- •7. Порядок и методические указания по формированию перечня сведений, составляющих служебную или коммерческую тайну организации
- •Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, включаемых в обобщенный Перечень.
- •Оформление результатов работы по формированию Перечня
- •Обеспечение сохранности документов
- •Обеспечение безопасного доступа
- •Разграничения прав пользователя
- •Конфиденциальность
- •Обеспечение подлинности документов
- •Законодательное регулирование
- •Допуск сотрудников предприятия к коммерческой тайне осуществляется с их согласия и предусматривает:
- •5.Проверки наличия конфиденциальных документов являются важной составной частью конфиденциального делопроизводства.
- •Проверками должны быть охвачены не только документы, но и дела, а также носители конфиденциальной информации.
- •При проведении проверок необходимо руководствоваться следующими принципами:
- •Подписывать акт и вносить отметки об уничтожении в учетные формы до фактического уничтожения конфиденциальных материалов не допускается.
Разграничения прав пользователя
В любой системе обязательно должно быть предусмотрено разграничение прав пользователя — и чем гибче и детальнее, тем лучше. Пусть потребуется большее время на настройку, но в итоге мы получим более защищенную систему. Разграничение прав внутри системы технически устраивают по-разному: это может быть полностью своя подсистема, созданная разработчиками СЭД, или подсистема безопасности СУБД, которую использует СЭД. Иногда их разработки комбинируют используя свои разработки и подсистемы СУБД. Такая комбинация предпочтительнее, она позволяет закрыть минусы подсистем безопасности СУБД, которые также имеют «дыры».
Конфиденциальность
Огромным преимуществом для конфиденциальности информации обладают криптографические методы защиты данных. Их применение позволят не нарушить конфиденциальность документа даже в случае его попадания в руки стороннего лица. Не стоит забывать, что любой криптографический алгоритм обладает таким свойством как криптостокойсть, т.е. и его защите есть предел. Нет шифров, которые нельзя было бы взломать — это вопрос только времени и средств. Те алгоритмы, которые еще несколько лет назад считались надежными, сегодня уже успешно демонстративно взламываются. Поэтому для сохранения конфиденциальности убедитесь, что за время, потраченное на взлом зашифрованной информации, она безнадежно устареет или средства, потраченные на ее взлом, превзойдут стоимость самой информации.
Кроме того, не стоит забывать об организационных мерах защиты. Какой бы эффективной криптография не была, ничто не помешает третьему лицу прочитать документ, например, стоя за плечом человека, который имеет к нему доступ. Или расшифровать информацию, воспользовавшись ключом который валяется в столе сотрудника.
Обеспечение подлинности документов
Сегодня основным и практически единственным предлагаемым на рынке решением для обеспечения подлинности документа является электронно-цифровой подписи (ЭЦП). Основной принцип работы ЭЦП основан на технологиях шифрования с ассиметричным ключом. Т.е. ключи для шифрования и расшифровки данных различны. Имеется «закрытый» ключ, который позволяет зашифровать информацию, и имеется «открытый» ключ, при помощи которого можно эту информацию расшифровать, но с его помощью невозможно «зашифровать» эту информацию. Таким образом, владелец «подписи» должен владеть «закрытым» ключом и не допускать его передачу другим лицам, а «открытый» ключ может распространяться публично для проверки подлинности подписи, полученной при помощи «закрытого» ключа.
Для наглядности ЭЦП можно представить как данные, полученные в результате специального криптографического преобразования текста электронного документа. Оно осуществляется с помощью так называемого «закрытого ключа» — уникальной последовательности символов, известной только отправителю электронного документа. Эти «данные» передаются вместе с текстом электронного документа его получателю, который может проверить ЭЦП, используя так называемый «открытый ключ» отправителя — также уникальную, но общедоступную последовательность символов, однозначно связанную с «закрытым ключом» отправителя. Успешная проверка ЭЦП показывает, что электронный документ подписан именно тем, от кого он исходит, и что он не был модифицирован после наложения ЭЦП.
Таким образом, подписать электронный документ с использованием ЭЦП может только обладатель «закрытого ключа», а проверить наличие ЭЦП — любой участник электронного документооборота, получивший «открытый ключ», соответствующий «закрытому ключу» отправителя. Подтверждение принадлежности «открытых ключей» конкретным лицам осуществляет удостоверяющий центр - специальная организация или сторона, которой доверяют все участники информационного обмена. Обращение в удостоверяющие центры позволяет каждому участнику убедиться, что имеющиеся у него копии «открытых ключей», принадлежащих другим участникам (для проверки их ЭЦП), действительно принадлежат этим участникам.
Большинство производителей СЭД уже имеют встроенные в свои системы, собственноручно разработанные или партнерские средства для использования ЭЦП, как, например, в системах Directum или «Евфрат-Документооборот». Такой тесной интеграции с ЭЦП немало способствовал и выход федерального закона о ЭЦП (№1–ФЗ от 10.01.2002г.) в котором электронная цифровая подпись была признана имеющий юридическую силу наряду с собственноручной подписью. Стоить заметить, что согласно законам РФ, свою систему электронной цифровой подписью может разрабатывать только компания, имеющая на это соответствующую лицензию от ФАПСИ (ныне от ФСБ). Равно как и компания, использующая в своих разработках ЭЦП, должна иметь лицензию от органов государственной власти.
Протоколирование действий пользователей — немаловажный пункт в защите электронного документооборота. Его правильная реализация в системе позволит отследить все неправомерные действия и найти виновника, а при оперативном вмешательстве даже пресечь попытку неправомерных или наносящих вред действий. Такая возможность обязательно должна присутствовать в самой СЭД. Кроме того, дополнительно можно воспользоваться решениями сторонних разработчиков и партнеров, чьи продукты интегрированы с СЭД. Говоря о партнерских решениях, прежде всего речь идет о СУБД и хранилищах данных, любой подобный продукт крупных разработчиков, таких как Microsoft или Oracle, наделен этими средствами. Также не стоит забывать о возможностях операционных систем по протоколированию действий пользователей и решениях сторонних разработчиков в этой области.