Анализ угроз информации систем электронного документооборота.

 

Данная статья посвящена анализу защищенности систем электронного документооборота, стандартам обеспечения защиты информации и их комплексному использованию.

Система электронного документооборота(СЭД) - это автоматизированная многопользовательская система (компьютерная программа, комплекс программ и т.п.), включающая в себя все этапы работы с документами на протяжении всего жизненного цикла. Кроме того, СЭД предназначается для автоматизации и учета бизнес-процессов взаимодействия между работниками организации (ознакомление, поручение, согласование, утверждение и т.п.)[2]. Так же СЭД позволяют реализовать электронный документооборот между организациями, в том числе наладить обмен информацией с контролирующими органами.

Основные угрозы для систем электронного документооборота могут быть классифицированы следующим образом:
- угроза целостности — это повреждение, уничтожение или искажение информации, которое может быть как не намеренное в случае ошибок и сбоев, так и злоумышленное. 
- угроза конфиденциальности — это любое нарушение конфиденциальности, в том числе кража, перехват информации, изменение маршрутов следования. 
- угроза работоспособности системы — это угроза, реализация которой приводит к нарушению или прекращению работы системы, включая умышленные атаки, ошибки пользователей, а также сбои в оборудовании и программном обеспечении. 
- невозможность доказательства авторства – это угроза, выражающаяся в том, что если в документообороте не используется электронная цифровая подпись, то невозможно доказать, что именно данный пользователь создал данный документ. При этом невозможно сделать документооборот юридически значимым.
- угроза доступности - это угроза, нарушающая возможность за приемлемое время получить требуемую информацию пользователям, имеющим к ней права доступа.
Защиту именно от этих угроз в той или иной мере должна реализовывать любая система электронного документооборота.
Для преодоления данных угроз в системе электронного документооборота должен применяться механизм, который может обеспечить:
1) сохранение содержания электронных документов, циркулирующих в системе, от несанкционированного просмотра третьими лицами;
2) однозначную идентификацию отправителей электронных документов;
3) защиту электронных документов от несанкционированных модификаций;
4) корректное разрешение конфликтных ситуаций [1].
При этом первые три проблемы решаются с использованием средств криптографической защиты информации, а последняя, - путем установления регламента обмена электронными документами между участниками системы электронного документооборота.

Для соответствия требованиям по защите от несанкционированного доступа в системах электронного документооборота, для которых реализованы программные средства криптографических защиты информации, при хранении и обработке информации должны быть предусмотрены следующие основные механизмы защиты: 
1) идентификация и аутентификация пользователей и субъектов доступа;
2) управление доступом;
3) использование средств шифрования данных и электронной цифровой подписи[1].
Эти критерии являются основными критериями оценки защиты информации для систем электронного документооборота.
В анализе угроз конфиденциальности описаны основные способы получения НСД к системе СЭД с целью хищения злоумышленником конфиденциальной информации. Анализ угроз целостности дает возможность определить степень ценности отдельных звеньев системы, а также последствия их краха. Анализ угроз доступности дает понимание о доступности отдельных компонентов СЭД. Доступность этих компонентов может привести к ошибкам и различным сбоям в системе, что создает основу для построения механизмов НСД.

Список литературы:

1.Основные критерии защищенности / news.excelion.ru.

2. Кирсанова М.В., Аксенов Ю.М. Курс делопроизводства: Документационное обеспечение управления: Учеб. пособие. – 4-е изд. – М.: ИНФРА-М; Новосибирск: Сибирское соглашение, 2014. – 296 с. – (Серия «Высшее образование»).

3. Путькина Л. В. Особенности инновационных предпринимательских структур//Международный научно-исследовательский журнал. 2015. №2-3 (33). С.80-82.