Система электронного документооборота в защищенном исполнении

Под защищенной системой электронного документооборота понимается система, в которой имеется система защиты информации, достаточная для обеспечения информационной безопасности электронных документов (сообщений) так называемая «защищаемая автоматизированная система» (ГОСТ Р 51583-2014).

Для обработки информации, необходимость защиты которой определяется законодательством Российской Федерации или решением ее обладателя, должны создаваться автоматизированная система в защищенном исполнении (АСЗИ), в которых реализованы в соответствии с действующими нормативными правовыми актами требования о защите информации. Реализация требований о защите информации в АСЗИ осуществляется системой защиты информации, являющейся неотъемлемой составной частью АСЗИ.

Целями создания АСЗИ являются обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации, соблюдение конфиденциальности информации ограниченного доступа, реализация права на доступ к информации.

При создании (модернизации) АСЗИ необходимо руководствоваться следующими общими требованиями:

  1. Система защиты информации АСЗИ должна обеспечивать комплексное решение задач по защите информации от несанкционированного доступа, от утечки защищаемой информации по техническим каналам, от несанкционированных и непреднамеренных воздействий на информацию (на носители информации) применительно к конкретной АСЗИ. Состав решаемых задач по защите информации определяется задачами обработки информации, решаемыми с использованием АСЗИ, ее программным и аппаратным составом, конфигурацией этой системы, условиями функционирования, требованиями, предъявляемыми к обрабатываемой информации, угрозами безопасности информации.
  2. Система защиты информации АСЗИ должна разрабатываться (проектироваться) с учетом возможности реализации требований о защите обрабатываемой информации при использовании в АСЗИ методов и программно-аппаратных средств организации сетевого взаимодействия.
  3. Система защиты информации АСЗИ должна создаваться с учетом обеспечения возможности формирования различных вариантов ее построения, а также расширения возможностей ее составных частей (сегментов) в зависимости от условий функционирования АСЗИ и требований о защиты информации.
  4. Защита информации должна обеспечиваться во всех составных частях (сегментах) АСЗИ, используемых в обработке защищаемой информации.
  5. Входящие в состав АСЗИ средства защиты информации и контроля эффективности защиты информации не должны препятствовать нормальному функционированию АСЗИ.
  6. Программное обеспечение системы защиты информации должно быть совместимым с программным обеспечением других составных частей (сегментов) АСЗИ и не должно снижать требуемый уровень защищенности информации в АСЗИ.
  7. Программно-технические средства, используемые для построения системы защиты информации, должны быть совместимы между собой (корректно работать совместно) и не должны снижать уровень защищенности информации в АСЗИ.

Одним из важнейших требований к защищенному документообороту является избирательность в доставке и использовании персоналом ценной информации. Защита информации в создаваемой автоматизированной системе в защищенном исполнении является составной частью работ по созданию этой системы и осуществляется во всех организациях, участвующих в процессе создания (модернизации) этих систем (ГОСТ Р 51583-2014).

Проблема использования защищенного электронного документооборота в сфере управления является многогранной и не сводится лишь к возможностям техники. Создание защищенного электронного документооборота не ограничивается только применением АСЗИ, существует достаточно большой комплекс вопросов организационного и методического характера, связанных с информационно-документационным аспектом.

В крупных предпринимательских структурах с большим объемом документов в потоках защищенность документооборота достигается за счет:

  • формирования самостоятельных, изолированных потоков конфиденциальных (грифованных) документов и (часто) дополнительного разбиения их на изолированные потоки в соответствии с уровнем конфиденциальности (уровнем грифа) перемещаемых документов;
  • использования централизованной автономной технологической системы обработки и хранения конфиденциальных документов, изолированной от системы обработки других документов;
  • организации самостоятельного подразделения (службы) конфиденциальной документации или аналогичного подразделения, входящего в состав службы безопасности, аналитической службы фирмы.

Любая СЭД, претендующая на «звание» защищенной, должна как минимум предусмотреть механизм защиты от основных угроз:

  • обеспечение сохранности документов;
  • обеспечение безопасного доступа;
  • обеспечение подлинности документов;
  • протоколирование действия пользователей.

При любом варианте построения защищенного документооборота предпринимаемые для безопасности информации меры не должны увеличивать сроки движения и исполнения документов.

Узнай цену консультации

"Да забей ты на эти дипломы и экзамены!” (дворник Кузьмич)