Система защиты документов - IT Справочник
Llscompany.ru

IT Справочник
7 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Система защиты документов

Электронная библиотека

Собственная или частная информация

В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности – информационная безопасность, достигаемая за счет использования комплекса систем, методов и средств защиты информации предпринимателя от возможных злоумышленных действий конкурентов и с целью сохранения ее целостности и конфиденциальности.

Информация, используемая предпринимателем в бизнесе и управлении предприятием, банком, компанией или другой структурой, является его собственной или частной информацией, представляющей значительную ценность для предпринимателя. Эта информация составляет его интеллектуальную собственность.

Обычно выделяется два вида собственной информации:

· техническая, технологическая – методы изготовления продукции, программное обеспечение, основные производственные показатели и т.п.

· деловая – стоимостные показатели, результаты исследований рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.

Собственная информация предпринимателя в целях ее защиты может быть отнесена к коммерческой тайне и является конфиденциальной при соблюдении следующих условий:

· информация не должна отражать негативные стороны деятельности фирмы, нарушения законодательства и другие подобные факты;

· информация не должна быть общедоступной или общеизвестной;

· возникновение и получение информации должно быть законным;

· персонал фирмы должен знать о ценности такой информации и быть обучен правилам работы с ней;

· предпринимателем должны быть выполнены действия по защите этой информации.

Для документирования такой информации часто выбирают не текстовые, а изобразительные способы. Ценность информации может быть стоимостной категорией и отражать конкретный размер прибыли при ее использовании или размер убытков при ее утере. Информация становится часто ценной ввиду ее правого значения для организации или развития бизнеса. Но и обычный правовой документ важно сохранить в целостности и безопасности от похитителя или стихийного бедствия.

Ценную конфиденциальную деловую информацию, как правило, содержат:

· планы развития производства;

· планы маркетинга, бизнес-планы;

· списки держателей акций и другие документы.

Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода в число общеизвестных. Степень ценности информации и необходимость ее защиты находятся в прямой зависимости.

Выявление и регламентация реального состава информации

Выявление и регламентация реального состава информации, представляющей ценность для фирмы и подлежащей защите, является основополагающей частью

системы защиты. Состав ценной информации определяется ее собственником и фиксируется в специальном перечне.

Перечень ценных сведений, составляющих тайну фирмы, является постоянным рабочим материалом руководства фирмы.

В каждой позиции перечня рекомендуется указывать гриф конфиденциальности сведений, фамилии сотрудников, имеющих право доступа к ним и несущих ответственность за их сохранность.

Важной задачей перечня является дробление коммерческой тайны на отдельные информационные элементы, известные разным лицам. На основе перечня сведений составляется и ведется список документов фирмы, подлежащих защите. Под конфиденциальным документом, понимается документ, к которому ограничен доступ персонала – это носитель ценной документированной информации.

Гриф ограничения доступа к документу – служебная отметка (реквизит), которая проставляется на носителе информации или сопроводительном письме.

Информация и документы, отнесенные к предпринимательской тайне, имеют 2 уровня грифов ограничения доступа, соответствующих различным степеням конфиденциальности информации:

· низший уровень – грифы «Конфиденциальная тайна»;

· второй уровень – «Коммерческая тайна», «Строго конфиденциально» под обозначением грифа всегда указывается номер экземпляра документа, срок действия грифа или иные условия его снятия.

Гриф конфиденциальности присваивается документу:

· исполнителем на стадии подготовки проекта документа;

· руководителем структурного подразделения или руководителем фирмы на стадии согласования или подписания документа;

· адресатом документа на стадии его первичной обработки в службе конфиденциальной документации.

Источники (обладатели) ценной конфиденциальной документированной информации представляют собой накопители (концентраторы, излучатели) этой информации. К числу основных видов источников конфиденциальной информации относятся:

· персонал фирмы и окружающие фирму люди;

· публикации о фирме, и ее разработках;

· физические поля, волны излучения, сопровождающие работу вычислительной и другой офисной техники.

Состав ценной предпринимательской информации

Документация как источник ценной предпринимательской информации включает:

· конфиденциальную документацию, содержащую предпринимательскую тайну (ноу-хау);

· ценную правовую учредительную документацию;

· служебную, обычную деловую и научную документацию;

· рабочие записи сотрудников, переписку по коммерческим вопросам.

В каждой из указанных групп могут быть:

· документы на традиционных бумажных носителях;

· документы на технических носителях;

· электронные документы, банк электронных документов, изображения документов на экране дисплея.

Информация источника всегда распространяется во внешнюю среду, Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:

· деловые, торговые, управленческие и другие коммуникативные регламентированные связи;

· естественные технические каналы.

Несанкционированный доступ к информации

Угроза безопасности информации предполагает несанкционированный доступ конкурента к конфиденциальной информации и как результат этого – кражу, уничтожение, фальсификацию, модификацию, подмену документов.

Угроза предполагает намерение злоумышленника совершить противоправные действия по отношению к информации для достижения желаемой цели. Угроза может быть потенциальной и реальной. Угроза сохранности информации и документов особенно велика при выходе за пределы конфиденциальной документации, например при передаче документов персоналу на рассмотрение и исполнение, при пересылке или передаче документов адресатам. Однако часто потеря ценной информации происходит не в результате преднамеренных действий конкурента, а из-за невнимательности, непрофессионализма и безответственности персонала.

Если информация утрачена по вине персонала, используется термин «разглашение информации». При разглашении, утечке информация может переходить или к злоумышленнику и затем, возможно, к конкуренту, или к третьему лицу. Под третьим лицом понимаются любые лица, получившие информацию в силу обстоятельств.

Переход информации к третьему лицу можно назвать непреднамеренным, стихийным. Он возникает в результате:

· утери или случайного уничтожения документа, пакета;

· невыполнения, незнания или игнорирования сотрудником требований по защите информации;

· излишней разговорчивостью сотрудников при отсутствии злоумышленника;

· работы с конфиденциальными документами при посторонних лицах;

· несанкционированной передаче конфиденциального документа другому сотруднику;

· использования конфиденциальных сведений в открытой печати, личных записях, неслужебных письмах;

· наличия в документах излишней конфиденциальной информации;

· самовольного копирования сотрудником документов в служебных целях.

В отличие от третьего лица злоумышленник преднамеренно и тайно организует, создает канал утечки информации и эксплуатирует его по возможности более или менее длительное время. Знать возможный канал утечки информации означает:

· для злоумышленника – иметь стабильную возможность получать ценную информацию;

· для владельца информации – противодействовать злоумышленнику и сохранить тайну, а иногда и дезинформировать конкурента.

Информация должна поступать к конкуренту только по контролируемому каналу.

Система защиты информации

Система защиты информации – комплекс организационных, технических и технологических средств, методов и мер, препятствующих несанкционированному доступу к информации. Отсутствие такой системы защиты может лишить предприятие выгодных партнеров, клиентов.

Обеспечение защиты конфиденциальной информации включает в себя:

· установление правил отнесения информации к конфиденциальным сведениям;

· разработку инструкций по соблюдению режима конфиденциальности для лиц, допущенных к конфиденциальным сведениям;

· ограничение доступа к носителям информации, содержащим конфиденциальную информацию;

· ведение делопроизводства, обеспечивающего выделение, учет и сохранность документов, содержащих конфиденциальную информацию;

· использование организационных, технических и иных средств защиты конфиденциальной информации;

· осуществление контроля за соблюдением установленного режима охраны конфиденциальной информации.

Допуск работника к конфиденциальной информации осуществляется с его согласия. Работодатель имеет право отказать в приеме на работу тому, кто не хочет брать на себя обязательства по сохранению коммерческой тайны.

Комплектность системы защиты достигается ее формированием из различных элементов: правовых, организационных, технических, программно-математических. Соотношение элементов и их содержание обеспечивает индивидуальность системы защиты информации фирмы и гарантируют ее неповторимость и трудность преодоления. Элемент правовой защиты информации предполагает:

· наличие в учредительных документах фирмы, контрактах, в должностных инструкциях обязательств по защите сведений, составляющих тайну фирмы и ее партнеров;

· доведение до сведения всех сотрудников механизма правовой ответственности за разглашение конфиденциальных сведений.

Элемент организационной защиты информации содержит:

· формирование и регламентацию деятельности службы безопасности фирмы;

· регламентацию и регулярное обновление перечня ценной, конфиден­циальной информации;

· регламентацию системы разграничения доступа персонала к конфиденциальной информации;

· регламентацию технологии защиты и обработки конфиденциальных документов фирмы;

· построение защищенного традиционного или безбумажного документооборота;

· построение технологической системы обработки и хранения конфиденциальных документов;

· организацию архивного хранения конфиденциальных документов;

· порядок и правила работы персонала с конфиденциальными документами;

· регламентацию аналитической работы по выявлению угроз ценной информации фирмы и каналов утечки информации;

· оборудование и аттестацию помещений и рабочих зон, выделенных для конфиденциальной деятельности, лицензирование технических систем и средств защиты информации и охраны.

В процессе обработки конфиденциальных документов применяются обычные приемы обработки поступивших документов, только выполняются они квалифицированными сотрудниками службы конфиденциальной документации фирмы при соблюдении норм и правил работы с конфиденциальными документами.

Методы защиты электронных документов от копирования и редактирования

Немного истории

С момента изобретения письменности человечество стало переносить личные, государственные и вселенские тайны на подходящие материальные носители. Как только предки не изощрялись в том, чтобы тексты не были прочитаны чужими глазами. Самым древним и востребованным способом защиты по праву является криптограмма (в переводе с греческого означает «тайнопись»). Например, священные иудейские тексты шифровались методом замены — вместо первой буквы алфавита писалась последняя буква, вместо второй — предпоследняя и т.д. Этот древний шифр называется Атбаш.

Читать еще:  Защита от сетевых угроз

Также предпринимались шаги для защиты передаваемых секретных сообщений от перехвата и подмены. Обычно для этого использовали вооружённую охрану, но не отказывались и от альтернативных способов — пугали Божьим гневом и древними проклятьями, что было весьма действенно для тех лет.

Люди выдумали великое множество способов защитить бумажные документы от копирования и редактирования (подмены). Часть из них перебрались в «цифру», а часть была придумана специально для защиты электронных документов.

Зачем защищать документы от копирования и редактирования

В основном, защита от копирования и редактирования требуется для рабочих документов в форматах DOCX и PDF. Аналитические агентства, проектные институты и другие компании, предлагающие информационные продукты, предоставляют результаты исследований в защищенном формате, чтобы предотвратить несанкционированное использование и распространение. Также для бизнеса важно обеспечить защиту от подмены – для снижения рисков нужно гарантировать, что документ навсегда останется в неизменном виде.

Однако защита от копирования и редактирования может пригодиться и для личных целей, например, при создании книги, курса обучения, оказании консалтинговых услуг. То есть такой функционал может пригодиться каждому, кто разрабатывает интеллектуальные продукты и хочет контролировать их распространение.

Защита электронных документов DOC и PDF в наши дни

Давайте кратко пробежимся по самым распространенным методам.

Маркировка

На документ можно нанести информацию о том, что он имеет особый статус и его нельзя редактировать и копировать. Иногда маркировку делают незаметной, чтобы выявить «крота» — источник утечки. В простой реализации точку в документе ставят в разных местах и отслеживают какой вариант «всплывет». Усовершенствованный вариант – использование специализированных программно-аппаратных комплексов в связке с МФУ, позволяющих менять интервалы и кегль шрифта индивидуально для каждого экземпляра документа. Такая защита носит реактивный характер, то есть позволяет выявить виновного по факту обнаружения инцидента. Далее мы посмотрим методы, имеющие проактивный характер.

Пароль

Самый распространенный и доступный всем способ защитить электронные документы от несанкционированного доступа заключается в установке пароля на документ или архив. Обычно это делается встроенными инструментами программы, например, в приложении Acrobat можно ограничить редактирование, копирование содержимого и печать (ссылка на инструкцию). Но нужно учитывать следующее – сам файл можно копировать, и если выложить защищенный таким образом документ и пароль в интернет, то его легко сможет открыть каждый желающий.

Доступ по цифровому ключу (флешке)

Метод основывается на наличии у пользователя физического ключа (флешки или SD карты) для расшифровки документа. Есть флешка – есть доступ. То есть файл можно копировать, но копию нельзя открыть без определенного материального носителя. Это решает проблему несанкционированного распространения, но с ограничениями. Во-первых, флешка или SD карта стоит денег, и, во-вторых, нужно обеспечить доставку этого предмета до пользователя, что увеличивает стоимость и затрудняет обмен документами в оперативном режиме. В-третьих, пользователю всегда придется иметь этот ключ при себе, и, в-четвертых, любая техника имеет свойство ломаться – и вам нужно будет оговаривать срок гарантии и обеспечивать замену в случае поломки.

Система управления правами доступа

В основном этот метод защиты документов используется для корпоративных пользователей на базе службы управления правами Active Directory (AD RMS). Документы, защищенные AD RMS, шифруются, а автор может устанавливать разрешения для тех, кто получит доступ к файлам.

  • Чтение, изменение, печать.
  • Срок действия документа.
  • Запрет пересылки электронного письма.
  • Запрет печати электронного письма.

Но что делать, если документ как раз нужно отправить внешнему адресату?

Комбинированные методы защиты документов

Во всех вышеперечисленных методах есть свои достоинства и недостатки. Производители систем защиты документов постоянно работают над тем, чтобы соединить сильные стороны в одном решении. Идеальной кажется такая комбинация:

  • предоставление доступа к документу по паролю, который можно отправить по электронной почте или продиктовать по телефону;
  • привязка к уникальному материальному носителю, но чтобы не нужно было его дополнительно покупать и доставлять до конечного пользователя;
  • управление правами доступа через интернет, чтобы можно было предоставлять и отзывать доступ к файлу в режиме реального времени;
  • отображение на документе специальных меток для обозначения особого режима распространения.

В качестве уникального материального носителя в итоге можно использовать компьютер или мобильное устройство пользователя, например, операционная система и процессор имеют собственные серийные номера, которые нельзя подделать. Это позволит контролировать количество копий защищенного документа.

Управление правами доступа через интернет обеспечивает DRM. При создании пароля задаются параметры доступа: на скольких устройствах можно открыть документ, сколько времени доступ будет действовать, возможно ли оперативно отозвать доступ. При активации пароля начинают действовать все заданные ограничения.

Метки сами по себе не обеспечивают защиту, но позволяют детектировать утечку по цифровому отпечатку, так как для каждого пользователя формируется уникальная комбинация цифр и букв, отображаемых на документе.

Сейчас на рынке существует несколько профессиональных решений на базе комбинированных методов для защиты электронных документов от копирования и утечки. Проанализировав несколько вариантов, предлагаю познакомиться с сервисами SFContent.com и SFLetter.com.

SFContent.com

Профессиональный онлайн-сервис для защиты документов, включающий DRM, привязку к устройству пользователя, водяные метки и серийные номера (вместо паролей). Данный сайт предлагает услуги на платной основе, но есть бесплатное тестирование. Если доступ к файлам нужно предоставлять не более чем на 14 дней, то можно пользоваться только тестовыми серийными номерами, каждый раз открывая новое пространство (проект) в своем аккаунте.

Если 14 дней недостаточно, то можно приобрести лицензию на 30 дней. В ее стоимость входят 10 серийных номеров с неограниченным сроком использования. Лицензия дает право на трансформацию файлов в защищенный формат. Когда срок действия лицензии закончится, файлы останутся в защищенном виде, и серийные номера продолжат работать, но для того, чтобы трансформировать новые файлы в защищенный формат нужно приобрести продление лицензии или лицензию на новый проект.

В целом решение достойное и действительно позволяет обеспечить защиту от копирования и редактирования для документов в форматах PDF, DOCX и ряда других. Если есть вопросы, на сайте sfcontent.com установлен онлайн-чат.

SFLetter.com

Разработчики данного сервиса позаботились о пользователях чуть больше, чем надо. Они создали не только инструмент для надежной защиты документов от копирования и редактирования, но и полноценную электронную почту, чтобы вы точно были уверены, что ваши данные улетят к получателю в целостности и сохранности.

Основной функционал сервиса доступен бесплатно, такие функции как отзыв доступа к письму, установка таймера на просмотр, отправка от собственного доменного имени предоставляются в рамках платных тарифных планов. Идеально подходит для платных рассылок. Под простотой интерфейса кроются серьезные технологии защиты, но вам о них думать не нужно – ставите галочку и письмо с документом защищено и отправлено по списку адресов. Если вы автор с ответственным подходом к защите информации, то вам сюда.

Если говорить о недостатках этого решения, то для просмотра требуется установить программу-просмотрщик по аналогии с PDF. Она есть для всех платформ кроме Linux.

Защита документов от копирования и редактирования всегда накладывает ограничения на использование. Важно сохранить баланс между удобством, защищенностью и стоимостью.

Электронная документация и её защита

10.1. Электронная документация: определение и особенности

Документ является основным способом представления информации. Электронный документ — это бумажный документ, введённый в компьютер для обработки. Финансовые электронные документы могут снабжаться электронной подписью . Электронные документы бывают структурированными, и тогда они находятся в базах данных, и неструктурированными, содержащими тексты на естественном языке.

В общем же принято считать под электронным документом (ЭД) структурированный информационный объект , в соответствие которому может быть поставлена совокупность файлов, хранящихся на накопителе компьютера. Необходимым признаком ЭД является «регистрационная карточка», состоящая из реквизитов документа, содержащих перечень необходимых данных о нём. Согласно законодательству, электронным является документ, в котором информация представлена в электронно-цифровой форме.

Электронные документы можно разделить на два основных типа: неформализованные (произвольные) и служебные (официальные). Неформализованный электронный документ — это любое сообщение, записка, текст, записанный на машинном носителе. Под служебным электронным документом понимается записанное на машинном носителе электронное сообщение, реквизиты которого оформлены в соответствии с нормативными требованиями.

Электронные документы по сравнению с бумажными обладают следующими преимуществами:

  • более низкая стоимость и время передачи электронного документа из одного места в другое;
  • более низкая стоимость и время тиражирования ЭД;
  • более низкая стоимость архивного хранения ЭД;
  • возможность контекстного поиска;
  • новые возможности защиты документов;
  • упрощение подготовки ЭД в сочетании с широкими возможностями;
  • принципиально новые возможности представления ЭД. Документ может иметь динамическое содержание (например, аудио-, видеовставки).

10.2. Электронный документооборот

Основные принципы построения системы электронного документооборота :

  • соответствие требованиям стандартов на формы и системы документации ;
  • распределённость;
  • масштабируемость;
  • модульность;
  • открытость;
  • переносимость на другие аппаратные платформы.

Основными функциями системы электронного документооборота являются:

  • регистрация документов;
  • контроль исполнения документов;
  • создание справочников и работа с ними;
  • контроль движения бумажного и электронного документа, ведение истории работы с документами;
  • создание и редактирование реквизитов документов;
  • формирование отчетов по документообороту предприятия;
  • импорт документов из файловой системы и Интернета;
  • создание документа прямо из системы на основе шаблона (прямая интеграция);
  • работа с версиями документа, сложными многокомпонентными и многоформатными документами, вложениями;
  • электронное распространение документов;
  • работа с документами в папках;
  • получение документов посредством сканирования и распознавания.
  • уменьшением затрат на доступ к информации и обработку документов.
Читать еще:  Какой антивирус установить

Системы документооборота обычно внедряются, чтобы решать определённые задачи, стоящие перед организацией. К таким задачам можно отнести следующие:

  • обеспечение более эффективного управления за счёт автоматического контроля выполнения, прозрачности деятельности всей организации на всех уровнях;
  • поддержка эффективного накопления, управления и доступа к информации и знаниям;
  • исключение бумажных документов из внутреннего оборота предприятия;
  • исключение необходимости или существенное упрощение и удешев-ление хранения бумажных документов за счёт наличия оперативного электронного архива;
  • экономия ресурсов за счёт сокращения издержек на управление потоками документов в организации;
  • поддержка системы контроля качества, соответствующей международным нормам;
  • обеспечение кадровой гибкости за счёт большей формализации деятельности каждого сотрудника и возможности хранения всей предыстории его деятельности;
  • протоколирование деятельности предприятия в целом (внутренние служебные расследования, анализ деятельности подразделений, выявление «горячих точек» в деятельности);
  • оптимизация бизнес — процессов и автоматизация механизма их выполнения и контроля.

Электронные потоки информации на предприятии (в офисе) схематично представлены на рис.10.1.

Документооборот — это прохождение документов по соответствующим отделам до сдачи их в архив . Электронный документ может появиться либо в результате ввода бумажного документа с помощью клавиатуры или сканера, либо из глобальной сети, либо из локальной сети сторонних организаций.

Всякая система электронного документооборота должна быть распределённой, так как ввод документов происходит на территориально-распределённой организации.

Перечислим функции систем электронного документооборота .

  1. Хранение электронных документов. Носители электронных документов характеризуются двумя параметрами:
    1. стоимостью хранения 1 мегабайта информации;
    2. скоростью доступа к информации. Задача заключается в выборе оптимального носителя.

    Во-вторых, полнотекстовый поиск , когда документ отыскивается по словам, входящим в сам документ.

    От момента первой записи до сдачи в архив документы проходят различные преобразования (рис.10.2).

    Документы могут существовать одновременно в нескольких видах, переходя из одного вида в другой. В каком виде должен храниться документ, зависит от ограничений, накладываемых пользователем на стоимость , и время поиска документа, а также от стоимости передачи документа от одного рабочего места к другому.

    Массовый ввод документов, которые, как правило, не подлежат арифметической обработке (тексты), осуществляется с помощью операции сканирования. Для этого вначале выполняется подготовка к вводу документа, а затем ввод.

    Подготовка состоит в следующем: если документ новый, то он описывается и регистрируется как новый класс документа. Для этого документ сканируется (незаполненный) и создаётся форма по отсканированному шаблону. Далее определяются те поля, которые будут распознаваться системой или заполняться пользователем с клавиатуры. Указываются типы данных обрабатываемых полей. После сканирования документы автоматически направляются на операцию распознавания. Но перед этим система осуществляет ряд операций, улучшающих изображение символов (выравнивание, удаление шума, восстановление символов и др.). Особенно это важно для рукописных данных.

    Одна из важных функций системы документооборота — маршрутизация и контроль исполнения. Маршрутизация сообщений в системе электронного документооборота — это построение схемы, согласно которой они передаются между рабочими местами пользователей АРМ .

    Известны следующие системы маршрутизации:

    1. Свободная маршрутизация — последовательная или параллельная. При последовательной маршрутизации документ проходит от одного пользователя к другому, а при параллельной он одновременно поступает к нескольким пользователям.
    2. Свободная маршрутизация с контролем исполнения. Под контролем понимается: контроль доставки документа; контроль исполнения (выдача извещения, что задание выполнено); мониторинг задания (кто и что сейчас делает с заданием).
    3. Маршрутизация по заранее определённым маршрутам с контролем исполнения.
    4. Система электронной почты.

    В сети Интернет электронный документооборот организуется в той группе сервисов, которая обеспечивает поиск информации с помощью Web-серверов .

    Все Web-серверы делятся на две группы: 1) серверы управления трафиком ( traffic ); 2) конечные серверы.

    Пользователь с помощью серверов первой группы отыскивает необходимую информацию, а потом обращается за помощью серверов второй группы. Наиболее мощные средства в группе серверов управления трафиком — это порталы, т.е. Web-узлы, представляющие собой сочетание базовых услуг, например, информационного поиска и передачи найденной информации с помощью электронной почты. Главное отличительное свойство портала в том, что он не только отыскивает для пользователя необходимую информацию, но ещё и обеспечивает набор сервисных услуг.

    Конечный сервер может содержать рекламный сервер , состоящий из 1—2 страниц, информационный сервер , Интернет — магазин, Интернет — витрину.

    Чтобы быть доступными для конечного сервера, электронные документы описываются с помощью специального гипертекстового языка HTML , представляющего собой набор правил для описания структуры любого электронного документа.

    Методы защиты электронных документов от копирования и редактирования

    Содержание

    Немного истории

    С момента изобретения письменности человечество стало переносить личные, государственные и вселенские тайны на подходящие материальные носители. Как только предки не изощрялись в том, чтобы тексты не были прочитаны чужими глазами. Самым древним и востребованным способом защиты по праву является криптограмма (в переводе с греческого означает «тайнопись»). Например, священные иудейские тексты шифровались методом замены — вместо первой буквы алфавита писалась последняя буква, вместо второй — предпоследняя и т.д. Этот древний шифр называется Атбаш [1] .

    Также предпринимались шаги для защиты передаваемых секретных сообщений от перехвата и подмены. Обычно для этого использовали вооружённую охрану, но не отказывались и от альтернативных способов — пугали Божьим гневом и древними проклятьями, что было весьма действенно для тех лет.

    Люди выдумали великое множество способов защитить бумажные документы от копирования и редактирования (подмены). Часть из них перебрались в «цифру», а часть была придумана специально для защиты электронных документов.

    Зачем защищать документы от копирования и редактирования

    В основном, защита от копирования и редактирования требуется для рабочих документов в форматах DOCX и PDF. Аналитические агентства, проектные институты и другие компании, предлагающие информационные продукты, предоставляют результаты исследований в защищенном формате, чтобы предотвратить несанкционированное использование и распространение. Также для бизнеса важно обеспечить защиту от подмены – для снижения рисков нужно гарантировать, что документ навсегда останется в неизменном виде.

    Однако защита от копирования и редактирования может пригодиться и для личных целей, например, при создании книги, курса обучения, оказании консалтинговых услуг. То есть такой функционал может пригодиться каждому, кто разрабатывает интеллектуальные продукты и хочет контролировать их распространение.

    Защита электронных документов DOC и PDF в наши дни

    Маркировка

    На документ можно нанести информацию о том, что он имеет особый статус и его нельзя редактировать и копировать. Иногда маркировку делают незаметной, чтобы выявить «крота» — источник утечки. В простой реализации точку в документе ставят в разных местах и отслеживают какой вариант «всплывет». Усовершенствованный вариант – использование специализированных программно-аппаратных комплексов в связке с МФУ, позволяющих менять интервалы и кегль шрифта индивидуально для каждого экземпляра документа. Такая защита носит реактивный характер, то есть позволяет выявить виновного по факту обнаружения инцидента. Далее мы посмотрим методы, имеющие проактивный характер.

    Пароль

    Самый распространенный и доступный всем способ защитить электронные документы от несанкционированного доступа заключается в установке пароля на документ или архив. Обычно это делается встроенными инструментами программы, например, в приложении Acrobat можно ограничить редактирование, копирование содержимого и печать [2] . Но нужно учитывать следующее – сам файл можно копировать, и если выложить защищенный таким образом документ и пароль в интернет, то его легко сможет открыть каждый желающий.

    Доступ по цифровому ключу (флешке)

    Метод основывается на наличии у пользователя физического ключа (флешки или SD карты) для расшифровки документа. Есть флешка – есть доступ. То есть файл можно копировать, но копию нельзя открыть без определенного материального носителя. Это решает проблему несанкционированного распространения, но с ограничениями. Во-первых, флешка или SD карта стоит денег, и, во-вторых, нужно обеспечить доставку этого предмета до пользователя, что увеличивает стоимость и затрудняет обмен документами в оперативном режиме. В-третьих, пользователю всегда придется иметь этот ключ при себе, и, в-четвертых, любая техника имеет свойство ломаться – и вам нужно будет оговаривать срок гарантии и обеспечивать замену в случае поломки.

    Система управления правами доступа

    В основном этот метод защиты документов используется для корпоративных пользователей на базе службы управления правами Active Directory (AD RMS). Документы, защищенные AD RMS, шифруются, а автор может устанавливать разрешения для тех, кто получит доступ к файлам. Список возможных ограничений прав:

    • Чтение, изменение, печать.
    • Срок действия документа.
    • Запрет пересылки электронного письма.
    • Запрет печати электронного письма.

    Комбинированные методы защиты документов

    Во всех вышеперечисленных методах есть свои достоинства и недостатки. Производители систем защиты документов постоянно работают над тем, чтобы соединить сильные стороны в одном решении. Идеальной кажется такая комбинация:

    • предоставление доступа к документу по паролю, который можно отправить по электронной почте или продиктовать по телефону;
    • привязка к уникальному материальному носителю, но чтобы не нужно было его дополнительно покупать и доставлять до конечного пользователя;
    • управление правами доступа через интернет, чтобы можно было предоставлять и отзывать доступ к файлу в режиме реального времени;
    • отображение на документе специальных меток для обозначения особого режима распространения.

    В качестве уникального материального носителя в итоге можно использовать компьютер или мобильное устройство пользователя, например, операционная система и процессор имеют собственные серийные номера, которые нельзя подделать. Это позволит контролировать количество копий защищенного документа.

    Управление правами доступа через интернет обеспечивает DRM. При создании пароля задаются параметры доступа: на скольких устройствах можно открыть документ, сколько времени доступ будет действовать, возможно ли оперативно отозвать доступ. При активации пароля начинают действовать все заданные ограничения.

    Метки сами по себе не обеспечивают защиту, но позволяют детектировать утечку по цифровому отпечатку, так как для каждого пользователя формируется уникальная комбинация цифр и букв, отображаемых на документе. Сейчас на рынке существует несколько профессиональных решений на базе комбинированных методов для защиты электронных документов от копирования и утечки.

    Электронная библиотека

    Собственная или частная информация

    В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности – информационная безопасность, достигаемая за счет использования комплекса систем, методов и средств защиты информации предпринимателя от возможных злоумышленных действий конкурентов и с целью сохранения ее целостности и конфиденциальности.

    Информация, используемая предпринимателем в бизнесе и управлении предприятием, банком, компанией или другой структурой, является его собственной или частной информацией, представляющей значительную ценность для предпринимателя. Эта информация составляет его интеллектуальную собственность.

    Обычно выделяется два вида собственной информации:

    · техническая, технологическая – методы изготовления продукции, программное обеспечение, основные производственные показатели и т.п.

    · деловая – стоимостные показатели, результаты исследований рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.

    Собственная информация предпринимателя в целях ее защиты может быть отнесена к коммерческой тайне и является конфиденциальной при соблюдении следующих условий:

    · информация не должна отражать негативные стороны деятельности фирмы, нарушения законодательства и другие подобные факты;

    · информация не должна быть общедоступной или общеизвестной;

    · возникновение и получение информации должно быть законным;

    · персонал фирмы должен знать о ценности такой информации и быть обучен правилам работы с ней;

    · предпринимателем должны быть выполнены действия по защите этой информации.

    Для документирования такой информации часто выбирают не текстовые, а изобразительные способы. Ценность информации может быть стоимостной категорией и отражать конкретный размер прибыли при ее использовании или размер убытков при ее утере. Информация становится часто ценной ввиду ее правого значения для организации или развития бизнеса. Но и обычный правовой документ важно сохранить в целостности и безопасности от похитителя или стихийного бедствия.

    Ценную конфиденциальную деловую информацию, как правило, содержат:

    · планы развития производства;

    · планы маркетинга, бизнес-планы;

    · списки держателей акций и другие документы.

    Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода в число общеизвестных. Степень ценности информации и необходимость ее защиты находятся в прямой зависимости.

    Выявление и регламентация реального состава информации

    Выявление и регламентация реального состава информации, представляющей ценность для фирмы и подлежащей защите, является основополагающей частью

    системы защиты. Состав ценной информации определяется ее собственником и фиксируется в специальном перечне.

    Перечень ценных сведений, составляющих тайну фирмы, является постоянным рабочим материалом руководства фирмы.

    В каждой позиции перечня рекомендуется указывать гриф конфиденциальности сведений, фамилии сотрудников, имеющих право доступа к ним и несущих ответственность за их сохранность.

    Важной задачей перечня является дробление коммерческой тайны на отдельные информационные элементы, известные разным лицам. На основе перечня сведений составляется и ведется список документов фирмы, подлежащих защите. Под конфиденциальным документом, понимается документ, к которому ограничен доступ персонала – это носитель ценной документированной информации.

    Гриф ограничения доступа к документу – служебная отметка (реквизит), которая проставляется на носителе информации или сопроводительном письме.

    Информация и документы, отнесенные к предпринимательской тайне, имеют 2 уровня грифов ограничения доступа, соответствующих различным степеням конфиденциальности информации:

    · низший уровень – грифы «Конфиденциальная тайна»;

    · второй уровень – «Коммерческая тайна», «Строго конфиденциально» под обозначением грифа всегда указывается номер экземпляра документа, срок действия грифа или иные условия его снятия.

    Гриф конфиденциальности присваивается документу:

    · исполнителем на стадии подготовки проекта документа;

    · руководителем структурного подразделения или руководителем фирмы на стадии согласования или подписания документа;

    · адресатом документа на стадии его первичной обработки в службе конфиденциальной документации.

    Источники (обладатели) ценной конфиденциальной документированной информации представляют собой накопители (концентраторы, излучатели) этой информации. К числу основных видов источников конфиденциальной информации относятся:

    · персонал фирмы и окружающие фирму люди;

    · публикации о фирме, и ее разработках;

    · физические поля, волны излучения, сопровождающие работу вычислительной и другой офисной техники.

    Состав ценной предпринимательской информации

    Документация как источник ценной предпринимательской информации включает:

    · конфиденциальную документацию, содержащую предпринимательскую тайну (ноу-хау);

    · ценную правовую учредительную документацию;

    · служебную, обычную деловую и научную документацию;

    · рабочие записи сотрудников, переписку по коммерческим вопросам.

    В каждой из указанных групп могут быть:

    · документы на традиционных бумажных носителях;

    · документы на технических носителях;

    · электронные документы, банк электронных документов, изображения документов на экране дисплея.

    Информация источника всегда распространяется во внешнюю среду, Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:

    · деловые, торговые, управленческие и другие коммуникативные регламентированные связи;

    · естественные технические каналы.

    Несанкционированный доступ к информации

    Угроза безопасности информации предполагает несанкционированный доступ конкурента к конфиденциальной информации и как результат этого – кражу, уничтожение, фальсификацию, модификацию, подмену документов.

    Угроза предполагает намерение злоумышленника совершить противоправные действия по отношению к информации для достижения желаемой цели. Угроза может быть потенциальной и реальной. Угроза сохранности информации и документов особенно велика при выходе за пределы конфиденциальной документации, например при передаче документов персоналу на рассмотрение и исполнение, при пересылке или передаче документов адресатам. Однако часто потеря ценной информации происходит не в результате преднамеренных действий конкурента, а из-за невнимательности, непрофессионализма и безответственности персонала.

    Если информация утрачена по вине персонала, используется термин «разглашение информации». При разглашении, утечке информация может переходить или к злоумышленнику и затем, возможно, к конкуренту, или к третьему лицу. Под третьим лицом понимаются любые лица, получившие информацию в силу обстоятельств.

    Переход информации к третьему лицу можно назвать непреднамеренным, стихийным. Он возникает в результате:

    · утери или случайного уничтожения документа, пакета;

    · невыполнения, незнания или игнорирования сотрудником требований по защите информации;

    · излишней разговорчивостью сотрудников при отсутствии злоумышленника;

    · работы с конфиденциальными документами при посторонних лицах;

    · несанкционированной передаче конфиденциального документа другому сотруднику;

    · использования конфиденциальных сведений в открытой печати, личных записях, неслужебных письмах;

    · наличия в документах излишней конфиденциальной информации;

    · самовольного копирования сотрудником документов в служебных целях.

    В отличие от третьего лица злоумышленник преднамеренно и тайно организует, создает канал утечки информации и эксплуатирует его по возможности более или менее длительное время. Знать возможный канал утечки информации означает:

    · для злоумышленника – иметь стабильную возможность получать ценную информацию;

    · для владельца информации – противодействовать злоумышленнику и сохранить тайну, а иногда и дезинформировать конкурента.

    Информация должна поступать к конкуренту только по контролируемому каналу.

    Система защиты информации

    Система защиты информации – комплекс организационных, технических и технологических средств, методов и мер, препятствующих несанкционированному доступу к информации. Отсутствие такой системы защиты может лишить предприятие выгодных партнеров, клиентов.

    Обеспечение защиты конфиденциальной информации включает в себя:

    · установление правил отнесения информации к конфиденциальным сведениям;

    · разработку инструкций по соблюдению режима конфиденциальности для лиц, допущенных к конфиденциальным сведениям;

    · ограничение доступа к носителям информации, содержащим конфиденциальную информацию;

    · ведение делопроизводства, обеспечивающего выделение, учет и сохранность документов, содержащих конфиденциальную информацию;

    · использование организационных, технических и иных средств защиты конфиденциальной информации;

    · осуществление контроля за соблюдением установленного режима охраны конфиденциальной информации.

    Допуск работника к конфиденциальной информации осуществляется с его согласия. Работодатель имеет право отказать в приеме на работу тому, кто не хочет брать на себя обязательства по сохранению коммерческой тайны.

    Комплектность системы защиты достигается ее формированием из различных элементов: правовых, организационных, технических, программно-математических. Соотношение элементов и их содержание обеспечивает индивидуальность системы защиты информации фирмы и гарантируют ее неповторимость и трудность преодоления. Элемент правовой защиты информации предполагает:

    · наличие в учредительных документах фирмы, контрактах, в должностных инструкциях обязательств по защите сведений, составляющих тайну фирмы и ее партнеров;

    · доведение до сведения всех сотрудников механизма правовой ответственности за разглашение конфиденциальных сведений.

    Элемент организационной защиты информации содержит:

    · формирование и регламентацию деятельности службы безопасности фирмы;

    · регламентацию и регулярное обновление перечня ценной, конфиден­циальной информации;

    · регламентацию системы разграничения доступа персонала к конфиденциальной информации;

    · регламентацию технологии защиты и обработки конфиденциальных документов фирмы;

    · построение защищенного традиционного или безбумажного документооборота;

    · построение технологической системы обработки и хранения конфиденциальных документов;

    · организацию архивного хранения конфиденциальных документов;

    · порядок и правила работы персонала с конфиденциальными документами;

    · регламентацию аналитической работы по выявлению угроз ценной информации фирмы и каналов утечки информации;

    · оборудование и аттестацию помещений и рабочих зон, выделенных для конфиденциальной деятельности, лицензирование технических систем и средств защиты информации и охраны.

    В процессе обработки конфиденциальных документов применяются обычные приемы обработки поступивших документов, только выполняются они квалифицированными сотрудниками службы конфиденциальной документации фирмы при соблюдении норм и правил работы с конфиденциальными документами.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector