Защита в едином пространстве

Механизмы защиты информации остаются одним из важнейших требований к современным информационным системам. Связано это как с требованием регуляторов, а именно с законом 152 ФЗ "О персональных данных", так и с внутренними задачами компаний — обеспечить безопасность корпоративной информации и предотвратить её утечки.

Переход на электронные технологии уже сам по себе предъявил новые требования к защите информации. Если бумажные документы можно было уберечь от посторонних глаз с помощью классического сейфа, то сведения в электронном виде, циркулирующие в информационных системах, требуют совершенно других методов и средств защиты.

Ключевая особенность электронной информации заключается в том, что нужно решать одновременно две противоречивые задачи. С одной стороны, необходимо обеспечить удобный доступ и быстрый поиск по всей электронной базе, с другой, гарантированно уберечь документы от несанкционированного доступа, кражи или удаления. Осуществить это крайне сложно подчас даже IT гигантам. Например, инсайдер в Apple за время своей службы пересылал информацию о будущих продуктах компании непосредственно со свое­го рабочего компьютера. А девять сотрудников автоконцерна Kia Motors переправляли конкурентам из Китая описания технологических процессов, используемых при производстве автомобилей. Компания в результате этих действий потеряла 20 миллиардов долларов.

Защитить внутреннюю информацию с по­мощью специальных регламентов, в том числе, запрета выноса и вноса дополнительных носителей, контролировать почту и все исходящие материалы — задача почти неподъёмная. По сути, она равносильна тому, что за деятельностью каждого работника будет следить видеокамера и охранник в придачу.

А если учесть, что практически все крупные компании являются операторами персональных данных (ПДн) (сведений о сотрудниках), и им необходимо обеспечить защиту информации, относящейся к категории К2 или даже К1, то это предполагает значительные расходы на приведение всей IT-инфраструктуры в соответствие с требованиями ФСТЭК.

Для того, чтобы не нарушать нормы защиты ПДн, кадровые службы достаточно обеспечить системой, которая позволит сотрудникам обрабатывать не все данные о работниках, а только их часть. Например, для оценки компетенций сотрудника кадровику не нужно знать его место проживания. С другой стороны, точно такой же подход применим для всех специалистов, работающих со служебной информацией. Сотруднику технического подразделения, изучающему предложение компании на установку оборудования, незачем знать цену, которую просит поставщик. А юрист, оценивающий правильность составления договора, не обязательно должен быть информирован о финансовых составляющих данного документа.

Решением может стать создание единой корпоративной информационной среды, которая объединит документы и данные из разрозненных приложений. И первым шагом к её формированию будет перевод документации в электронный вид, тем более, что российское законодательство оставило не так много документов, которые обязательно должны быть на бумаге.

В единой среде легко настраиваемы права дос­тупа к документам, загруженным файлам, папкам или всему ресурсу для отдельных пользователей или их групп. Разграничения могут касаться просмотра документов, исключения возможности копирования фрагмента текста или самого документа, внесения изменений и т.д. Встроенная функция "Чёрный маркер" даёт возможность ограничить доступ к отдельным частям документа, вплоть до знака препинания. Единое управляемое информационное пространство компании — это не только гарантия сохранности данных, но и отсутствие сбоев в рабочих процессах.

Информационное пространство организации также предполагает централизованную систему хранения контента. Данные будет защитить намного проще, если сотрудники будут иметь к ним терминальный доступ: документ, не загруженный на рабочую станцию, невозможно скачать или копировать. Создание в компании единой информационной инфра­структуры позволит объединить документы и данные из корпоративных систем и различных приложений.

В результате интеграции сохраняется возможность оперативного получения необходимой информации непосредственно из интерфейса привычного приложения. Одновременно возрастает производительность систем, потому что компании оперируют гигантскими объёмами неструктурированных данных, которые невозможно загрузить в учётные системы или системы электронного документооборота.

Создать единую информационную среду и гарантировать безопасность её содержимого сегодня позволяет внедрение систем Enterprise content management (ECM). Именно ECM-решение "умеет" управлять не только формированием контента организации, но и уровнем его конфиденциальности, разграничением дос­тупа, жизненным циклом, регламентом хранения и т. д. Кроме того, очевидные преимущества, которые дают облачные технологии, в перспективе неизбежно приведут к потреблению ECM как сервисов.