Важно заботиться о безопасности не отдельной системы, а всей информационной инфраструктуры организации

Пожалуй, безопасности уделяется внимания больше, чем всем другим вопросам вместе взятым, в том числе и функциональным возможно­стям систем. Действительно, угрозы растут, утечки информации происхо­дят. С другой стороны, индустрия информационной безопасности тоже развивается и способна ответить на все вызовы сегодняшнего дня.

Только надо заботиться о безопасности не отдельной системы (в нашем случае – системы электронного документооборота), а защищать всю информационную инфраструктуру организации целиком. Не стоит слишком нагружать прикладную систему не профильными для нее задачами, лучше решить проблему безопасности на уровне архитектуры предприятия.

Следует также сказать, что основные угрозы для СЭД– внутренние. Утеч­ки чаще всего происходят по вине допущенных к документам сотрудников, умышленно или по халатности. Поэтому больше внимания нужно уделить организационным мерам, а не «закручивать гайки» путем усложнения управления доступом.

К сожалению, часто практикуются подход, когда доступ к документу дается сотруднику только на время выполнения задания. Для простых операций это еще сойдет, но когда от исполнителя требуется анализ и выполнение каких-то интеллектуальных функций, например, подготовка проекта договора, то ему нужно обратится к прошлому опыту, не только своему, но и коллег. Разумно ли в такой ситуации ограничивать доступ, позволяя видеть лишь текущие документы?

В общем, главный тезис, которого стоит придерживаться таков: система защиты информации в СЭД не должна мешать нормальной работе пользовате­лей при разумном контроле рисков и угроз.

РЕКОМЕНДАЦИИ:

• Остерегайтесь избыточных требований по безопасности! Это может неоправданно увеличить стоимость проекта и отсечь многие интерес­ные решения.

• Подходите к безопасности комплексно: самая защищенная СЭД будет бесполезна, если конфиденциальные документы лежат на общем диске.

• Электронная подпись нужна только там, где это требуется по закону. Все остальное – от лукавого, подписывать ЭЦП каждую служебную записку не нужно.

• Подробно выясните, какая модель управления доступом реализована в системе (дискреционная, мандатная, ролевая) и как она настраива­ется. Это может влиять на трудоемкость реализации ваших требова­ний по разграничению доступа.

• Если вы продолжаете использовать бумажные документы, учтите это в своих требованиях по безопасности: не имеет смысла делать стро­гое разграничение доступа к электронным документам, если бумаж­ные копии свободно переходят из рук в руки.