Ещё совсем недавно понятие о том как защитить документооборот было неполным. Кроме того, нигде в законодательстве оно не раскрывалось.
Сегодня же положение стало немного лучше, хотя этот вопрос раскрыт не до конца.
Но только сейчас защите ЭД стали уделять особое внимание. Это происходит по ряду причин. Во-первых, многие государственные учреждения стали оказывать услуги в электронном формате. Во-вторых, появляется острая необходимость у физических лиц в механизмах придания электронным документам юридической силы. В-третьих, вышел закон «Об электронной подписи».
СЭД и делопроизводство должна обеспечиваться сохранностью документов от порчи и потери. Также должны быть продуманы механизмы восстановления документов в случае их утраты.
В большинстве случаев защита электронного документа происходит на базе создания ЭЦП, то есть электронной цифровой печати. Такую печать можно получить у специализированного удостоверяющего центра или УЦ. УЦ состоит из центра регистрации, администратора и центра сертификации.
Нарушители, пытающиеся завладеть документами, могут находиться где угодно. Во-первых, это может быть человек, находящийся в сети пользователей. Во-вторых, нарушитель может быть в изолированной сети удостоверяющего центра. Кроме того, он может получить доступ к центру регистрации или АРМА.
В стандартный набор угроз документооборота входят следующие:
• угроза целостности;
• угроза конфиденциальности;
• угроза работоспособности системы.
Источники угроз:
• ошибки системных администраторов;
• сбои работы техники;
• внешние злоумышленники;
• легальные пользователи системы;
• административный ИТ-персонал.
Кроме ЭЦП, сегодня для защиты электронных документов в делопроизводстве пользуются следующими механизмами:
• криптографическая защита;
• виртуальные частные сети;
• подтверждение авторства документа;
• конфиденциальность;
• межсетевое экранирование;
• обеспечение юридической значимости документа;
• антивирусная защита;
• аутентификация пользователя.
Во всех способах есть свои плюсы и минусы. Для лучшего эффекта рекомендуется использовать их в совокупности.
В последнее время всё большее число организаций когда используют интранет вместо аутентификации предпочитают идентификацию. Но во многих случаях эта система не даёт однозначной защищённости, кроме того, она слишком дорога.
Для однозначной эффективности идентификации необходимо применять её одновременно с аутентификацией, так как последняя подтверждает подлинность идентификатора. Процесс этот производится с помощью криптографии. В защите документов немалую роль играет ограничение доступа.
Построение грамотной инфраструктуры корпоративного портала также позволит обеспечить наилучшую защиту для документов компании.
Инфраструктура должна состоять из:
- электронных баз данных;
- доверенных сервисов;
- электронных реестров участников информационного взаимодействия.
Таким образом, общими задачами для организации защиты являются:
- аутентификация пользователей;
- ограничение доступа;
- блокирование несанкционированного доступа;
- построение инфраструктуры.
