В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Виктор Ивановский,
администратор безопасности компьютерных сетей управления безопасности компании "Северо-Западный Телеком", MCTS, MCSA, МСТ.
Вопрос, который сразу же возникает у любого специалиста при переходе компании от бумажного документооборота к электронному, - каким образом мы будем защищать сведения, составляющие коммерческую тайну?
В традиционной канцелярии способы защиты сводятся к организационным мерам - простановке грифов и проверке прав каждого сотрудника на допуск к тем или иным сведениям. Утечка сведений может произойти только при физическом доступе к конкретному документу. При этом ответственность за соблюдение режима конфиденциальности ложится на лица, на хранении у которых находятся документы. Совсем по-другому обстоит дело, когда в организации планируется переход на систему ЭДО. Бумажные экземпляры документов заменяются на электронные, которые хранятся либо в виде отдельных файлов на общедоступном сетевом ресурсе, либо в составе единой базы данных (БД). Фактически объектом защиты становятся не отдельные разрозненные документы, а единая информационная система.
Перед персоналом, занимающимся внедрением или разработкой решения системы ЭДО, как правило, ставятся следующие задачи:
Какие имеются способы для их решения?
Сразу обозначим границу - речь не будет идти о секретных сведениях, нормы работы с которыми регламентируются соответствующими документами. Мы будем рассматривать случаи, когда в организациях используются:
Первый способ - самый простой - пригоден для реализации в небольших компаниях с небольшим объемом документов. В этих условиях достаточно задавать разрешения на работу с каждым конкретным документом при его создании.
В данном случае ответственность за конфиденциальность ложится на исполнителя и на прямую зависит от того, как он задаст список доступа к файлу.
Способы реализации - задание прав доступа к файлам на уровне файловой системы либо с помощью Microsoft Right Management Service. Минусом данного решения является жесткая привязка к Active Directory, что ограничивает возможности по расширению системы за рамки компании.
Второй способ - использование корпоративных почтовых систем в связке с аппаратно-программными комплексами, осуществляющими шифрование и подпись документов. По сути, он представляется плавным переходом от одиночных файлов к БД. Защиту передачи файлов обеспечивает шифрование, идентификацию отправителя и целостность файла - проставленная ЭЦП. При этом мы уходим от привязки к Active Directory, но идеология защиты остается практически на том же уровне, что и в первом случае. С конкретным документом работает все тот же исполнитель. Если же осуществляется выход за рамки домена, появляется вероятность ошибки при назначении получателей зашифрованных файлов. Лишний адресат в строке получателей, и как результат - утечка сведений.
Тем не менее данный подход считается одним из самых популярных. Модули для работы с почтовыми программами входят в состав многих СКЗИ, временные затраты на их встраивание и обслуживание минимальны, а действия, которые необходимо выполнять конечным пользователям, интуитивно понятны.
Третий способ - организация полноценной БД. Здесь возможны следующие варианты:
В объединении с аппаратно-программными комплексами СКЗИ данный подход считается наиболее защищенным и гибким для применения как в рамках одной организации, так и в масштабе нескольких компаний.
Для каждого конкретного случая решение индивидуально, но является развитием одного из вышеописанных подходов. Следует обратить внимание на два ключевых момента.
Эффективность разработанных мер по защите конфиденциальных сведений будет напрямую зависеть от подхода компании к проведению подготовительных мероприятий.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2009