Какие существуют проверенные и соответствующие требованиям информационной безопасности варианты реализации подобных проектов? В чем их плюсы и минусы?
За последние полтора года опыт работы с заказчиками госсектора показывает 60% рост сегмента документов ДСП в общем объеме делопроизводства. При этом далеко не все организации смогли к настоящему моменту перейти на обработку служебной информации ограниченного распространения в электронном виде. Несмотря на большую заинтересованность, развитые СЭД и технические возможности обмена ДСП-документами по системе межведомственного электронного документооборота МЭДО 2.7.1, органы власти и государственные компании сталкиваются со множеством сложностей и задаются практическими вопросами. Какие существуют проверенные и соответствующие требованиям информационной безопасности варианты реализации подобных проектов? В чем их плюсы и минусы? Дадим ответы на эти вопросы в статье.
Регулирование
Приступая к переводу ДСП-документооборота в электронный вид, важно учесть требования, которые упорядочивают обмен информацией по МЭДО и обращение со служебной информацией ограниченного распространения внутри организаций. Документы, регулирующие эти аспекты:
- Совместный приказ Минцифры России № 667 и ФСО России № 233 от 4 декабря 2020 года «Об утверждении требований к организационно-техническому взаимодействию государственных органов и государственных организаций». Его положения устанавливают, в каком формате должны производиться обмен и обработка документов по МЭДО 2.7.1. Правила в равной мере распространяются на документы ДСП, для которых не предусмотрено каких-либо исключений.
- Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», который говорит о необходимости аттестации узлов подключения МЭДО.
- Постановление Правительства РФ от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности».
В части последнего постановления основная сложность заключается в том, что пока отсутствует порядок обращения с ДСП-документами в электронном виде. Действующие правила применимы к работе с информацией ограниченного распространения на бумаге. В ближайшее время ИТ-отрасль и организации госсектора ожидают появления регулирования, касающегося непосредственно электронных ДСП-документов. До этого момента заказчики и интеграторы дополняют СЭД решениями, которые позволяют при переводе ДСП-документов в электронный вид максимально соблюсти требования работы с ними по имеющемуся постановлению.
Два подхода
Работа с файлами ДСП-документов возможна только с аттестованных по требованиям защиты информации рабочих мест. Зачастую организации прибегают к следующему простому варианту: для этой задачи выделяется несколько никуда не подключенных компьютеров. Но даже если аттестация одного или двух рабочих мест позволяет регистрировать или подписывать ДСП-документы, недостатки такого подхода очевидны. Решение не является системой электронного документооборота, а сотрудники не могут выполнять свои обязанности эффективно.
Если организация ставит перед собой цель сделать ДСП-документооборот частью электронного документооборота, то предложить ей можно два проверенных на практике подхода. Каждый из них имеет свои преимущества, но и подразумевает определенные особенности реализации и последующего использования.
Вариант 1: аттестация ведомственной СЭД
При данном подходе обеспечивается защита определенного количества рабочих мест и серверной группы системы документооборота организации. Самое главное — охватить в соответствии с внутренними регламентами всех участвующих в процессах согласования, подписания, оформления и отправки ДСП-документов сотрудников. Остальные рабочие места организации могут остаться незащищенными и предоставить пользователям возможность работать в этой же системе, но только с документами общего доступа.
С точки зрения исполнителей и функциональных заказчиков вариант аттестации собственной СЭД для обработки ДСП-документов очень удобен. Пользователям не нужно менять рабочие места и интерфейс системы. Документы как общего доступа, так и с пометкой ДСП могут поступать в одни...
