+7(499)495-49-41

СЭД и безопасность

Содержание

Безопасность документов в СЭД. Угрозы снаружи или внутри?

СЭД и безопасность

Необходимость систем электронного документооборота уже давно стала общепризнанным фактом. Они позволяют экономить время при работе с документами, а также упорядочивают доступ к корпоративным данным. Тем не менее, нужно понимать, что даже самые современные системы электронного документооборота все еще уязвимы в части защиты, особенно перед внутренними злоумышленниками.

Для некоторых из угроз уже нашли техническое противоядие, для устранения других требуется много работать, воспитывая и обучая сотрудников правильно обращаться с информацией. О чем не стоит забывать, защищая корпоративные системы электронного документооборота, рассказывает Антон Самойлов, генеральный директор компании «ЭвриТег».

Я тут кое-что нашел

Первая проблема – это несанкционированный доступ к документу. Кто-либо из сотрудников – специально или нет – может открыть не предназначенный для него файл.

В одних случаях последствий может и не быть: открыл, ничего не понял или не заинтересовался и закрыл.

В других полученная информация может, например, спровоцировать недопонимание или даже конфликты в коллективе, снижение мотивации и эффективности у персонала.

К примеру, кто-либо в компании узнает о размере премии своего коллеги или руководителя.

Не понимая картины в целом, он может счесть увиденное несправедливостью и затаить обиду или просто будет демотивирован и перестанет работать.

Может начать шантажировать руководителя своим уходом и требовать «прибавки», тем самым не оставляя никакого выхода, кроме увольнения. А может и другим рассказать о своем открытии.

Эти проблемы можно решить с помощью, во-первых, более качественного ограничения доступа к информации, а во-вторых, хорошей работы HR-специалистов. Но не так просто будет урегулировать ситуацию, когда коммерческая тайна, раскрытая сотрудником, попадет в СМИ или к конкурентам.

Игра в прятки

Намеренная утрата документа тоже может существенно осложнить жизнь компании.

Случается такое, что недобросовестные сотрудники желают скрыть важную информацию от коллег или руководства, из-за страха или амбиций, или, что ещё хуже, из корыстных побуждений.

К счастью, сделать это не так просто, если в системе электронного документооборота налажены механизмы резервного копирования и другие элементы резервирования (высокая доступность, отказоустойчивость).

От платформы, на которой построена СЭД компании, зависит сложность удаления документа, а также, разумеется, простота и скорость восстановления после инцидента.

Можно, например, запретить удалять уже утвержденные документы, либо ввести скрытые разделы резервирования, куда будут попадать уже не актуальные для пользователей файлы.

Таким образом ни один документ не потеряется безвозвратно, но и одновременно не будет «засорять» рабочее поле сотрудников.

Похожая ситуация связана с умышленной подменой документа. Сотрудник по каким-то причинам может решиться на подтасовку какой-либо значимой информации в документе. От подобных махинаций спасает несколько решений. Самый простое из них – запретить изменение документа после согласования, на уровне прав доступа. А самое надежное – ввести электронную цифровую подпись.

Конкуренты знают все

На мой взгляд, единственная проблема, которая пока не закрыта полностью с помощью технических средств, – это несанкционированная передача образов конфиденциальных документов.

Если от утечек только цифровой информации спасают системы класса DLP и IRM, то решений, которые бы контролировали безопасность копий внутренних документов, в том числе электронных версий бумажных документов, пока не так много.

Отслеживать такие утечки непросто по нескольким причинам. Во-первых, распечатанный из СЭД документ без труда можно сканировать, вынести из офиса и передать в СМИ или конкурентам. Во-вторых, злоумышленник его может даже не печатать, а просто сфотографировать на смартфон дисплей с открытым файлом.

Организовывать тотальный досмотр всех сотрудников, размещать над каждым рабочим местом камеры видеонаблюдения, очевидно, не представляется ни возможным, ни целесообразным.

Поэтому сотрудникам службы безопасности приходится изыскивать способы надежной защиты конфиденциальных документов, не прибегая при этом к слишком затратным и заведомо карательным мерам.

Работа систем, призванных решить эту проблему, основывается на механизмах аффинных преобразований. Такие программы встраиваются в СЭД и определенным образом изменяют документы, с которыми ведется работа.

При этом каждый сотрудник получает его индивидуальную копию с незаметными для человеческого глаза преобразованиями. Система запоминает дату и время выдачи образа документа, а также идентификационную информацию о том, кто ее получил.

При утечке сотрудники службы безопасности, используя эти данные, могут безошибочно вычислить виновника произошедшего «слива». 

Безопасность документо в СЭД

К сожалению, даже самая мощная защита документов не гарантирует их полную безопасность в СЭД.

Можно создавать и подписывать специальные регламенты, внедрять инновационные системы, но они становятся почти бессильны, когда в игру вступают человеческие невнимательность и халатность.

Выходит, что нет доступа к информации – нет проблем. Но тогда не будет смысла говорить об эффективности работы с документами, и вся концепция СЭД один момент сведется к нулю.

Самое удачное решение – добавить функциональности к системам защиты документов таким образом, чтобы пользователи даже не заметили нововведений или каких-либо ограничений. Это потребует немалых усилий, но и результат непременно их оправдает.

Источник: ECM-Journal.ru

Источник: http://www.ecm-portal.ru/practice/expertise/bezopasnost-dokumentov-v-sed-ugrozy-snaruzhi-ili-v/

Сэд как эффективный способ защиты информации

СЭД и безопасность

С развитием облачных технологий вопрос о способах защиты информации для директоров бизнеса становится все острее. Топ-менеджеры компаний чаще стали вовлекаться в дискуссии о Firewall, восстановлении данных после сбоев и более надежной ИТ-инфраструктуре, но многие компании не представляют, что есть другая более серьезная угроза их данным – сотрудники.

Исследования показывают, что сотрудники обходят ИТ-политику и распространяют конфиденциальную и корпоративную информацию незащищенными способами, неподдающимися отслеживанию, что, в свою очередь, ставит под угрозу такую информацию. Согласно исследованиям проведенным организацией AIIM и компанией OpenText:

· 84% сотрудников используют личную (не корпоративную почту) для отправки файлов;

· Более 50% сотрудников сообщили, что обмениваются файлами через облачные диски, такие как GoogleDriveи Dropbox;

· Более 30% сотрудников хотя бы раз в своей жизни теряли USB-диски с конфиденциальной или важной корпоративной информацией

Эти и другие факторы, начиная от мстительного сотрудника, выложившего файлы в интернет, заканчивая забывчивым топ-менеджером, оставившим флешку в номере отеля, говорят о том, что угроза утечки данных внутри компании гораздо серьезнее угрозы извне. Что может быть сделано для предотвращения этой скрытой, но набирающей обороты угрозы?

Защита ИТ-периметра

Одним из способов защиты информации в наше время развития облачных технологий является защита ИТ-периметра. Вокруг этого сейчас идет много дискуссий. Концепция данного способа заключается в том, чтобы защитить весь периметр ИТ-инфраструктуры от проникновения в него извне и восстановить его, если все же такое произошло.

Вендоры аппаратного обеспечения делают фантастическую работу, создавая специальные роутеры, firewall и тому подобное для минимизации рисков.

Поставщики программного обеспечения совершенствуют антивирусы и ПО по обеспечению вредоносных программ, создавая своеобразный второй уровень зашиты информации в организации.

Основная их проблема в том, что они направлены на борьбу с внешними угрозами, а что делать, если угроза уже внутри компании?

Реальная проблема

Исследования, проведенные AIIM (Ассоциация по вопросам управления информацией и изображениями),говорят о том, что только 34% организаций видят реальную проблему от проникновений и взлома систем извне.

Большинство же компаний (53%) видят проблему внутри себя, а именно неавторизованный доступ к информации, то есть к ней имеют доступ те сотрудники, которые иметь не должны.

Это говорит о том, что способы защиты информации от проникновения извне работают на хорошем уровне, и, наоборот, необходимо принимать серьезные меры для усовершенствования внутренних способов защиты информации.

Закрывая глаза на невнимательность персонала, который теряет носители с важной информацией (таких, по мнению AIIM всего 5% организаций), вы должны также обратить внимание на то, какие именно сотрудники изначально могут иметь доступ к такой информации.

В большинстве случаев сотрудники имеют доступ к информации, которая им не нужна для работы или не соответствует уровню их компетенции.

Возрастающая популярность открытых дисков и облачных хранилищ может стать реальной угрозой, так как многие пользователи не догадываются, что другие сотрудники могут легко получить доступ к файлам по ссылкам или URL адресам.

Итак, какие же способы защиты информации можно применить, дабы положить конец доступности информации тем, кому она не предназначена?

Источник: AIIM и OpenText

Сэд как внутренний способ защиты информации

Для усиления ИТ-периметра необходим измеряемый подход к защите информации изнутри. Хорошим решением здесь являются системы электронного документооборота, с помощью которых можно легко управлять информацией и доступом к ней. СЭД созданы для того, чтобы помочь организациям в управлении документами, бизнес-процессами, архивами, поиском информации и разграничением прав доступа к ней.

В СЭД системах весь контент защищен уровнями доступа. Неважно, по какому принципу будет распределен контент, будь то папки, документы, файлы или что-то другое, возможность доступа к нему (просмотр, редактирование, удаление и т.д.

) будет определяться по уровню доступа пользователя и его роли в организации. Это так называемый базовый уровень защиты информации.

В наиболее продвинутых системах электронного документооборота используются следующие способы защиты информации:

Трехуровневая архитектура и безопасность

1. Сервер баз данных

  • Хранение всех данных и настроек системы
  • Данные не доступны с клиентских рабочих машин

2. Сервер приложений

  • Обслуживает запросы клиентов на доступ к данным
  • Разрешает права доступа

3. Клиент

  • Управляет вводом и отображением данных для пользователя
  • Работает только с подготовленными данными

Механизмы безопасности и настройка прав доступа

Дискреционная безопасность

Непротиворечивый набор правил для управления и ограничения доступа, основанный на идентификации тех пользователей, которые намерены получить только необходимую им информацию;

Мандатная безопасность

Обязательные правила управления доступом, напрямую основанные на индивидуальном разрешении на доступ к информации и уровне конфиденциальности запрашиваемой информации;

Ролевая модель

Возможность настройки доступных действий для пользователя в соответствии с его ролью в бизнес-процессах при работе с информацией.

Помимо этих способов защиты информации в некоторых системах реализован более глубокий функционал. Всевозможные журналы действий в системе и отчеты позволяют отследить нестандартные действия сотрудников в системе. Например, вход в систему в нерабочее время или же подозрительные действия и попытки несанкционированного доступа к информации.

Допустим, сотрудник решил зайти в систему в 11 часов вечера и скачать какие-то документы.

Такие действия могут быть расценены, как несанкционированный доступ в нерабочее время и аккаунт пользователя может быть временно заблокирован.

Перед этим пользователь будет оповещен о том, что его роль не подразумевает работу в системе в это время и для разблокировки аккаунта ему необходимо обратиться к системному администратору.

Все эти способы защиты информации значительно повышают ее безопасность, сводя ее утечки изнутри компании к нулю, позволяя компании чувствовать себя более уверенной и защищенной.

Тотальная безопасность – возможна ли?

Может ли компания быть на 100% защищена от утечек информации изнутри? На мой взгляд, нет, но и защита ИТ-периметра также не может гарантировать стопроцентной безопасности. Тем не менее, самое ценное, что могут сделать организации, это идентифицировать каналы утечки информации, , если они происходят сейчас, как можно скорее.

Способы защиты информации внутри компании должны стать одной из основных тем для обсуждения на уровне топ-менеджмента прежде, чем эта проблема скажется на бизнесе.

СЭД системы доказали свою эффективность в борьбе с этой угрозой.

Компании, внедрившие систему электронного документооборота, меньше беспокоятся об этом и меньше тратят времени на контроль своих сотрудников с целью выявления несанкционированного доступа к информации и ее утечки.

Источник: http://softforce.ru/blog/ecm-is-an-effective-solution-for-information-security/

Обзор систем электронного документооборота

СЭД и безопасность

Уважаемые читатели! В связи с тем, что при сборе материала для настоящего исследования была некорректно оценена функциональность представленной в обзоре системы МОТИВ, редакцией по своему усмотрению была произведена корректировка диаграмм для более точного отражения функциональности указанного продукта. В исправленных диаграммах указана функциональность системы МОТИВ версии 1.1, существовавшей на момент отбора участников тестирования (март 2010 года). Возможно, что некоторые параметры других систем также оценены некорректно.

Также напоминаем вам, что на данный момент материал сильно устарел и не может являться основанием для оценки функциональности современных версий указанных систем или соотношения между ними.

В современной организации системы электронного документооборота (СЭД) становятся обязательным элементом ИТ-инфраструктуры.

С их помощью повышают эффективность деятельности коммерческие компании и промышленные предприятия, а в государственных учреждениях на базе технологий электронного документооборота решаются задачи внутреннего управления, межведомственного взаимодействия и взаимодействия с населением.

Общепринятой аббревиатурой является СЭД, хотя наравне с ней также используются САД (система автоматизации делопроизводства), СЭДО (система электронного документооборота) и САДО (система автоматизации документооборота).

По материалам свободной энциклопедии (Википедии):
Система электронного документооборота (СЭД) — организационно-техническая система, обеспечивающая процесс создания, управления доступом и распространения электронных документов в компьютерных сетях, а также обеспечивающая контроль над потоками документов в организации.

Изначально системы этого класса рассматривались лишь как инструмент автоматизации задач классического делопроизводства, но со временем стали охватывать все более широкий спектр задач.

Сегодня разработчики СЭД ориентируют свои продукты на работу не только с корреспонденцией и ОРД (организационно-распорядительными документами), но и с различными внутренними документами (договорами, нормативной, справочной и проектной документацией, документами по кадровой деятельности и др.).

СЭД также используются для решения прикладных задач, в которых важной составляющей является работа с электронными документами: управление взаимодействием с клиентами, обработка обращений граждан, автоматизация работы сервисной службы, организация проектного документооборота и др.

Фактически системой электронного документооборота называют любую информационную систему, обеспечивающую работу с электронными документами.

Рынок СЭД в последние годы является одним из самых динамично развивающихся сегментов отечественной ИТ-индустрии.

В 2009 году, по данным IDC, на фоне практически 50-процентного сокращения объемов общего рынка программного обеспечения в России, данный сегмент показал высокую устойчивость. Его спад по данным за 2009 год составил не более 20—25%.

В численном выражении объем рынка СЭД на сегодня, по данным CNews Analytics, составляет около 220—250 млн. долл.

Потребителями технологий электронного документооборота являются различные по масштабу и специфике деятельности организации. Традиционно ключевым потребителем СЭД остается государственный сектор. По данным экспертов, порядка 30% проектов по внедрению технологий электронного документооборота приходится на государственные учреждения.

При этом важно, что именно интерес со стороны государства стал основой устойчивости рынка СЭД, который даже в условиях кризиса получил существенный импульс развития.

Электронный документооборот был назван ключевым элементом концепции «электронного правительства», реализация которой должна способствовать устранению бюрократических препон при взаимодействии государства, населения и бизнеса, а также снижению коррупции.

В качестве особенности реализации проектов в органах государственной власти и крупных государственных институтах стоит отметить повышенные требования к информационной безопасности. Речь идет о построении (разработке) на базе тиражируемых программных продуктов защищенных систем электронного документооборота.

О разработчиках сэд

Выбирая решения класса СЭД, заказчик рассматривает различные варианты: коробочное решение, решение на базе платформы или заказная разработка.

Российские разработчики в основном предлагают готовые решения, а западные выступают в качестве поставщиков платформ, на базе которых реализуются проектные решения и заказные разработки.

По статистике в структуре рынка на долю российских разработчиков приходится порядка 95% от общего количества проектов по внедрению СЭД. Одним из объяснений является то, что в России до сих пор сильна специфика работы с документами, основывающаяся на отечественных традициях управления.

Стоит отметить, что ряд поставщиков начали предоставлять СЭД заказчикам в режиме SaaS (Software as a Service), но пока данный подход в силу целого ряда причин (доверие к провайдеру, качество и надежность каналов связи) скорее рассматривается как форма знакомства с возможностями системы, а не как реальный подход к автоматизации документооборота.

Одним из формирующихся трендов является использование для работы с документами систем класса ECM (Enterprise content management). По материалам свободной энциклопедии (Википедии):
Enterprise content management (ECM) — управление информационными ресурсами предприятия или управление корпоративной информацией.

В рамках концепции ECM документооборот рассматривается как одна из задач обеспечения работы с корпоративной информацией. Сторонником данного подхода являются в основном западные разработчики.

И хотя в России спрос на подобные технологии еще находится в стадии формирования, во многих отечественных СЭД уже реализованы различные компоненты ECM: управление документами, управление образами документов, долговременное хранение документов, управление потоками работ (Workflow), коллективная работа с документами.

Принципиально технологии ECM отличаются от СЭД более глубокой проработанностью вопросов управления веб-контентом и мультимедиа-контентом.

Государственные инициативы вокруг «Электронного документа»

В 2009-2010 годах в России начали реализовываться несколько глобальных государственных инициатив, связанных с организацией официального электронного взаимодействия между государством, населением и бизнесом, направленных на повышение уровня проникновения информационных технологий в различные аспекты государственной и общественной жизни. К ним следует отнести утверждение перечня государственных услуг, предоставляемых населению через Интернет, и утверждение положений о системе межведомственного документооборота, которые стали первыми важными шагами на пути реализации концепции «электронного правительства».

Важно отметить, что вопрос о правовой базе электронного документа до сих пор остается открытым.

Сегодня деятельность участников электронного документооборота регламентируется законами и положениями об использовании электронно-цифровой подписи (ЭЦП), ГОСТ и инструкциями по делопроизводству и архивному делу, законами и положениями об информационных технологиях.

Получается, что на государственном уровне определены правила и порядок работы с документами, есть требования по обеспечению безопасности к информационным системам, но в законодательстве до сих пор не определен правовой статус электронного документа.

Стандарты в области СЭД

Сегодня деятельность разработчиков СЭД практически не регулируется.

Развивая программные продукты и реализуя проекты по внедрению, разработчики и поставщики в той или иной степени ориентируются на следующие нормативные и правовые документы:

  • ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения (утв. постановлением Госстандарта РФ от 27 февраля 1998 г. № 28);
  • Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» (в ред. от 08.11.2007);

Источник: https://www.ixbt.com/soft/sed.shtml

Отечественные СЭД

Отечественные СЭД − это системы, которые полностью «заточены» для российских организаций. В основном это либо узконаправленные специфические системы, либо слабые бесплатные ПО. Например, «ДЕЛО» разработчик – «Электронные Офисные Системы». Представляет собой промышленное решение для обеспечения автоматизации процессов делопроизводства.

Выпущена в 1996 году. Первая отечественная система автоматизации документооборота, получившая государственный сертификат наивысшего качества ЦСЦР Госстандарта РФ.

Из плюсов: система проста и интуитивно понятна даже пользователям с базовыми навыками владения компьютером, легкая и быстрая установка, мобильность и удаленная работа, реализован полноценный web-интерфейс доступа ко всем данным и функциям, развитая система оповещений, уведомлений и контроля движения документов, для ознакомления предоставляется демо-версия данного продукта. Из минусов: не самый дешевый продукт, на 30 рабочих мест в базовой комплектации придётся заплатить около 90000 рублей, отсутствует функция распознавания документов.

Зарубежные СЭД

Зарубежные СЭД отличаются качеством, глубиной проработки, простой системой, понятной и легкой установкой, а также есть русификация, но зачастую зарубежные программы не учитывают особенности российского законодательства и русского.

К примеру данной классификации, можно отнести известную систему «Documentum», созданную в 1990 г. Documentum – это система управления документами, знаниями и бизнес-процессами для крупных предприятий и организаций.

Особенность данной платформы в том, что она предназначена для управления неструктурированной информацией и создания распределенных архивов. Documentum охватывает все информационные ресурсы предприятия: офисные бумажные и отсканированные документы, финансовую информацию и проектно-конструкторскую документацию.

Система обеспечивает качественное управление информацией на всех этапах, осуществляет распространение, доступ, защиту и хранение. В состав данной системы также входит набор инструментальных средств и интерфейсов прикладного программирования (API), позволяющий модифицировать существующие приложения и создавать новые.

К технологическим преимуществам Documentum относятся масштабируемость и высокая степень интеграции с другими приложениями. Одним из минусов Documentum является скорость создания/восстановления базы, на крупных системах это будет занимать часы.

Самый главный минус системы в том, что платой за функциональную полноту является достаточно высокая стоимость внедрения. Разработчики изначально ориентировались на крупный бизнес и высокотехнологичные производства, которым необходим самый высокий уровень автоматизации.

Сэд на базе платформы 1с

Сэд на базе платформы 1с – это самая известная, популярная, конструктивная, модульная и достаточно удобная платформа. Все модули 1С являются платными, однако за счет своей платформы они получают обновление от центра 1С. 1С не требовательны к ресурсам, имеют заранее готовый пакет из множества функций.

На данный момент «1С: Документооборот» является одним из самых распространенных СЭД на российском рынке и занимает лидирующие позиции. Данный продукт обладает универсальностью, программа легко может быть настроена и адаптирована под специфику конкретной организации. Учет документов ведется в разрезе видов документов в соответствии с положением о документообороте предприятия.

Принципы учета входящих, исходящих и внутренних документов, заложенные в программу, которые полностью соответствуют действующему законодательству. «1С: Документооборот» поддерживает многопользовательскую работу в локальной сети или через Интернет с использованием веб-браузеров или тонкого клиента.

Есть основные минусы – это скорость работы, проблема с разграничением прав доступа, ввод учета кадровых документов и конечно же стоимость данного продукта.

Система Microsoft SharePoint

Система Microsoft SharePoint очень проста в использовании, кто сталкивался и работал с Office, то быстро сможет обучиться SharePoint, однако данную систему нельзя дорабатывать под свои цели. Функций в данной системе немного, но присутствует русификация и достаточно невысокие затраты на внедрение данного типа системы.

Такого рода системы подойдут очень маленьким фирмам, просто для хранения документов и одновременной работы с ними. EOS for SharePoint – продукт, созданный на базе платформы Microsoft SharePoint для автоматизации документооборота и решения управленческих задач.

СЭД EOS for SharePoint позволяет эффективно автоматизировать процессы управления документами, а также другие бизнес-процессы организации в рамках создания единого информационного пространства на платформе Microsoft SharePoint.

Плюсы: может работать в компаниях от десятка до нескольких тысяч рабочих мест при практически неограниченных объемах базы данных, имеется 8 лицензий ФСБ по разработке и производству средств защиты конфиденциальной информации, криптозащиты, наличие мобильных клиентов для iPAD, iPhone, Windows 7 и Windows 8.

Поддержка ЭП, шифрование данных, работа offline, EOS for SharePoint – единственная система электронного документооборота на SharePoint, где реализована юридически значимая электронная подпись на iPAD, обладает максимальной гибкостью, существует бесплатная редакция. Минус этой системы в том, что работает она только под старой версией SharePoint. Следует учесть также, что у продукта нет готового модуля «Корпоративный портал».

Oracle

Oracle – на платформе Oracle, как и у 1С есть приложение Oracle Universal Content Management (UCM). Это достаточно специфическое приложение, и его можно рекомендовать среднему и крупному бизнесу.

Oracle UCM может работать с AutoDesk Auto CAD, Lotus Notes Email,  Microsoft Office, Outlook, Oracle StarOffice, и другими программами.

Oracle – это гарант информационной безопасности предприятия, так же на основе Oracle UCM можно конвертировать более 500 форматов прямо через интерфейс без дополнительного ПО. Oracle Universal Content Management является основным продуктом ассортиментной линейки Oracle по управлению корпоративной информацией.

Это единая промышленная платформа для разработки бизнес-приложений по управлению документооборотом, Web-контентом, цифровыми активами и хранением документации. Существует проблема, которая на данный момент еще не решена до конца – это проблема с разграничением прав доступа.

IBM документооборот

IBM документооборот – это очень специфичная платформа, направленное в основном на защиту архива данных, так называемую разработку IBM: Dassault Systemes SmartVault.

Ярким примером является IBM Lotus Notes – чрезвычайно функциональная система с элегантной архитектурой, реально позволяющей создать общую информационную среду в большой компании, имеющей много офисов в разных городах и странах.

В России документооборот Lotus Notes часто встречается в банках, в крупных коммерческих структурах, а также в государственных учреждениях.

Плюсы данной СЭД заключаются в том, что в программе уже есть разработанная система разграничения прав доступа – остается ее просто использовать, что значительно сокращает время и стоимость автоматизации документооборота. Пользователи могут работать с приложениями удаленно, без подключения к серверу.

При этом на пользовательском ПК не требуется устанавливать дополнительное ПО – достаточно установить и настроить клиент Lotus Notes. После работы в режиме offline пользователь запускает репликацию и данные автоматически синхронизируются между клиентом и сервером. Обратная сторона медали – это дорогие разработчики, устаревшая технология хранения данных и трудности интеграции с другими системами.

In-house документооборот

In-house документооборот – это разработки СЭД внутри организаций, которые пишутся на платформах, либо «с нуля».

Системы документооборота на платформах open-source

Системы документооборота на платформах open-source – это СЭД, написанные на открытом коде. Зачастую – это самые дешевые разработки, однако всё зависит от того качества, которое предоставляет разработчик OS платформы, либо разработчик самого программного комплекса. К примеру, можно взять платформу Alfresco.

Данная система одна из самых популярных свободных программ СЭД. По всему миру множество компаний располагают этим программным обеспечением в целях автоматизации процессов обработки информации. Интерфейс системы выполнен на более чем десяти языках, включая и русский.

Сущность главного свойства продукта заключается в условии свободного лицензирования и наличии открытого исходного кода. Продукт поддерживает платформы Microsoft Windows и Unix и характеризуется высокой степенью модульности и масштабируемой производительностью.

Alfresco Community Edition полностью бесплатная система, может быть скачена и установлена в любой компании и это плюс. Однако система не имеет никакой поддержки кроме добровольной помощи участников сообщества пользователей Alfresco, что является недостатком СЭД.

Google Apps for Business

Google Apps for Business – это облачная разработка от интернет-гиганта, которая позволяет буквально за небольшие деньги хранить и обрабатывать всю свою документацию в облаке.

Конечно же, облако нельзя модифицировать или переписать, здесь нет локализованных под российскую аудиторию модулей, но и в этой сфере Google сможет найти своих клиентов.

Так же для совсем «бедных» существует Google Disk – который работает на свободной безвозмездной основе.

Выбор СЭД – это не просто технологическая или инженерная задача, он связан с общей стратегией развития организации. При выборе системы нужно учитывать множество факторов, которые на первый взгляд могут не иметь отношения к предмету.

Приведенный выше обзор поможет с первоначальным выбором платформы СЭД и самой системы. Но потребуется детальный анализ работы компании и понимание задач, решаемых СЭД.

Зачастую неэффективное использование СЭД мешает развитию предприятия, так как вовремя не полученная информация или документ может привести к потере времени, денег или новых возможностей.

Обзор систем электронного документооборота (СЭД) – Часть 2 

Источник: https://oxpaha.ru/corporate/obzor-sistem-elektronnogo-dokumentooborota/

Сэд и безопасность

СЭД и безопасность

Особенности СЭД в банках

В банках по сравнению с другими коммерческими организациями, как правило, значительно больше объем официальной документации – организационно-распорядительной, платежной, входящей и исходящей корреспонденции и т.п.

С одной стороны, это связано со спецификой банковской деятельности, большим количеством бухгалтерских проводок, которые должны быть надлежащим образом оформлены.

С другой стороны – с жесткими требованиями регулятора, которому необходимо официальное документированное подтверждение (в виде приказов, внутренних документов и т.п.) всех аспектов банковской деятельности.

В случае, если банк имеет территориально распределенную структуру, проблема обмена документами между подразделениями и документооборота в целом становится особенно актуальной. Банки, внедряя СЭД, решают ряд важных задач.

Во-первых, организуется единая автоматизированная централизованная регистрация и хранение входящей, исходящей, внутренней организационно-распорядительной и иной документации, в том числе в удаленных офисах. Во-вторых, обеспечивается однократная регистрация документов в организации по единым правилам, установленным для всех офисов банка.

В-третьих, автоматизируется и ускоряется процесс оперативной доставки документов получателям в структурных подразделениях, автоматизируется процесс отслеживания и контроля соблюдения сроков согласования и исполнения документов.

В-четвертых, создается единая корпоративная база нормативных и распорядительных документов банка с разграничением прав доступа к ним между пользователями (при этом в базе хранятся как данные документа, так и его сканированный образ). Организуется информационно-справочная работа по документам и их оперативный поиск. Наконец, автоматизируется учет архивного фонда документов.

Безопасность – ключевой вопрос

В рамках эксплуатации СЭД и сокращения объемов бумажного документооборота вопрос обеспечения информационной безопасности и защиты данных играет одну из ключевых ролей.

В частности, с учетом специфики банковской индустрии ситуация с сохранением коммерческои тайны, защитой персональных данных приводит к тому, что этот вопрос должен быть серьезно проработан на двух уровнях, считает главный исполнительный директор информационных технологий БАНКа УРАЛСИБ Алексей Широких.

Во-первых, на уровне организационно-регламентной работы. Во-вторых, на уровне программного обеспечения с учетом всех необходимых требований по защите информации и данных.

Существует ряд мер, позволяющих решить вопросы информационной безопасности при эксплуатации СЭД: использование ЭЦП и двухфакторной аутентификации, шифрование документов, защита внутреннего периметра, если СЭД используется в защищенном пространстве (LAN – Local Area Network). Алексей Широких отмечает, что «поточные шифраторы, установленные в сетевой инфраструктуре, могут поднять производительность информационных систем, в частности СЭД, за счет правильно построенной архитектуры и переноса существенной нагрузки на аппаратный уровень».

С приходом современных технологий, как аппаратных, так и программных (а также с появлением соответствующих решений российских и зарубежных вендоров), механизмы шифрования отдельных документов ключами пользователей и электронной цифровой подписью (ЭЦП) при правильной реализации позволяют достаточно гибко и оперативно защищать электронный документооборот «Основной вопрос состоит в том, какие документы необходимо шифровать, но это определяет правильно разработанный и утвержденный регламент по доку-ментационному обеспечению организации», – рассказывает Алексей Широких.

Закон “об электронной подписи”

Использование ЭЦП в России регламентируется объемной нормативно-законодательной базой: Гражданским кодексом РФ, Федеральным законом «Об информации, информатизации и защите информации», государственными стандартами и многими другими документами.

Почти год назад вступил в силу новый Федеральный закон РФ «Об электронной подписи», который в значительной степени расширил практическую возможность применения электронной подписи Образцом для нового закона стала директива Евросоюза «Об общих принципах электронных подписей».

При этом прежний Федеральный закон от ю января 2002 года «Об квалифицированной электронной цифровой подписи» признается утратившим силу лишь с 10 июля 2012 года. Сертификаты ключей подписи, выданные в соответствии с этим законом, будут действовать до истечения установленного в них срока.

До вступления в силу закона № 63 ФЗ «Об электронной подписи» для подписания договоров, проведения банковских транзакций, для подачи налоговой отчетности и налоговой декларации нужно было стоять в огромных очередях в налоговых органах, чтобы лично подписать необходимые документы. С принятием нового закона все бумаги, требующие личной подписи руководителя организации, чиновника или обычного гражданина, можно отправлять по Интернету. Сейчас квалифицированная электронная подпись законом приравнена к собственноручной подписи.

По мнению Алексея Широких, нормативно-законодательная база, регламентирующая использование ЭЦП, достаточно сложна для реализации и, возможно, требует пересмотра отдельных положений по использованию ЭЦП.

Правда, компании-разработчики предлагают различные решения, которые помогают банкам выполнять обязательные требования закона и достаточно оперативно внедрять защищенные системы документооборота.

«К сожалению, этого нельзя сказать о системах собственной разработки, а также о решениях, морально устаревших, которые достаточно широко распространены в банковской среде», – добавляет эксперт БАНКа УРАЛСИБ.

Защита каналов связи

Системы электронного документооборота развиваются стремительными темпами, что приводит к появлению новых требований к информационной безопасности в СЭД. В частности, возникает необходимость защиты каналов связи на сетевом уровне.

При межсетевом взаимодействии между территориально распределенными филиалами отделениями банка возникает задача обеспечения безопасности информационного обмена между клиентами и серверами различных сетевых служб.

Такие же проблемы встречаются и в беспроводных локальных сетях (WLAN – Wireless Local Area Network), а также при доступе удаленных абонентов к ресурсам корпоративной информационной системы.

В данном случае основной угрозой является несанкционированное подключение к каналам связи, осуществление перехвата информации и подмена передаваемых по каналам данных (почтовых сообщений, файлов).

«Новые технологии, такие как поточные шифраторы и сетевые аплаенсы, позволяют поднять внедряемые решения СЭД на новый уровень как с точки зрения безопасности, так и с точки зрения производительности», – считает Алексей Широких. А именно эти два аспекта, являющиеся ключевыми для СЭД, – безопасность и производительность – до последнего времени практически взаимно исключали друг друга.

По мнению эксперта БАНКа УРАЛСИБ, рынок средств защиты каналов связи, по которым проходит информация из СЭД, является достаточно зрелым, и на нем представлено немало решений и продуктов. Поэтому любая кредитная организация может выбрать необходимые ей средства защиты.

Николай СМИРНОВ, начальник отдела научных исследований и развития продуктов ОАО ИнфоТеКС

Для направления СЭД критичны все стандартные проблемы обеспечения ИБ:

  • целостность; 
  • аутентичность;
  • доступность;
  • неотказуемость.

В настоящее время решение данных вопросов в рамках системы СЭД традиционными криптографическими и регламентными методами не является технически сложной задачей.

Использования ЭП, средств надежной идентификации и авторизации пользователей, разграничения доступа, регламентов и иногда шифрования данных или трафика выделенных приложений – всего этого более чем достаточно для обеспечения ИБ в корпоративных СЭД.

Однако направление СЭД в последние несколько лет переживает бурное развитие. Появляются задачи обеспечения СЭД на мобильных устройствах, центральные звенья архитектуры СЭД переезжают в ЦОД и превращаются в портальные решения с общедоступными каналами связи. Появляются решения СЭД по модели SaaS. Расширение предметной области ИБ в СЭД приводит к появлению новых требований:

  • защиты каналов связи на сетевом уровне;
  • конфиденциальности;
  • защиты периметра файерволами прикладного уровня с функционалом глубокого анализа.

Вторым немаловажным фактором развития рынка СЭД стоит назвать развитие нормативной базы в отношении юридически значимого документооборота. Требования регламентирующих документов отражаются не только на регламентах СЭД, но и на требованиях к системам обеспечения ИБ. Компания ИнфоТеКС, лидер отечественного рынка VPN-решений, предлагает:

  • продукты по обеспечению безопасности каналов передачи данных через сети общего пользования;
  • продукты, осуществляющие работу с квалифицированной ЭП, шифрованием файлов на алгоритмах ГОСТ;
  • продукты, ориентированные на обеспечение безопасности документооборота на прикладном уровне.

Источник: https://otchetonline.ru/art/bankiru/15466-sed-i-bezopasnost.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.