Владение передовыми технологиями, повышающими качество товаров и услуг, одновременно снижающими их себестоимость, гибкие управленческие методики, «особые» знания серьезно повышают конкурентоспособность коммерческой компании. Возникает необходимость проводить комплекс работ по защите конфиденциальной и иной информации, которая не должна попасть конкурентам или стать достоянием общественности.
Основой информационной деятельности современных компаний становится информация различных видов: технологии, методики, патенты, лицензии, сведения о сущности изобретения, маркетинговые исследования, персональные данные, профессиональная тайна и другие. Несанкционированное использование данной информации может нанести ущерб бизнесу.
Сейчас все больше корпоративной информации, в том числе и конфиденциальной, обрабатывается и хранится в информационных системах. Поэтому задача обеспечения безопасности и сохранности данных в информационных системах приобретает все большую значимость. Секретные коммерческие сведения и конфиденциальная информация требуют реализации комплекса мер по сохранению и защите от третьих лиц.
В этой статье рассматривается, каким образом можно организовать оперативный контролируемый доступ к конфиденциальной информации и коммерческой тайне, одновременно обеспечивая безопасность и защищенность работы с данными.
ЭБС Biblio STOR-M — гарантия безопасности информации
Электронная библиотечная система Biblio STOR-M — это информационная система класса ECM (Enterprise content management), позволяющая создать корпоративную электронную библиотеку, в которой пользователям предоставляется доступ к контенту и инструментам для поддержания библиотечных процессов. В то же время ЭБС Biblio STOR-M обеспечивает надежный уровень защиты как общедоступной информации, так и информации ограниченного доступа.
ЭБС Biblio STOR-M позволяет сохранить целостность информации, защитить данные от третьих лиц, а также организовать контролируемый доступ к информации. Безопасность информации в системе обеспечивается следующими возможностями:
- Права, уровни доступа, гибкие ролевые политики. Система безопасности Biblio STOR-M отвечает за создание учтенных записей пользователей и ограничение прав доступа пользователей к контенту и его частям за счет создания гибко настраиваемых ролевых политик, позволяющих с любой степенью детализации определить права доступа к функциональности и контенту системы. Ролевые политики создаются в неограниченном количестве, а гибкие возможности их настройки позволяют администраторам корпоративной ЭБ продумать и реализовать собственную модель безопасности любой сложности.
- Защита от копирования. Для работы с текстом контента в системе используется специальная встроенная подсистема защищенного просмотра документов — «Viewer», которая позволяет только просматривать документ без возможности копирования его текстового содержимого, предоставляя для просмотра не текст документа, а лишь графические образы его страниц. Сам документ может быть закрыт на скачивание и печать с помощью ролевых политик, что фактически предоставляет рядовым пользователям единственный регламентированный канал получения информации — просмотр во «Viewer» корпоративной ЭБ.
- Шифрование и защита данных. Для обеспечения большей безопасности ЭБС Biblio STOR-M поддерживает технологии шифрования данных. Файловое хранилище может быть зашифровано аппаратным или программным модулем, что на физическом уровне исключает несанкционированный доступ к файлам при краже или компрометировании аппаратного обеспечения — сервера и/или жестких дисков.
- Предоставление доступа к контенту на время. Система Biblio STOR-M включает инструменты гибкого разграничения доступа пользователей к контенту на временной основе с помощью подсистемы «Управление процессами». Это позволяет сформировать пользователю ограниченную по времени задачу на ознакомление с конфиденциальным документом, при этом открывая доступ к данному документу (например, только на просмотр без возможности скачивания документа). После завершения задачи доступ к документу будет вновь ограничен.
- Формирование учтенных копий. Для организации доступа к контенту как в печатанном, так и в электронном виде используется инструмент управления учтенными (контролируемыми) копиями исходного документа. Данный инструмент позволяет формировать учтенные копии документов с нанесением на каждой странице экземпляра ключевой информации, например: № экземпляра, статус и версия документа, дата печати, подразделение и пользователь, распечатавший учтённый экземпляр, любые другие атрибуты, описывающие документ. При этом система ведет учет всех сформированных учтенных копий (учет создания, возвращения, потери и уничтожения данных копий) и формирует уведомления при изменении документа.
- Защита от удаления. При удалении пользователем данных в системе они перемещаются в корзину и могут быть восстановлены системным администратором в любой момент. Доступ к данной корзине имеет только системный администратор, таким образом, рядовые пользователи не имеют возможности безвозвратного удаления информации.
- Резервное копирование и восстановление данных. В ЭБС Biblio STOR-M создание резервных копий данных возможно как средствами СУБД, так и средствами самой системы. Создание резервных копий с помощью СУБД больше подходит для целей ежедневного резервного копирования информации из-за высокой скорости выполнения таких операций. А создание резервных копий средствами самой системы обеспечивает прозрачный перенос данных между разными СУБД или инсталляциями системы, так как файлы не привязаны к формату конкретной БД и могут быть восстановлены на любой другой конфигурации STOR-M.
Описанные выше инструменты обеспечивают безопасное хранение данных и управление информацией ограниченного доступа, в частности конфиденциальной информацией и коммерческой тайной. Это позволяет реализовать с помощью ЭБС Biblio STOR-M следующие популярные решения:
- Корпоративная электронная библиотека ограниченного доступа;
- Корпоративная электронная библиотека научно-технической информации;
- База знаний.
Комплексная защита информации
Для обеспечения эффективной безопасности информации в компании, особенно в корпоративных информационных системах, разрабатываются комплексные меры по защите данной информации, в основном выделяют три группы мер:
- Организационно-юридические. Подготовка организационно-распорядительной документации по вопросам защиты информации: инструкции, регламенты, приказы, методические указания.
- Технические:
- Защита от проникновения к технических средствам информационных систем с помощью инженерно-технических сооружений: заборов, дверей, замков, турникетов, сигнализаций, видеонаблюдения;
- Защита от несанкционированного доступа к информации с помощью реализации следующих способов: управление доступом, регистрация и учет пользователей, межсетевое экранирование, антивирусная защита, применение средств обнаружения и предотвращения вторжений;
- Криптографические методы защиты информации.
- Методы работы с кадрами:
- Проведение инструктажа и разъяснений о важности сохранения конфиденциальной информации;
- Строгий контроль доступа, сохранений безопасности при увольнении сотрудников;
- Применение специализированных систем для защиты информации, например таких как: Data Loss Prevention (защита информации от утечек по каналам связи), User and Entity BehaviorAnalytics (мониторинг поведения пользователей и выявление угроз для информационной безопасности) и других.
Применение всех перечисленных способов обеспечит наиболее полную защиту конфиденциальной информации и коммерческой тайны в организации.
Об информации ограниченного доступа
Чтобы определить, какие виды документов подлежат обязательной защите, необходимо понять, что такое конфиденциальная информация и коммерческая тайна. Далее рассмотрим определения данных видов информации.
Конфиденциальная информация — совокупность данных, хранящихся в виде бумажных документов или сведений на цифровых носителях, доступ к которым ограничивается в соответствии с законодательством РФ.
В соответствии с указом Президента РФ от 6 марта 1997 г. N 188 утвержден следующий перечень сведений конфиденциального характера:
- Информация, связанная с коммерческой деятельностью (коммерческая тайна);
- Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них;
- Персональные данные гражданина;
- Сведения, связанные с профессиональной деятельностью (врачебная нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений);
- Служебная информация, доступ к которой ограничен органами государственной власти;
- Сведения, составляющие тайну следствия и судопроизводства;
- Сведения о личных делах осужденных, а также принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме общедоступной информации.
Коммерческая тайна — режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (п. 1 ст. 3 закона № 98-ФЗ).
Коммерческая тайна включает в себя информацию любого характера (производственную, техническую, экономическую, организационную, данные о результатах интеллектуальной деятельности и др.), а также сведения о способах осуществления профессиональной деятельности. Данная информация имеет коммерческую ценность в силу неизвестности её третьим лицам, к которой у третьих лиц нет свободного доступа на законном основании и в отношении которой обладателем таких сведений введен режим коммерческой тайны (п. 2 ст. 3 закона № 98-ФЗ).
Расскажите, о стоящих перед вами задачах, мы поможем найти решение.