Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Делопроизводство и архив
  3. Информационные технологии

Способы обеспечения защиты документов в СЭД

0
Журнал «Делопроизводство и документооборот на предприятии» № 2 / 2025
Лариса Иванова
эксперт по управлению документами, бизнес-тренер
Какой функционал системы электронного документооборота не только повышает удобство ее использования, но и работает на информационную безопасность организации: как организовать распределение прав доступа, что дает протоколирование действий пользователей, что помешает удалить нужный документ, когда поможет штрихкодирование и шифрование документов, зачем сохранять все версии проекта документа, какими электронными подписями снабдить пользователей.

Потеря данных информационной системы или их несанкционированное изменение может очень дорого стоить организации. Достичь необходимого уровня информационной безопасности организации помогут следующие возможности системы электронного документооборота (СЭД):

  • распределение прав доступа к документам, согласно определенным правилам и полномочиям сотрудников (по зонам их ответственности);
  • исключение несанкционированного доступа к документам;
  • возможность шифрования при подписании наиболее важных документов с помощью неквалифицированной или квалифицированной электронной подписи (УНЭП или УКЭП). Ведь простая электронная подпись (ПЭП) не подразумевает шифрования документа;
  • исключение рисков подмены документов за счет применения штрихкодирования;
  • ведение протокола работы пользователей и выявление авторов преобразований документов;
  • защищенность хранения электронных документов;
  • хранение всех версий документов, которые создаются в процессе обработки.

Далее поясним эти тезисы подробнее.

Распределение прав доступа к документам

Распределение прав доступа к документам можно осуществлять на этапе заведения сотрудника в СЭД. При создании карточки сотрудника, заполнении его должности, подразделения также можно заполнять данные об аутентификации сотрудника в системе при помощи ПЭП (логин + пароль) и определять его полномочия в СЭД.

Это могут быть полномочия администратора системы, руководителей подразделений, делопроизводителей, ответственных за справочную информацию, ответственных за электронный документооборот, имеющих право подписи документов, создаваемых определенным структурным подразделением, и др. От набора ролей будет зависеть доступность тех или иных данных системы.

Доступ ко всем данным по умолчанию должен быть запрещен и разрешается по запросу руководителей подразделений.

Исключение несанкционированного доступа к документам

Исключение несанкционированного доступа к документам в СЭД реализуется за счет того, что доступ к документам в системе получают только те сотрудники, которые имеют к ним какое-либо отношение, например:

  • участвуют в обработке документа;
  • получили документ на исполнение.

Список сотрудников, имеющих доступ, может отображаться в карточке документа. Можно запретить автоматическое расширение доступа в разрезе шаблона документа, ограничив доступ заранее указанным перечнем сотрудников.

Если в СЭД используются грифы ограничения доступа, то при автоматическом расширении проверяется наличие у добавленных сотрудников доступа к грифу. Как СЭД «поймет», кто имеет допуск? Например, в карточку каждого используемого грифа можно выбирать определенных лиц из списка пользователей СЭД.

Обработка документов ограниченного доступа (например, для служебного пользования, иных конфиденциальных) в СЭД возможна только в случае специальной сертификации платформы, на которой функционирует программа.

Рисунок 1. Карточка грифа ДСП в «1С:Документооборот»

Возможность шифрования при подписании документов с помощью УНЭП и УКЭП

Подписание документа усиленной электронной подписью (квалифицированной или неквалифицированной) позволяет подтвердить авторство и обеспечить целостность документа, т.е. можно убедиться, что после его подписания при помощи УКЭП или УНЭП в него не вносились изменения. Так как эти 2 вида ЭП основаны на криптографическом преобразовании информации с использованием ключа ЭП.

При подписании документа простой ЭП (логин + пароль) за его целостность и авторство отвечает уже сама СЭД.

Связанный материал
Внедрение простой электронной подписи: шаг за шагом
№ 12 / 2024

В статье «Внедрение простой электронной подписи: шаг за шагом» в № 12’ 2024: алгоритм внедрения ПЭП, способы визуализации ЭП на документах, примеры Положения об использовании простой ЭП в организации, а также согласия работника на признание равнозначности его простой ЭП собственноручной подписи на бумажном носителе
Связанный материал
Механизм использования электронной подписи и метки доверенного времени
№ 01 / 2024

УКЭП выгодно отличает тот факт, что без оформления сторонами каких-то дополнительных соглашений электронный документ, подписанный УКЭП, признается равнозначным бумажному документу с собственноручной подписью. Но ее широкое применение ограничивается стоимостью, поэтому сейчас:

  • первое лицо (обычно гендиректор) организации имеет бесплатную УКЭП (большинство организаций получает ее в удостоверяющем центре Федеральной налоговой службы России);
  • в организациях, где внедрена СЭД, другие ключевые руководители и специалисты обладают УКЭП, выданной в коммерческом аккредитованном удостоверяющем центре за плату;
  • остальные пользователи СЭД используют либо УНЭП (которую бесплатно формируют ИТ-специалисты работодателя), либо ПЭП (сочетание логина и пароля в СЭД).

Кроме того, можно специально зашифровать электронный документ / файл, что обеспечит его конфиденциальность. Некоторые СЭД позволяют подписывать документ усиленной электронной подписью совместно с шифрованием. Таким образом можно зашифровать и расшифровать любой файл документа, и система предлагает выбрать сертификаты пользователей, которые смогут расшифровать файл.

Шифрование полезно и при передаче документов, и при их хранении. Так, даже если при передаче документа по электронной почте он будет перехвачен, то расшифровать файл сторонним лицам не удастся, т.к. это невозможно без доступа к закрытому ключу одного из сертификатов, которым был зашифрован файл. При хранении же, если ограничить доступ к документу в СЭД, то файл документа все равно останется доступен администратору на уровне файловой системы. И только если зашифровать файл, его не смогут прочитать сторонние лица.

Но важно знать возможные ограничения при шифровании, а именно:

  • на зашифрованные файлы не распространяется полнотекстовый поиск в рамках СЭД;
  • зашифрованный файл невозможно редактировать;
  • в СЭД может быть предусмотрено шифрование всех версий документа;
  • зашифрованный файл можно скопировать, копия также будет зашифрованной;
  • зашифрованный файл нельзя подписать электронной подписью. Поэтому сначала необходимо подписать документ, а потом его зашифровать. Тогда подпись в дальнейшем можно проверять, файл при этом будет оставаться зашифрованным.

Защищенность хранения документов

Максимальная защищенность хранения электронных документов обеспечивается прежде всего подписанием усиленной электронной подписью, но даже подписание простой электронной подписью уже гарантирует определение, кто подписал документ и время подписания документа, силами информационной системы, в которой была произведена эта операция.

Использование функционала учета дел по номенклатуре дел и привязка документов к делам дает дополнительную гарантию их сохранности. В карточке электронного дела фиксируется срок хранения, который распространяется на все электронные документы, привязанные к данному делу (см. Рисунок 2).

Обычно в СЭД есть функция уничтожения документов, которая становится доступна только после внесения электронных дел в акт о выделении документов к уничтожению, куда включаются только документы с истекшими сроками хранения.

Возможность удаления документов из СЭД дается ограниченному кругу лиц и данные действия в системе протоколируются.

Рисунок 2. Определение сроков хранения документов по номенклатуре дел в «1С:Документоооборот»

Ведение протокола действий пользователей

В любой СЭД ведется протокол всех действий каждого пользователя (см. Рисунок 3). Эти сведения доступны администратору СЭД.

СЭД протоколирует такие ключевые действия пользователей, как:

  • вход и выход из системы;
  • создание, изменение файла / документа / состава комплекта документов / прав доступа и др.;
  • импорт, перемещение файлов, отправка по почте;
  • все виды поиска;
  • просмотр;
  • расшифровывание и зашифровывание файла, смена свойства сертификата, обязательного для шифрования, и др.

Рисунок 3. Протоколирование действий пользователей в «1С:Документооборот»

Хранение всех версий документа

Удобно, когда в СЭД сохраняются все версии проекта документа и есть возможность вернуться к любой предыдущей версии файла даже после множества изменений, сделав ее активной. И даже при возврате к прошлой версии все существующие версии остаются в системе.

Удобной также является функция сравнения версий для выявления отличий: добавлений, удалений, изменений текста (в Word этот функционал находится в режиме рецензирования, но хорошо, когда СЭД это умеет делать сама).

Применение штрихкодирования

Что касается штрихкодирования, то оно используется в делопроизводстве уже давно для быстрого поиска и использования документов. Для обеспечения неизменности в СЭД может быть промаркирована штрих-кодом согласованная версия проекта документа, которая в дальнейшем направляется на подписание.

Штрих-код может содержать цифры либо быть без отображения цифр. Место его расположения определяется в настройках.

QR-код является разновидностью кодирования, в системе может применяться и он. Ни на что, кроме способа визуализации, это не влияет.

Рисунок 4. Выбор варианта расположения штрих-кода на странице документа

Теперь вы знаете, какой ассортимент функциональных решений может обеспечивать защиту документам в современной СЭД. Это поможет специалисту по управлению документами при выборе СЭД или доработке существующей системы.

Мы намеренно обошли стороной чисто «технические фишки», за которые отвечают ИТ-специалисты. Однако напомним, что согласно Требованиям к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 01.11.2012 № 1119) во многих организациях, в которых в информсистемах обрабатываются персданные, должен быть назначен штатный ответственный за информационную безопасность, а в некоторых случаях обязательно должен быть сформирован специальный отдел по защите персональных данных.

Связанный материал
Кто и как отвечает в организации за работу с персональными данными
№ 04 / 2024

В статье «Кто и как отвечает в организации за работу с персональными данными» в № 4’ 2024: показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными и его обязанности в должностной инструкции, а также как оформить перечень работников, допущенных к этим данным (приказ и формулировки для их должностных инструкций)
Оценить статью
0 Коментариев
s
В избранное
Версия для печати
Отправить по почте

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Внедрение простой электронной подписи: шаг за шагом

Делопроизводство и архив
№ 12 / 2024
Современное делопроизводство

Опыт крупной организации по внедрению простой электронной подписи (ЭП) для перевода в цифру внутренних документов изложен в виде оптимального порядка действий (кто что должен сделать). Разбираются варианты визуализации на документах квалифицированной и простой ЭП. Зачем работодателю выпускать сертификат для простой ЭП. Как обозначить круг документов и действия с ними, для которых можно применять простую ЭП. Опубликованы примеры приказа о внедрении новой технологии и Положения об использовании простой ЭП в организации, а также согласия работника на признание равнозначности его простой ЭП собственноручной подписи на бумажном носителе.

Ксения Литвинова
начальник управления делами АО «ВНИИЖТ»

Роль стандарта на метаданные в эффективном управлении документами

Делопроизводство и архив
№ 08 / 2024
Информационные технологии

1 мая 2024 года вступил в силу новый ГОСТ Р 7.0.109–2024 о метаданных. Главная ценность этой статьи в том, что она написана одним из его разработчиков. Таким образом, вы получаете информацию «из первых рук»: для чего он разработан, что в нем есть.

Анна Бороздина
заместитель заведующего отделом документоведения Всероссийского научно-исследовательского института документоведения и архивного дела

Как оптимизировать регистрацию протоколов в СЭД

Делопроизводство и архив
№ 08 / 2024

Насколько важно и чем обусловлено, что регистрировать протоколы необходимо в рамках деятельности одной комиссии? Мы хотим переместить регистрацию всех протоколов в СЭД. Так как у нас могут создаваться разные комиссии, с целью оптимизации разновидности протоколов мы хотим ввести 1 вид – протокол заседания комиссии, добавить поле ввода названия комиссии и присваивать регистрационные номера протоколам комиссий в валовом порядке. То есть в разновидности протокола комиссии будут, например, отражены наименования: протокол заседания аттестационной комиссии, протокол заседания экспертной комиссии, протокол заседания комиссии по заселению и т.д. При этом у протоколов будут разные сроки хранения (здесь видимо придется вручную раскладывать по папкам). Можно ли использовать такой подход для регистрации?

Вера Иритикова
профессиональный управляющий документами, документовед, приглашенный лектор Российской академии народного хозяйства и государственной службы при Президенте РФ

Структура метаданных по ГОСТ Р 7.0.109–2024: применение методики

Делопроизводство и архив
№ 08 / 2024
Информационные технологии

Как сгруппированы метаданные о документе в новом ГОСТ, какой подход использовался ранее. На примере приказа по основной деятельности показали, какие метаданные о реквизитах этого документа, о действиях с ним, а также чисто технические метаданные стоит предусмотреть в СЭД, СХЭД или иной специальной системе.

Вера Иритикова
профессиональный управляющий документами, документовед, приглашенный лектор Российской академии народного хозяйства и государственной службы при Президенте РФ

Как загрузить документы в СЭД

Делопроизводство и архив
№ 07 / 2021
Современное делопроизводство

Описан ассортимент решений, которые сейчас используются для создания или «заглатывания» готовых документов в СЭД: их можно создавать по шаблонам; загружать готовые файлы; работать с комплектом файлов, из которых состоит один документ; автоматически распознавать текст отсканированного документа, чтобы СЭД сама заполнила часть полей для его регистрационной карточки (РКК) и смогла потом осуществлять полнотекстовый поиск, а не только по тем полям, что есть в РКК; как штрихкоды помогают организовать потоковое сканирование входящих документов. Эти современные возможности показаны на примерах из СЭД «1С: Документооборот».

Лариса Иванова
ведущий эксперт по документообороту отдела разработки программ документооборота фирмы «1С»
Руслан Кудабаев
руководитель направления 1С отдела продаж и внедрения систем электронного документооборота компании СофтЭксперт

Кто и как отвечает в организации за работу с персональными данными

Делопроизводство и архив
№ 04 / 2024
Современное делопроизводство

Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.

Юлия Жижерина
юрист по трудовому праву

Что препятствует массовому переходу организаций к безбумажной модели документооборота

Делопроизводство и архив
№ 12 / 2022
Информационные технологии

Приведен список из более 60 действующих нормативных правовых и методических документов в сфере управления документами, которые мы систематизировали по 6 разделам: требования к документированию деятельности, автоматизации, работе с документами и данными, их хранению, работе с электронными документами и подписями и др. Авторы статьи рассматривают причины, по которым данная система регламентации и существующие подходы в СЭД пока не позволяют массово внедрить безбумажную модель документооборота. Предложено сформировать эталонную модель цифрового документооборота электронных подлинников документов (с готовыми решениями вместо перечня правил) в виде отечественного стандарта. Его разработкой уже занимается экспертная компания «ДокМенеджмент Консалт», рассказываем, какие пробелы он призван восполнить, какие конкретные методики работы воплотить.

Елена Скрипко
руководитель научно-методического центра и направления образовательных программ ООО «ДокМенеджмент Консалт», член международной некоммерческой профессиональной ассоциации ARMA International
Софья Ульянцева
к.и.н., генеральный директор ООО «ДокМенеджмент Консалт», доцент кафедры документоведения, аудиовизуальных и научно-технических архивов ИАИ РГГУ

Трансформация согласования распорядительных документов в макрорегиональном филиале телекоммуникационной компании

Делопроизводство и архив
№ 03 / 2021
Современное делопроизводство

Показана трансформация алгоритма согласования проектов распорядительных документов в крупной компании на протяжении 15 лет: что вводили, от чего и почему отказывались, к чему пришли. Предлагаем вам этот богатый ассортимент решений с оценкой их последствий: что может делать нормоконтроль и его место в процедуре согласования и подписания проектов документов; что можно запараллелить; как оформить матрицу согласования проектов документов (кого в нее включить и кого вывести в особую логику внутреннего согласования); какие сроки согласования установить в зависимости от объема документа; какие варианты положительной визы можно заложить в СЭД; как уменьшить число кругов согласования и создать схему разрешения разногласий, заставив согласующих лиц быстрее приходить к консенсусу, чтобы избавить от лишних хлопот службу ДОУ и руководителя, подписывающего проект документа.

Валентина Кирьёнен
ведущий специалист по нормоконтролю производственной компании, автор образовательной программы «Мастер эффективных документов» в Уральском федеральном университете, филолог