Введение
.docx
Список законов и государственных стандартов представлен здесь не полно, кроме указанных существует еще ряд постановлений, указов, писем, стандартов, для описания которых потребуется, наверное, отдельный выпуск журнала. Следует заметить, что работа в правом регулирования области ИТ продолжается и сейчас. В Государственной думе во втором чтении был принят законопроект нового закона «Об информации, информационных технологиях и о защите информации». Данный проект закона определяет порядок сбора, передачи, производства и распространения информации в РФ, использования информационно-телекоммуникационных сетей, устанавливает ответственность за нарушения в сфере информтехнологий и коммуникаций. Вводятся новые понятия («обладатель информации», «информационная технология», «оператор информационной системы» и другие), обеспечивающие однозначное толкование законодательных норм. За обладателем информации закрепляются исключительные права на определение доступа к информационным ресурсам и их использование. Законопроект вводит классификацию информации по критериям доступности и способам распространения. Фиксируется «презумпция открытости информации о деятельности государственных органов и органов местного самоуправления». В проекте закона записано, что «право на доступ к какой-либо информации не может быть использовано для насильственного изменения основ конституционного строя, нарушения территориальной целостности РФ, создания угроз обороне страны, безопасности государства и охране правопорядка». Поправки о запрете использования импортного программного оборудования (ПО) на стратегических объектах России были отклонены депутатами Государственной Думы.
Реальность жизни
Основное проблемное место при организации защиты СЭД, как отмечают большинство разработчиков систем защиты, это не технические средства, а лояльность пользователей. Как только документ попадает к пользователю, конфиденциальность этого документа по отношению к пользователю уже нарушена. Техническими мерами в принципе невозможно предотвратить утечку документа через этого пользователя. Он найдет множество способов скопировать информацию, от сохранения его на внешний носитель до банального фотографирования документа с помощью камеры, встроенной в сотовый телефон. Основные средства защиты здесь — это организационные меры по ограничению доступа к конфиденциальным документам и работы с самим пользователем. Он должен понимать степень своей ответственности, которую несет перед организацией и законом Российской Федерации.
Системы российских разработчиков условно можно поделить на две группы — ориентированные на коммерческое использование (Directum, «Ефрат-документооборот», LanDoc, Optima-WorkFlow) и ориентированные на использование в государственных структурах («Гран-Док» и «Золушка»). Это не означает, что их применение строго ограничено, некоторые системы вполне успешно применяются как в государственных структурах, так и в коммерческих организациях. Просто каждая их этих групп имеет свою специфику не только в технологиях организации документооборота и делопроизводства, но и свои отличительные черты в системах защиты.
Основное отличие в системах защиты — это алгоритмы, применяемые в шифровании и ЭЦП К сожалению, пока вопрос защищенности систем документооборота только начинает интересовать конечных пользователей и разработчиков соответственно. Практически все системы обладают парольной аутентификацией и разграничением доступа пользователей. Некоторые из них имеют также возможности интеграции с Windows-аутентификацией, что дает возможность пользоваться дополнительными средствами аутентификации, поддерживаемыми Windows. Не все из перечисленных решений имеют свою криптографическую защиту — шифрование документов или ЭЦП. В ряде продуктов это возможно только при помощи дополнительных средств сторонних разработчиков.
Подход к защите электронного документооборота должен быть комплексным. Необходимо трезво оценивать возможные угрозы и риски СЭД и величину возможных потерь от реализованных угроз. Как уже говорилось, защиты СЭД не сводится только лишь к защите документов и разграничению доступа к ним. Остаются вопросы защиты аппаратных средств системы, персональных компьютеров, принтеров и прочих устройств; защиты сетевой среды, в которой функционирует система, защита каналов передачи данных и сетевого оборудования, возможно выделение СЭД в особый сегмент сети. Комплекс организационных мер играют роль на каждом уровне защиты, но им, к сожалению, часто пренебрегают. А ведь здесь и инструктаж, и подготовка обычного персонала к работе с конфиденциальной информацией. Плохая организация может свести к нулю все технические меры, сколь совершенны они бы не были.