RU

Конфиденциальный электронный документооборот на платформе Docsvision

В последнее время тема конфиденциального электронного документооборота становится всё более актуальной на крупных предприятиях. Тому есть несколько причин:

  1. Как правило, объём конфиденциального документооборота в разы меньше общего. Поэтому предприятия начинали с автоматизации общего документооборота (создания общей СЭД) как более актуальной и понятной задачи.  А конфиденциальные документы до последнего времени чаще обрабатывались исключительно на бумаге. Теперь же, когда задача автоматизации общего документооборота на большинстве предприятий решена, механизмы отработаны, на очереди стоит цифровизация конфиденциального документооборота.
  2. Вторым фактором является повышение внимания как самих предприятий, так и регуляторов к защите конфиденциальной информации. Особенно это касается предприятий, относящихся к объектам критической информационной инфраструктуры, военно-промышленному комплексу и работающим по государственным заказам.

Видимо, и условия, и требования сложились таким образом, что вместе сделало этот вопрос таким актуальным. Давайте рассмотрим использование платформы Docsvision для конфиденциального документооборота.

Что такое конфиденциальный документооборот на предприятии?

Что же относится к конфиденциальной информации, которая может содержаться в документах и информационных системах? Согласно 149-ФЗ «Об информации, информационных технологиях и о защите информации» вся информация делится прежде всего на общедоступную информацию и информацию ограниченного доступа (т.е. конфиденциальную). Ограничение доступа к разным видам информации устанавливается соответствующими федеральными законами. С учётом этого закона и Указа Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» можно так классифицировать конфиденциальную информацию:

  • государственная тайна;
  • прочая конфиденциальная информация:
    • коммерческая тайна;
    • персональные данные;
    • интеллектуальная собственность;
    • служебная тайна (ДСП, для госорганов);
    • профессиональная тайна (врачебная, адвокатская, нотариальная и т.п.).

На практике государственную тайну выносят за рамки понятия конфиденциальной информации, поскольку работа с ней регулируется отдельно и более строго. Служебная и профессиональная тайна довольно специфичны для соответствующих видов деятельности. Интеллектуальную собственность часто относят к коммерческой тайне. Поэтому в большинстве случаев, когда говорится о конфиденциальном документообороте на предприятии, имеется в виду:

  • коммерческая тайна – сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введён режим коммерческой тайны (98-ФЗ «О коммерческой тайне»);
  • персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (152-ФЗ «О персональных данных» с учётом дальнейшего их деления на категории).

Регулирование требований по защите конфиденциальной информации в СЭД

Говоря о защите конфиденциальной информации в контексте электронного документооборота, важно учитывать требования следующих нормативных документов:

  • «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (введён в действие приказом ФСТЭК России № 17 от 11 февраля 2013 г.);
  • «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (введён в действие приказом ФСТЭК России № 21 от 18 февраля 2013 г.).

Строго говоря, требования приказа ФСТЭК № 17 обязательны только для государственных информационных систем. Но в п.1.6 указано: «По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах». И, поскольку других требований на таком уровне нет, именно эти, как правило, берутся за основу на предприятиях.

Дополнительно сейчас накладываются требования регулятора по импортозамещению программно-аппаратных средств, и в первую очередь это касается информационных систем с повышенными требованиями к защите информации.

При этом у заказчиков могут существовать собственные требования по защите конфиденциальной информации в электронном виде, пусть даже не до конца формализованные. На многих предприятиях уже давно существуют локальные нормативные акты (стандарты предприятия) о защите конфиденциальной информации. Но на сегодня, как правило, они описывают работу только с бумажными конфиденциальными документами. Прямой перенос этих правил на электронный документооборот нецелесообразен, хотя общий смысл, принципы и подходы должны соблюдаться. Эти вопросы должны решаться в процессе перехода на электронный конфиденциальный документооборот.

Реализация системы конфиденциального электронного документооборота

Вопросы реализации системы конфиденциального электронного документооборота (СКЭД) можно разделить на две области: функциональность и обеспечение защиты информации.

Функциональность

Основная функциональность СКЭД повторяет функциональность общей СЭД предприятия. Всё те же регистрационные карточки документов, задания по их обработке, справочники, маршруты согласования, бизнес-процессы, папки, поисковые запросы, представления, отчёты, уведомления.

Возможно, появляются новые виды карточек документов, а чаще – просто дополнительные атрибуты в существующих. Например, атрибут, обозначающий категорию (гриф) конфиденциальности, заполняемый из справочника. От него могут зависеть настройки прав доступа, маршруты обработки, папки, преставления и отчёты, связанные именно с конфиденциальными документами и пр. 

Также в СКЭД могут включаться элементы, связанные с организацией конфиденциального документооборота. Например: обработка запросов на предоставление доступа к документам, на их копирование, на снятие грифа конфиденциальности, учёт конфиденциальных документов на материальных носителях и пр.

Эти доработки проектного решения выполняются стандартными механизмами и средствами настройки/доработки платформы. Но в целом возможности платформы СКЭД и основ проектного решения – те же самые, что и в общей СЭД. С этой точки зрения платформа Docsvision полностью отвечает требованиям заказчиков, а существующие проектные решения СЭД требуют лишь небольшой настройки/доработки по требованиям заказчика при внедрении.

Основные же отличия состоят в способах обеспечения защиты информации в соответствии с применимыми нормативными документами.

Обеспечение защиты информации

Согласно Приказам ФСТЭК №17 и № 21, для обеспечения защиты конфиденциальной информации в СЭД необходимо выполнить следующие мероприятия:

  • обследование информации, подлежащей обработке и защите в СКЭД, анализ нормативных документов, которым она должна соответствовать;
  • определение угроз безопасности информации и разработку на их основе модели угроз;
  • классификацию СКЭД по требованиям защиты информации;
  • определение требований к системе защиты информации;
  • разработка проектных решений по системе защиты информации;
  • внедрение системы защиты информации (включая закупку и внедрение средств защиты информации);
  • аттестация СЭД по требованиям защиты информации.

Эта работа должна проводиться квалифицированными специалистами по информационной безопасности. Варианты организации системы защиты информации в общем случае могут быть разными. Это зависит от того, к какому классу будет отнесена СКЭД согласно указанным нормативным документам, какие меры по защите информации в соответствии с этим будут к ней применимы, и какое решение будет предложено разработчиком системы защиты информации.

В большинстве случаев СКЭД на предприятиях классифицируются по 3-му классу защищённости для государственных информационных систем и 3-4-му уровню защищённости персональных данных. Это подразумевает использование сертифицированных программно-аппаратных средств для защиты как рабочих мест, так и серверного комплекса СКЭД, а также программного обеспечения из Реестра российского ПО Минцифры.

Здесь существует два подхода: 

  1. Защита и аттестация общей СЭД, чтобы в ней можно было обрабатывать конфиденциальную информацию (как минимум – серверного комплекса СЭД и тех рабочих мест, с которых ведётся работа с конфиденциальными документами).
  2. Защита и аттестация выделенного контура СКЭД (отдельная инсталляция защищённого серверного комплекса, фактически дублёр СЭД для конфиденциального документооборота).

Сейчас предприятия чаще выбирают второй подход (выделенный контур СКЭД), поскольку привести всю общую СЭД в соответствие с требованиями по защите конфиденциальной информации — это долго и дорого.

Для организации защищённого доступа к СКЭД используются в основном инфраструктурные средства и технологии за рамками собственно платформы Docsvision: межсетевые экраны, криптошлюзы, VPN, RDP и т.д. Конкретные варианты организации выбираются разработчиком системы защиты информации на основании классификации СКЭД и требований по защите доступа к ней.

Ещё одним из требований к СКЭД, как правило, является ограничение, контроль и учёт создания в ней копий конфиденциальных документов: скачиваний, печати, отправки по электронной почте. Эта задача решается комплексом средств терминального доступа, внешних средств управления печатью и инструментов настройки/доработки проектного решения на платформе Docsvision.

Иногда в СКЭД применяются такие средства борьбы с утечками, как различные визуальные метки (в т.ч. невидимые невооружённым глазом) или водяные знаки, позволяющие идентифицировать пользователя, создавшего электронную или бумажную копию конфиденциального документа. Для этого используется интеграция со специальными средствами формирования таких меток или, в более простых вариантах, – доработка проектного решения на платформе Docsvision.

Для разграничения доступа к конфиденциальной информации внутри СКЭД также используются средства платформы Docsvision. Применяются дискреционный, ролевой и мандатный методы управления доступом. Соответствующие механизмы встроены в платформу Docsvision и используются для разграничения доступа как в СКЭД, так и в общей корпоративной СЭД.

Сертифицированная версия Docsvision

Одним из требований приказов ФСТЭК № 17 и 21 является использование сертифицированных технических средств защиты информации. Поскольку платформа Docsvision содержит встроенные средства защиты информации, это требование распространяется и на неё. Поэтому уже много лет регулярно, по мере развития платформы, проводится такая сертификация.

Текущий сертификат ФСТЭК № 4523 действует до 14 марта 2027 года и подтверждает соответствие Docsvision требованиям документа «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты и средствам обеспечения безопасности информационных технологий» (утверждены ФСТЭК России от 02.07.2020) по 6 уровню доверия и технических условий.

Согласно этому сертификату, Docsvision может использоваться в автоматизированных системах следующих классов:

  • в автоматизированных системах до класса защищённости 1Г в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992);
  • в государственных информационных системах 3-го класса защищённости в соответствии с «Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (приказ ФСТЭК России № 17 от 11.02.2013 г.);
  • для обеспечения 3 и 4 уровня защищённости персональных данных в информационных системах, для которых к актуальным отнесены угрозы 3-го типа в соответствии с требованиями документа «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (приказ ФСТЭК России № 21 от 18.02.2013 г.).

В связи с этим важно учитывать, что:

  • Если СКЭД создаётся в соответствии с требованиями приказов ФСТЭК № 17 и 21 с последующей аттестацией и контрольными проверками ФСТЭК, должна быть приобретена и установлена специальная сертифицированная версия поставки Docsvision с заверенной копией сертификата и контрольными суммами дистрибутива и установленного ПО, указанными в формуляре к сертификату, входящему в комплект поставки. Это важно для подтверждения того, что используется именно сертифицированная версия.
  • Только использование сертифицированной версии Docsvision не гарантирует того, что ваша СКЭД соответствует требованиям приказов ФСТЭК № 17 и 21. СКЭД – это комплексная система, включающая другие программные и аппаратные средства, проектное решение. Требованиям по защите информации должна соответствовать система целиком.

Заключение

Таким образом, сегодня есть все условия для создания системы конфиденциального документооборота на платформе Docsvision:

  1. Docsvision соответствует актуальным требованиям импортонезависимости: она внесена в Реестр российского ПО, может работать на операционной системе Astra Linux и СУБД Postgres Pro, также внесённых в этот реестр. 
  2. Прикладная функциональность платформы Docsvision и проектных решений, используемая для общей СЭД, может быть использована в качестве основы СКЭД.
  3. Дополнительная функциональность СКЭД, связанная с обработкой конфиденциальных документов, создаётся в проектном решении средствами его настройки/доработки.
  4. Docsvision имеет встроенные средства разграничения доступа к документам, обеспечения безопасности и возможности настройки/доработки их в проектных решениях.
  5. Docsvision имеет сертификат ФСТЭК на соответствие требованиям по безопасности информации, позволяющий использовать её для защиты конфиденциальной информации.
  6. Задача создания СКЭД на платформе Docsvision связана в основном с организационно-методическими и инфраструктурными вопросами в области информационной безопасности, использованием дополнительных внешних средств защиты. С этим успешно справляются партнёры Docsvision – системные интеграторы, специализирующиеся на информационной безопасности, имеющие лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.
Похожие публикации
23 октября 2024
В статье рассматриваются аспекты организации кадрового архива с учетом требований законодательства РФ по хранению юридически значимых документов.
14 октября 2024
Государственное унитарное предприятие «Топливно-энергетический комплекс Санкт-Петербурга» внедрил КЭДО на платформе Docsvision. В 2024 году проект получил диплом конкурса «Лучшие кадровые технологии Северо-западного округа-2024».
Подпишитесь на рассылку
Нажимая на кнопку «Отправить», вы даёте согласие на обработку ваших персональных данных, в соответствии с политикой «ДоксВижн» в отношении обработки персональных данных.