Применение электронного документооборота

 

 

 

 

 

2.2 Безопасность в системах управления документами

 

Обеспечение сохранности документов

СЭД должна обеспечить сохранность документов от потери и порчи и иметь возможность их быстрого восстановления. Статистика неумолима, в 45% случаев потери важной информации приходятся на физические причины (отказ аппаратуры, стихийные бедствия и подобное), 35% обусловлены ошибками пользователей и менее 20% - действием вредоносных программ и злоумышленников. Опрос аналитической компании Deloitte Touche, проведенный в начале 2006 г., показал, что более половины всех компаний сталкивались с потерей данных в течение последних 12 месяцев. 33% таких потерь привели к серьезному финансовому ущербу. Представители половины компаний, переживших потерю данных, заявляют, что причиной инцидента стал саботаж или халатное отношение к правилам информационной политики компании, и только 20% респондентов сообщили, что интеллектуальная собственность их компаний защищена должным образом. Всего 4% опрошенных заявило, что их работодатели обращают должное внимание на информационную политику компании. Что касается СЭД, то в эффективности ее защиты уверено только 24% участников опроса.

Так, например, СЭД, в основе своей использующие базы данных Microsoft SQL Server или Oracle, предпочитают пользоваться средствами резервного копирования от разработчика СУБД (в данном случае Microsoft или Oracle). Иные же системы имеют собственные подсистемы резервного копирования, разработанные непосредственно производителем СЭД. Сюда следует также отнести возможность восстановление не только данных, но и самой системы в случае ее повреждения.

Обеспечение безопасного доступа

Этот момент обычно все понимают под безопасностью СЭД, чем часто ограничивают понятие безопасности систем. Безопасный доступ к данным внутри СЭД обеспечивается аутентификацией и разграничением прав пользователя.

Для упрощения будем называть процессы установления личности пользователя и процессы подтверждения легитимности пользователя на то или иное действие или информацию одним термином - аутентификацией, понимая под ним весь комплекс мероприятий, проводимых как на входе пользователя в систему, так и постоянно в течении его дальнейшей работы.

Здесь необходимо заострить внимание на методах аутентификации. Самый распространенный из них, конечно, парольный. Основные проблемы, которые сильно снижают надежность данного способа - это человеческий фактор. Даже если заставить пользователя использовать правильно сгенерированный пароль, в большинстве случаев его можно легко найти на бумажке в столе или под клавиатурой, а особо «талантливые» обычно прикрепляют ее прямо на монитор.

Самый старый из известных миру способов аутентификации - имущественный. В свое время полномочия владельца сундука подтверждались ключами, сегодня прогресс ушел далеко вперед, и полномочия пользователя подтверждаются специальным носителем информации. Существует множество решений для имущественной аутентификации пользователя: это всевозможные USB-ключи, смарт-карты, «таблетки» магнитные карты, в том числе используются и дискеты, и CD. Здесь также не исключен человеческий фактор, но злоумышленнику необходимо также заполучить сам ключ и узнать PIN-код.

Максимально надежный для проведения идентификации и последующей аутентификации способ - биометрический, при котором пользователь идентифицируется по своим биометрическим данным ( это может быть отпечаток пальца, сканирования сетчатки глаза, голос). Однако в этом случае стоимость решения выше, а современные биометрические технологии еще не настолько совершенны, чтобы избежать ложных срабатываний или отказов.

Еще один важный параметр аутентификации - количество учитываемых факторов. Процесс аутентификации может быть однофакторным, двухфакторным и т.д. Также возможно комбинирование различных методов: парольного, имущественного и биометрического. Так, например, аутентификация может проходить при помощи пароля и отпечатка пальца (двухфакторный способ).

Разграничения прав пользователя

В любой системе обязательно должно быть предусмотрено разграничение прав пользователя - и чем гибче и детальнее, тем лучше. Пусть потребуется большее время на настройку, но в итоге мы получим более защищенную систему. Разграничение прав внутри системы технически устраивают по-разному: это может быть полностью своя подсистема, созданная разработчиками СЭД, или подсистема безопасности СУБД, которую использует СЭД. Иногда их разработки комбинируют используя свои разработки и подсистемы СУБД. Такая комбинация предпочтительнее, она позволяет закрыть минусы подсистем безопасности СУБД, которые также имеют «дыры».

Конфиденциальность

Огромным преимуществом для конфиденциальности информации обладают криптографические методы защиты данных. Их применение позволят не нарушить конфиденциальность документа даже в случае его попадания в руки стороннего лица. Не стоит забывать, что любой криптографический алгоритм обладает таким свойством как криптостокойсть, т.е. и его защите есть предел. Нет шифров, которые нельзя было бы взломать - это вопрос только времени и средств. Те алгоритмы, которые еще несколько лет назад считались надежными, сегодня уже успешно демонстративно взламываются. Поэтому для сохранения конфиденциальности убедитесь, что за время, потраченное на взлом зашифрованной информации, она безнадежно устареет или средства, потраченные на ее взлом, превзойдут стоимость самой информации.

Кроме того, не стоит забывать об организационных мерах защиты. Какой бы эффективной криптография не была, ничто не помешает третьему лицу прочитать документ, например, стоя за плечом человека, который имеет к нему доступ. Или расшифровать информацию, воспользовавшись ключом который валяется в столе сотрудника.

Обеспечение подлинности документов

Сегодня основным и практически единственным предлагаемым на рынке решением для обеспечения подлинности документа является электронно-цифровой подписи (ЭЦП). Основной принцип работы ЭЦП основан на технологиях шифрования с ассиметричным ключом. Т.е. ключи для шифрования и расшифровки данных различны. Имеется «закрытый» ключ, который позволяет зашифровать информацию, и имеется «открытый» ключ, при помощи которого можно эту информацию расшифровать, но с его помощью невозможно «зашифровать» эту информацию. Таким образом, владелец «подписи» должен владеть «закрытым» ключом и не допускать его передачу другим лицам, а «открытый» ключ может распространяться публично для проверки подлинности подписи, полученной при помощи «закрытого» ключа.

Для наглядности ЭЦП можно представить как данные, полученные в результате специального криптографического преобразования текста электронного документа. Оно осуществляется с помощью так называемого «закрытого ключа» - уникальной последовательности символов, известной только отправителю электронного документа. Эти «данные» передаются вместе с текстом электронного документа его получателю, который может проверить ЭЦП, используя так называемый «открытый ключ» отправителя - также уникальную, но общедоступную последовательность символов, однозначно связанную с «закрытым ключом» отправителя. Успешная проверка ЭЦП показывает, что электронный документ подписан именно тем, от кого он исходит, и что он не был модифицирован после наложения ЭЦП.

Таким образом, подписать электронный документ с использованием ЭЦП может только обладатель «закрытого ключа», а проверить наличие ЭЦП - любой участник электронного документооборота, получивший «открытый ключ», соответствующий «закрытому ключу» отправителя. Подтверждение принадлежности «открытых ключей» конкретным лицам осуществляет удостоверяющий центр - специальная организация или сторона, которой доверяют все участники информационного обмена. Обращение в удостоверяющие центры позволяет каждому участнику убедиться, что имеющиеся у него копии «открытых ключей», принадлежащих другим участникам (для проверки их ЭЦП), действительно принадлежат этим участникам.

Большинство производителей СЭД уже имеют встроенные в свои системы, собственноручно разработанные или партнерские средства для использования ЭЦП, как, например, в системах Directum или «Евфрат-Документооборот». Такой тесной интеграции с ЭЦП немало способствовал и выход федерального закона о ЭЦП (№1-ФЗ от 10.01.2002г.) в котором электронная цифровая подпись была признана имеющий юридическую силу наряду с собственноручной подписью. Стоить заметить, что согласно законам РФ, свою систему электронной цифровой подписью может разрабатывать только компания, имеющая на это соответствующую лицензию от ФАПСИ (ныне от ФСБ). Равно как и компания, использующая  в своих разработках ЭЦП, должна иметь лицензию от органов государственной власти.

Протоколирование действий пользователей - немаловажный пункт в защите электронного документооборота. Его правильная реализация в системе позволит отследить все неправомерные действия и найти виновника, а при оперативном вмешательстве даже пресечь попытку неправомерных или наносящих вред действий. Такая возможность обязательно должна присутствовать в самой СЭД. Кроме того, дополнительно можно воспользоваться решениями сторонних разработчиков и партнеров, чьи продукты интегрированы с СЭД. Говоря о партнерских решениях, прежде всего речь идет о СУБД и хранилищах данных,  любой подобный продукт крупных разработчиков, таких как Microsoft или Oracle, наделен этими средствами. Также не стоит забывать о возможностях операционных систем по протоколированию действий пользователей и решениях сторонних разработчиков в этой области.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

 

В конце своей курсовой работы я хотел бы подвести итоги. Во-первых, использование электронных систем, рассмотренных мною, положительно влияет на организацию документооборота, а также на успехи предприятия в целом. Так, например, у компаний, имеющих собственные интрасети, есть возможность использовать их для дальнейшего развития систем управления и обработки электронных документов. Можно превратить все бумажные документы в электронные и сосредоточить их в базе данных главного офиса, обеспечив к ним доступ по интрасети всем сотрудникам фирмы, а по Internet - ее клиентам. Это позволит снизить затраты на распространение бумажной документации за счет публикации необходимой информации в Internet и интрасети и повысить эффективность работы с документами служащих компании. Таким же образом можно сэкономить на бумаге, ускорить темпы документооборота. Существуют, правда, некоторые недостатки: слишком дорогое оборудование, которое далеко не каждая организация может приобрести, и причина, которая может замедлить развитие средств управления документами на базе Web, - это риск, связанный с недостаточной защитой информации в системе Web. Во-вторых, использование электронной почты, позволяет быстро обмениваться различной информацией, документами между пользователями. В-третьих, целостность и сохранность документов в электронном виде может обеспечить система корпоративного архива. Его преимущества заключается в том, что многие операции автоматические, такие как классификация, аннотирование и создание регистрационной карточки документа, поиска и выборки электронного образа документа по значению его регистрационных атрибутов либо по текстовому содержанию и другие. В корпоративном архиве может храниться огромное количество документов, в отличие от бумажных их качество не может испортиться. В результате проделанной работы я пришёл к выводу, что современные организации, фирмы, предприятия, используя рассмотренные мною электронные системы управления документооборотом, могут сократить расходы, время и повысить качество работы как в сфере делопроизводства, так и на предприятии в целом.

 

 

 

 

 

Список использованной литературы

 

1. Кудряев В.А. Организация работы с документами. – М.: Инфра-М. - 2008. 432с.
2. Кузнецова Т.В. Делопроизводство (документационное обеспечение управления) 3-е изд. испр. и дополн. М. - 2007. – 384 с.
3. Кудряев В.А. Организация работы с документами. – М.: Инфра-М. - 2008. – 432с.
4. Кудряев В.А. Организация работы с документами., М., 2006г.
5. Кудряев В.А. Организация работы с документами. - М, 2007г
6. Гомола А.И., и др. Жаннин П.А. «Бизнес-планирование» М: Дрофа, 2007 г.
7. Ильченко А.Н. и др. «Организация и планирование производства», М: издательский центр «Академия», 2007 г.
8. Карпенко Е.А. «Экономика отрасли» М: Дрофа, 2007 г.
9. Кузнецова Т.В. Делопроизводство. -М: Изд-во ЮНИТИ, 2006г.
10. Котерова Н.П. «Микроэкономика», М: издательский центр «Академия», 2007 г.
11. Кнышова Е.Н. «Экономика отрасли: торговля и общественное питание», М: ИНФА-М:Альфа-М, 2006 г.
12. Кудина М.В. «Основы экономики», М: ИНФА-М: ФОРУМ, 2007 г.
13. Магомедов М.Д., «Экономика отрасли пищевых производств», М:ИТК «Дашков»,2007г.
14. Михайлушкин Л.И., «Бизнес-планирование», М:издательский центр «Академия», 2007 г
15. Пивоваров К.В. «Планирование на предприятии», М: Дрофа, 2007 г.
16. Чуев И.Н., Чуева Л.Н. «Экономика предприятия», М: ИНФА-М: ФОРУМ, 2007 г.
17. http://cognitive.ru/products/euph-doc/
18. http://www.optima-workflow.ru/
19. http://www.lanit.ru/search/index.php?q=LanDocs&s=
20. http://www.boss-referent.ru/about/
21. http://www.directum.ru/315412.aspx
22. http://www.naudoc.ru/
23. http://www.eos.ru/eos_products/eos_delo/