угроза конфиденциальности

К этой угрозе традиционно относятся кража информации, подмена маршрутов обработки данных и получение кем-либо несанкционированного доступа к информации.

Угрозы нужно уметь предотвращать и предупреждать. Если этого не случилось, то нужно иметь возможность быстро пресечь каждую из них, усовершенствовав систему и закрыв доступ злоумышленникам.

Любая система документооборота, по идее, должна защищать саму себя – по сути, поддерживая работоспособность и доступность для пользователей. Поэтому высокие темпы развития безопасности современных систем оправданы необходимостью быть на шаг впереди относительно угрозы.

Какими бывают угрозы для системы ЭДО

Существуют внешние и внутренние угрозы для системы электронного документооборота — с первыми всё ясно, злоумышленники, осуществляющие атаки тем или иным образом.

Во втором же случае всё становится куда интереснее, поскольку угрозу собой представляют внутренние пользователи системы, работающие в качестве администраторов. Пользователи с неограниченными правами доступа к настройкам системы и информации — и есть основная угроза для информационной безопасности ЭДО.

Благодаря таким пользователям происходит около 70% утечек информации и это называется внутренней атакой на информационную систему. Разглашение и потеря информации может быть злонамеренной или ошибочной, но итог один — системе нанесён урон.

Для защиты и предупреждения атак на информационную систему в компании стоит разработать две стратегии. Одна из них направлена на защиту от случайных атак, а другая — от намеренных. После этого разделения стоит прорабатывать разные сценарии и создавать методики для предупреждения. Также стоит предусмотреть мероприятия по реагированию на опасность для ЭДО.

Как можно защитить ЭДО

Чтобы разработать систему безопасности для системы электронного документооборота, нужно использовать ряд средств, методик и мероприятий — они призваны снизить уязвимость системы ЭДО и препятствовать несанкционированному доступу к информации. Также они снижают вероятность разглашения, утраты и утечки информации.

Система безопасности ЭДО разрабатывается с использованием основных средств защиты информации. В соответствии с Федеральным законом РФ № 149-ФЗ «Об информации, информационных технологиях и о защите информации» для обеспечения информационной безопасности используются меры, которые обеспечат:

— соблюдение конфиденциальности информации — если к той ограничен доступ;

— реализацию права на доступ к данным;

— защиту информации от любых несанкционированных действий – включая уничтожение, копирование, распространение и блокирование;

— защиту информации от модификации.

Учитывая этот список, мы делим средства и методики защиты на два подвида. Первый — это организационно-правовые средства, к которым мы относим:

1. Регулирование правоотношений в сфере электронного документооборота с помощью действующего законодательства.

2. Организация учёта и хранения ключей шифрования электронных подписей. Также стоит озаботиться оптимальными правилами эксплуатации.

3. Создание и учёт профилей разграничения прав доступа в системе.

4. Ведение учёта доступа сотрудников к информации, если та несёт ограниченный характер распространения.

Дальше будут только вариации и комбинации этих четырёх пунктов. На организационно-правовых средствах мы не заканчиваем и переходим к техническим. К ним относятся:

1. Аппаратная защита, а также специализированные шлюзы и маршрутизаторы.

2. Разграничение оборудования на разные сегменты, которые изолированы друг от друга.

3. Автоматическое резервное копирование информации на сторонние носители. Последние должны быть защищены.

4. Актуальное защитное программное обеспечение — включая антивирусное.

5. Криптографические средства защиты и шифрования.

6. Логическое разделение сети на сегменты.

8. Средства идентификации и аутентификации пользователей.

Дальше следуют различные комбинации и дополнительные защитные системы — о них консультируют специалисты по информационной безопасности.

Если проект по созданию СЭД выполняют компетентные специалисты — от разработки и внедрения до технической поддержки — то они объединяют все перечисленные выше средства и методики защиты системы от внешних и внутренних угроз. Защищённые каналы электронного документооборота — гарантия нормальной работы компании без утечек информации.

Организационные меры по обеспечению безопасности системы ЭДО

Организация мер безопасности информационных систем строится на базе правовых основ регулирования. Кроме них существуют дополнительные меры защиты — их разнообразие связано с множеством угроз для информационных систем.

У эффективности мер безопасности есть ряд критериев. Ими принято считать:

— комплексность;

— актуальность;

— своевременность.

Самое важное — систематически прибегать к профилактическим решениями и не забывать про регламенты. Без этого любые меры теряют смысл.

Чтобы построить эффективную защиту информационной системы в компании нужно внимательно изучать возможные угрозы — включая их комбинации и вариации. Чем дольше работают информационные системы, тем больше таких угроз становится.

Злоумышленники применяют всё более совершенные методы атак, комбинируя и пользуясь импровизированными методиками. Основная проблема заключается в том, что атака может оказаться неожиданной и в некоторых случаях непредсказуемой.

Угрозы становятся всё более продвинутыми, обретают элементы искусственного интеллекта, и злоумышленники используют современные достижения сферы информационных технологий. Всё это делается для получения доступа к защищённой информации — и для получения выгоды.

К примеру, существует социальная инженерия, которая приобрела новые грани с точки зрения информационной безопасности. Социальная инженерия — когда её используют злоумышленники — становится инструментом для нанесения непоправимого ущерба информационным системам. Что хуже, она позволяет нарушать закон в отношении самых разнообразных систем.

Организационная зашита — это один из критериев безопасности компании в целом. Для её создания нужно провести анализ актуальных угроз и на его основе разработать стандарты и регламенты для компании. Они обеспечат безопасность данных.

Также стоит разработать методики по обеспечению информационной безопасности ЭДО — это чёткая классификация типов информации, людей и систем, которые этой информацией владеют, а также учёт доступа к информации. Последнее формируется в зависимости от важности, ценности и конфиденциальности информации — чем она важнее, тем меньше людей должны иметь к ней доступ. Также можно создать:

— меры по организации учёта, хранения и эксплуатации ключей шифрования и ЭП — с использованием персональной ответственности сотрудников;

— реестр корпоративных профилей доступа к информационным ресурсам — в зависимости от должности и принадлежности сотрудника.

Последнее обеспечит доступ только к тем ресурсам, которые необходимы конкретным сотрудникам. Что, в свою очередь, нивелирует человеческий фактор и снижает вероятность злонамеренного действия или ошибки.

Организационных мер может быть много — а их комбинаций ещё больше. К их разработке нужно подходить, руководствуясь необходимостью и целесообразностью.

Решающим фактором при введении мер остаётся экономический фактор. Поскольку основной деятельностью компаний является экономическая деятельность, стоимость информации и степень её защищённости находятся в прямой зависимости. Поэтому необходимая степень защиты — организационных и технических мер — подбирается владельцем системы. Часто по рекомендации исполнителей — специалистов по информационной безопасности ЭДО.

Правовая сторона обеспечения информационной безопасности

Государство осуществляет правовое регулирование отношений в сфере защиты информации — для этого есть законодательные требования к её защите и ответственность за нарушение этих требований. Современная и актуальная нормативно-правовая база — одно из основных условий обеспечения безопасности системы. Важно, чтобы в ней учитывались все возможные угрозы.

Начнём с Федерального закона №149-ФЗ — он регулирует отношения в сфере электронного документооборота и обмена информацией (включая системы кадрового ЭДО). Кроме этого закона, существуют стандарты — они несут рекомендательный характер:

1. ГОСТ Р 50922-2006 «Защита информации. Термины и определения».

2. ГОСТ Р 51275-2006 «Защита информации. Объекты информатизации».

3. ГОСТ Р 51583-2014 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения».

4. ГОСТ Р 52863-2007 «Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования».

Актуальность нормативно-правовой базы при создании системы безопасности очень важна — поскольку только при соблюдении законодательных норм можно будет добиться правового регулирования в последствии. Грамотные специалисты обязательно учтут все требования к системе безопасности ЭДО во время разработки.

Технические средства по защите системы

Технические средства и программное обеспечение — это другое направление системы информационной безопасности ЭДО. К ним можно отнести:

1. Защиту сетевого оборудования

К защищённому сетевому оборудованию относят канальные шифраторы, сетевые шлюзы и маршрутизаторы.

2. Построение изолированных сетей для обращения конфиденциальной информации

Многоуровневая защита доступа в таких сетях будет формироваться из физических и логических компонентов. К физическим можно отнести защищённые помещения и здания, а к логическим — шифрование, а также аутентификацию и идентификацию пользователей.

3. Использование резервного копирования

Чтобы снизить или минимизировать риски потери информации из-за сетевой атаки или сбоя, нужно использовать резервное копирование. При резервном копировании информация помещается на носителях, защищённых от порчи и несанкционированного доступа.

4. Антивирусное и защитное ПО

Чтобы защитить систему электронного кадрового документооборота, нужно использовать актуальное защитное ПО и современные антивирусные пакеты. У них есть система распознавания вирусов в соответствии с базами, они пользуются принципами эвристического анализа, возможностями ИИ и нейронных сетей.

5. Использование криптографии для защиты

Современная криптография даёт возможность шифровать информацию для разграничения доступа. К примеру, использование блокчейна обеспечит сохранность данных и полностью исключит фальсификацию.

Также специалисты по информационной безопасности отмечают, что эффективна для защиты электронная подпись. Без неё нельзя сдать отчётность, использовать обмен юридически значимыми документами с контрагентами. Даже обеспечить нормальное функционирование компании без ЭП не получится — но при этом она является обязательной частью системы в любой организации.

Заключение — что в итоге?

Информационная безопасность системы электронного документооборота в 2023 году — важная часть системы безопасности компании в целом. Существует три категории угроз системе ЭДО — это угроза доступности информации, угроза конфиденциальности информации и её целостности.

Эти угрозы несут как внешние источники – злоумышленники, которые целенаправленно атакуют систему извне – так и внутренние источники. К внутренним угрозам, как правило, относятся сотрудники с обширными правами и доступом к критически важной для компании документации.

Чтобы защитить информацию, используются два подхода — они реализуются с помощью организационных мер и технических средств. Все меры по обеспечению безопасности должны быть комплексными, актуальными и своевременными.

Список использованных источников

— Федеральный закон № 407-ФЗ

— Федеральный закон № 377-ФЗ

— Федеральный закон № 63-ФЗ

— Федеральный закон № 152-ФЗ

— Федеральный закон № 149-ФЗ

— ГОСТ Р 50922-2006

— ГОСТ Р 51275-2006

— ГОСТ Р 51583-2014

— ГОСТ Р 52863-2007