Виктор Ивановский
Действия сотрудников подразделений внутренней (или информационной) безопасности описаны в Федеральном законе № 98–ФЗ "О коммерческой тайне" от 29 июля 2004 г., где в общих словах определено, какие сведения подпадают под "коммерческую тайну" и какими способами владелец информации может ее защищать (ст. 10 "Охрана конфиденциальности информации"; ст. 11 "Охрана конфиденциальности информации в рамках трудовых отношений").
Классический подход к оценке безопасности информационной системы сводится к определению приоритетов трех критериев – доступности, конфиденциальности и целостности. Если в базе данных хранятся сведения общего доступа, на первое место выходит первый параметр – "доступность". Остальные два будут иметь меньший приоритет, с точки зрения разработчика. Когда же появляются сведения, составляющие коммерческую тайну (в соответствии с упомянутым законом № 98–ФЗ и внутренними распорядительными документами), "доступность" отходит на второй план и уступает место "конфиденциальности".
Вопрос, который сразу же возникает у любого специалиста при переходе компании от бумажного документооборота к электронному, – каким образом мы будем защищать сведения, составляющие коммерческую тайну?
От теории к практике В традиционной канцелярии способы защиты сводятся к организационным мерам – простановке грифов и проверке прав каждого сотрудника на допуск к тем или иным сведениям. Утечка сведений может произойти только при физическом доступе к конкретному документу. При этом ответственность за соблюдение режима конфиденциальности ложится на лица, на хранении у которых находятся документы. Совсем по-другому обстоит дело, когда в организации планируется переход на систему ЭДО. Бумажные экземпляры документов заменяются на электронные, которые хранятся либо в виде отдельных файлов на общедоступном сетевом ресурсе, либо в составе единой базы данных (БД). Фактически объектом защиты становятся не отдельные разрозненные документы, а единая информационная система.
Задачи и пути решения Перед персоналом, занимающимся внедрением или разработкой решения системы ЭДО, как правило, ставятся следующие задачи:
- максимально защитить конфиденциальные сведения;
- минимизировать затраты на внедрение;
- по возможности задействовать существующие в компании информационные системы. Какие имеются способы для их решения?
Сразу обозначим границу – речь не будет идти о секретных сведениях, нормы работы с которыми регламентируются соответствующими документами. Мы будем рассматривать случаи, когда в организациях используются:
- типовые ограничения "для служебного пользования";
- другие ограничения, определенные внутри компании, но не подпадающие под "государственные" грифы секретности. Первый способ – самый простой – пригоден для реализации в небольших компаниях с небольшим объемом документов. В этих условиях достаточно задавать разрешения на работу с каждым конкретным документом при его создании. В данном случае ответственность за конфиденциальность ложится на исполнителя и напрямую зависит от того, как он задаст список доступа к файлу.
Способы реализации – задание прав доступа к файлам на уровне файловой системы либо с помощью Microsoft Right Management Service. ............