На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 4 июль-август 2006 г.
Тема номера:
КОРПОРАТИВНЫЕ ПРОГРАММЫ ОБУЧЕНИЯ ВОПРОСАМ БЕЗОПАСНОСТИ


ВОПРОСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ. ЭЛЕКТРОННЫЕ АРХИВЫ

К. Ильин


Предыдущая статьяСледующая статья

Данную статью можно рассматривать как продолжение темы, начатой в прошлом году («Организация делопроизводства и документооборота», № 6’2005). На этом раз мы поговорим о том, как организовать электронный документооборот, чтобы максимально обезопасить конфиденциальную информацию, циркулирующую в электронном виде.
Безусловно, электронный документооборот в целом подчиняется тем же правилам, что описаны в вышеупомянутой статье, однако имеются и существенные отличия, на которых мы и остановимся.

Начнем, как всегда, от печки. Какого рода информация циркулирует в компании, всю ли ее необходимо защищать, какими методами и прочая, и прочая... Подробно подход к классификации информации был рассмотрен в уже упоминавшейся статье «Организация дело-производства и документооборота», поэтому по данному вопросу можно ограничиться лишь небольшим дополнением.

Как правило, всю информацию, циркулирующую внутри организации, можно разделить на две части – открытую и конфиденциальную. Конфиденциальная – в свою очередь подразделяется на информацию ограниченного доступа и секретную. Совокупность информации одной категории может образовывать информацию повышенной категории секретности. Другими словами, определенная совокупность открытой информации может содержать в себе конфиденциальную.

Допустим, в вашей компании информация о деталях заключаемых договоров, а также о том, кто из сотрудников их заключает, – конфиденциальная. В то же время к открытой информации относятся данные о персонале, его распределении по отделам, служебные обязанности сотрудников. В ваших новостях регулярно сообщается о том, с какими предприятиями (по какому профилю) компания ведет переговоры, с кем намерена заключить контракт и т. п. Понятно, что совокупность приведенных трех источников открытой информации (кадры, служебные обязанности, информация о заключаемых контрактах) может образовать конфиденциальную информацию о сотруднике, заключающем конкретный контракт.

Из вышесказанного напрашивается вывод: следует внимательнее относиться к вопросам отнесения информации к различным грифам секретности (и, соответственно, к обеспечению уровня ее защиты). Постарайтесь, чтобы обязанности сотрудников по обращению с информацией различного рода были четко прописаны в соответствующих инструкциях (которые сами должны носить гриф «для ограниченного доступа»).

После этого короткого экскурса в историю вопроса перейдем к нашей основной теме. Договоримся сразу, что в дальнейшем мы будем исходить из того, что вся информация уже категорирована. Чаще всего информация имеется в печатном и электронном виде, однако достаточно распространено и ее существование в какой-либо одной ипостаси.

Обратим свое внимание на электронный вариант, рассмотрев для начала процесс «рождения» и «смерти» электронного документа для лучшего понимания сильных и слабых сторон последнего.

Железный конь пришел на смену крестьянской лошадке

Безусловно, процентное содержание в информационном потоке данных, циркулирующих в электронном виде, неуклонно возрастает по отношению к традиционной – бумажной форме ее существования. Компьютер пришел на смену печатной машинке и бухгалтерским счетам. Редко кто пишет документы от руки, скорее – лишь какие-то заметки на полях.

Конечно, электронный документ удобнее для пользователя, нежели его печатная версия. Это аксиома. Но в то же время аксиомой является утверждение, что электронный документ более уязвим и более подвержен риску быть похищенным или уничтоженным.

Рождение и смерть электронного документа

Появиться в анналах какой-либо организации электронный документ может двумя путями: выйти из-под «пера» (читай – клавиатуры) сотрудника (-ов) предприятия или быть привнесенным извне (в любом виде, в том числе – в печатном, будучи впоследствии переведенным в электронный). Никакого существенного различия способ «рождения» на документы не накладывает, за исключением, может быть, того, что с привнесенным документом можно подцепить какую-нибудь «заразу».

Новорожденный документ может быть:
а) сохранен на жесткий диск или иной носитель;
б) переправлен по другому адресу;
в) распечатан без сохранения;
г) уничтожен без печати и сохранения (копирования, пересылки).

Практически в любом случае документ оставляет следы пребывания в своем «родителе» – персональном компьютере.

В дальнейшем наш электронный документ начинает жить полноценной жизнью. К нему обращаются, его копируют целиком или частями, на него ссылаются, его распечатывают, пересылают другим пользователям. В конце концов, он просто продолжает «лежать» на жестком диске вашего компьютера. Без соответствующим образом налаженной системы учета проконтролировать «личную жизнь» данного электронного индивидуума невозможно. Соответственно, и стопроцентно констатировать в таком случае его «смерть» также невозможно. Она может быть официально зафиксирована только в том случае, когда документ и все его полноценные копии будут физически стерты со всех видов электронных носителей в данной компании. Впрочем, стертый документ тоже оставляет после себя следы. Однако этот аспект, как и судьбу печатных копий, которые вполне могут оставаться после кончины электронного оригинала, мы сейчас не затрагиваем.

И еще немного о «кончине» документа. Закат его творческой жизни может выглядеть таким образом:
а) физическое стирание электронных копий со всех видов носителей;
б) отправка в электронном виде в другие организации;
в) оставление печатных копий;
г) уничтожение всех следов пребывания данного документа в указанной организации.

Вы никогда не узнаете, почему стали банкротом…

Теперь поговорим о том, для чего нужно соблюдать режим информационной безопасности. Как условились, считаем, что классификация информации по грифам секретности уже произошла.

Очевидно, что несанкционированный доступ к документам, содержащим конфиденциальную информацию, способен нанести серьезный ущерб фирме, вплоть до ее полного разорения и ликвидации. Когда же речь идет о несанкционированном доступе к электронному документу, содержащему конфиденциальную информацию, ситуация осложняется следующим: злоумышленник может просто скопировать себе данный документ в течение очень короткого периода времени, а владельцы данного документа даже и подозревать об этом не будут, пребывая в уверенности, что их секреты никому не известны.

Но может быть и еще хуже. Хорошо, если наш злоумышленник просто уничтожит документ и тем самым выдаст свое присутствие (хотя иногда эти действия также являются частью сложной игры, цель которой – вынудить противника совершить желаемые для инициатора действия), а если он изменит документ в своих целях (скажем, финансовый отчет)? Вы так никогда и не узнаете, почему вдруг стали банкротом.

Резонный вопрос: как злоумышленник может получить доступ к электронному документу?

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100