DOI: 10.24411/2304-6139-2020-00024
УДК 338.2
М.А. Мирошниченко - доцент кафедры общего, стратегического, информационного менеджмента и бизнес-процессов, к. э. н., доцент, Кубанского государственного университета, г. Краснодар, [email protected],
M.A. Miroshnichenko - associate Professor of the Department of General, strategic, information management and business processes, Ph. D., associate Professor, Kuban state University, Krasnodar;
А.А. Бондаренко - студент Кубанского государственного университета, г. Краснодар, [email protected],
A.A. Bondarenko, student of Kuban State University, Krasnodar;
Е.В. Пиналова - магистрант Кубанского государственного университета, г. Краснодар, [email protected];
Е.У. Pinalova - undergraduate of Kuban State University, Krasnodar.
АКТУАЛЬНЫЕ ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА В РАМКАХ ЦИФРОВОЙ ТРАНСФОРМАЦИИ TOPICAL PROBLEMS OF ENSURING INFORMATION SECURITY OF ELECTRONIC DOCUMENTARY SYSTEMS
WITHIN DIGITAL TRANSFORMATION
Аннотация. В статье рассматриваются особенности функционирования системы обеспечения информационной безопасности в современной организации. Внедрение современных цифровых технологий во многие отрасли экономики требует применения инновационных подходов по обеспечению полноценной защиты ценных информационных массивов. Раскрывается сущность понятия информационной безопасности и комплексного подхода к защите информации от несанкционированного доступа. Приводится обоснование необходимости формирования защищенного электронного документооборота в условиях цифровой трансформации, аргументированы направления обеспечения информационной безопасности. Обеспечение комплексной информационной безопасности подразумевает осуществление непрерывного контроля и мгновенное реагирования в режиме реального времени за событиями в области кибербезопасности на протяжении полного жизненного цикла хранения и обработки документной информации. Подобные меры необходимы для минимизации рисков утечки конфиденциальных данных и связанных с ними убытками для компании.
Annotation. The article discusses the features of the functioning of the information security system in a modern organization. The introduction of modern digital technologies in many sectors of the economy requires the use of innovative approaches to ensure the full protection of valuable information arrays. The essence of the concept of information security and an integrated approach to protecting information from unauthorized access is revealed. The rationale for the formation of a secure electronic document management in digital transformation is given, the directions of ensuring information security are argued. Comprehensive information security assumes the implementation of continuous monitoring and instant real-time response for events in the field of cybersecurity throughout the entire life cycle of storing and processing document information. Such measures are necessary to minimize the risks of leakage of confidential data and related losses for the company.
Ключевые слова: защита информации, информационная безопасность, система электронного документооборота, цифровые технологии.
Keywords: information protection, information security, EDM system, digital technologies.
Стремительными темпами процессы цифровой трансформации масштабно проникают во все сферы деятельности общества. В современных условиях становления цифровой экономики наблюдается существенное возрастание значимости информационных активов организации. Динамичное развитие цифровых технологий требует обеспечения комплексной защиты информационных ресурсов компании, учитывая глобальную тенденцию к увеличению количества кибератак. Виртуальные угрозы информационной безопасности могут причинить значительный ущерб успешности коммерческой деятельности и конкурентноспособности любой компании, препятствуя достижению ее стратегических целей.
Развитие информационных технологий и средств автоматизации, увеличения объемов обрабатываемой информации и динамизма внешней среды требует принимать оперативные, рациональные и адекватные управленческие решения. Для достижения наибольшей эффективности производственной деятельности организации и повышения мотивации сотрудников следует создать благоприятный социально-психологический климат в трудовом коллективе, сформировать налаженную обратную связь, развить доверительные отношения между руководством и подчиненными, выстроенные на осознании общности интересов и потребностей организации [6].
На сегодняшний день используются инновационные решения в сфере защиты информационных активов, позволяющие проводить постоянный мониторинг за киберугрозами и оперативно реагировать на инциден-
ты безопасности информации. Информационная безопасность является одним из приоритетных направлений национальной программы «Цифровая экономика».
Внедрение систем электронного документооборота является целесообразным при создании наиболее эффективного пространства для управления и функционирования предприятий или организаций [8].
Системы электронного документооборота (СЭД) являются важнейшей частью интегрированного информационного пространства организации, эффективно решают функциональные задачи по автоматизации делопроизводства и документооборота. Основополагающими целями обеспечения комплексной информационной безопасности для организации являются: создание благоприятных условий для нормального функционирования в нестабильной информационной среде, возможность правовой защиты коммерческих интересов организации от противоправных действий конкурентов, предотвращение случаев овладения, искажения, разглашения и утечки сведений конфиденциального характера по техническим каналам связи.
Для оптимальной организации службы делопроизводства в организациях, занимающихся инновационной деятельностью, применяются современные информационные технологии в области делопроизводства, такие как системы электронного документооборота и автоматизированные рабочие места [7], которым необходимо обеспечить информационную безопасность.
Информационная безопасность современной организации предполагает обеспечение защищенности информационной среды, направленного на достижение его целостности, аутентичности, конфиденциальности, а также доступности для авторизованных пользователей. Это обеспечивается комплексом организационно -технических мер и проведением режимных мероприятий, нацеленных на надежную защиту корпоративного контента от случайного и преднамеренного воздействия, а также наличием механизмов отказоустойчивости и резервирования системных функций, что позволяет гибко подстраивать возможности системы под текущие корпоративные задачи по защите информации. Первоочередными задачами по защите информации, циркулирующей в автоматизированной системе в процессе электронного взаимодействия, являются: предотвращение распространения, модификации, уничтожения, копирования, блокирования и неправомерного тиражирования информации ограниченного доступа.
Согласно статистическим данным аналитического центра отрасли информационной безопасности 1п-foWatch за 2019 год, распределение каналов утечки данных представлено на рисунке 1 [2].
90% 80%
70% 60% 50% 40% 30% 20% 10% 0%
76,6%
2%
0,3%
2,1%
,4%
6,3%
4,3%
/ У у
^ & & л
¿Г
Л
^ СУ
У у
/ У *
а
Рисунок 1 - Каналы утечки конфиденциальной информации
Основные меры по обеспечению информационной безопасности организации включают в себя:
- анализ потенциальных и реальных ситуаций, представляющих киберугрозу для организации;
- оценку характера угроз информационной безопасности;
- принятие и комплексное распределение мер для выявления угрозы;
- реализацию мер в целях предотвращения угрозы для ее коммерческих интересов.
Многоуровневая схема защиты информации и объектов инфраструктуры с применением комплексных
решений по кибербезопасности предоставляет возможность минимизации рисков и исключения экономических издержек на устранение последствий кибератак. Правильная организация состояния информационной защищенности данных призвана с помощью превентивных мер предотвращать возникающие риски, а не ликвидировать их негативные последствия [4]. Принятие предупредительных мер лежит в основе решения задач систем информационной безопасности, заключающихся в обеспечении защищенного режима хранения документированной информации, защите передаваемых по каналам связи данных, разграничении прав доступа к определенным категориям документов, резервном копировании и послеаварийном восстановлении работоспособности информационных систем в случае программно-аппаратных сбоев.
Формирование защищенного электронного документооборота в компании подразумевает контролируемое движение конфиденциальных документов по строго регламентированным пунктам приема, обработки, согласования, исполнения и хранения в условиях организационного и технологического обеспечения безопасности носителя информации и зафиксированных на нем корпоративных данных. Однако предпринимаемые меры защиты должны быть адекватны вероятности возникновения конкретного типа киберугрозы и потенциальному масштабу нанесения ущерба в случае его осуществления, включая затраты на приобретение средств защиты. Необходимо обеспечить автоматизацию доступа и рабочих процессов для надлежащей защиты файлов, хранящихся на электронных носителях, от несанкционированного доступа и воздействия вредоносного программного обеспечения.
Комплексная защита корпоративных информационных ресурсов требует проведения на постоянной основе аудита информационной безопасности, представляющего собой эффективный инструмент для получения объективной оценки о текущем уровне защищенности компании от предполагаемых киберугроз. Результаты проведенного аудита составляют основу для формирования стратегии развития системы обеспечения информационной безопасности в автоматизированных информационных системах организации, способствуя повышению уровня защищенности ценных информационных активов от обнаруженных уязвимостей в действующей системе безопасности и управления. Система обеспечения информационной безопасности организации состоит из комплекса принятых управленческих решений, нацеленных на своевременное обнаружение фактов нелегального доступа и предотвращение вероятных угроз. Функционирующая система оценок информационной безопасности должна носить интегральный характер, учитывая все факторы риска, влияющие на состояние уровня защищенности информации.
Объекты защиты корпоративной информации включают в себя следующие элементы:
- объекты поддерживающей информационной инфраструктуры, состоящие из программно -технических комплексов хранения и обработки данных;
- объекты автоматизированных систем управления и информационных систем (автоматизированные рабочие места, локальные вычислительные сети, серверные сегменты этих систем);
- системы электронного документооборота.
Меры, направленные на противодействие несанкционированному доступу к конфиденциальным данным, признаны создать оптимальные условия для решения проблемы обеспечения информационной безопасности, осуществляемые посредством централизованного управления процессом обработки охраняемой информации. Управление системой информационной безопасности организации предусматривает слаженную координацию действий всех структурных подразделений по реализации политики информационной безопасности, сосредоточение корпоративных ресурсов на решении задач в зависимости от сложившейся ситуации, контроль за своевременностью и полнотой выполнения требований утвержденной политики [1].
При этом в разработанной политике безопасности должна соблюдаться возможность обеспечения ее прозрачности и контролируемости, предполагающая получение объективной и целостной информации на всех уровнях управления, являющейся базой для принятия эффективных управленческих решений и быстрого внесения необходимых коррективов в деятельность организации. Приоритетные направления обеспечения защиты информации компании, имеющую коммерческую ценность, подразделяются на следующие виды, представленные на рисунке 2.
Для решения проблемы информационной защиты систем электронного документооборота целесообразно применение комплексного подхода, подразумевающего защиту конфиденциальных сведений на всех уровнях, включая совокупность программно-аппаратных средств и мер реагирования. Полноценное обеспечение информационной безопасности организации в обязательном порядке должно быть стандартизовано и находиться под непрерывным контролем в режиме реального времени, учитывая полный жизненный цикл обработки документной информации, вплоть до ее полного уничтожения или потери актуальности для организации [5].
Сопровождение такой системы включает в себя регулярное обновление антивирусного программного обеспечения, актуализацию средств защиты информации, круглосуточный мониторинг для прогнозирования моделей нарушителя и оперативной нейтрализации идентифицированных угроз, поддержание в актуальном состоянии и разработку новых нормативных документов в сфере защиты информации.
Максимальный эффект по защите корпоративного контента возможен при использовании криптографических методов защиты данных. В настоящее время оптимальным решением данной проблемы является
внедрение электронной цифровой подписи, принцип действия которой основывается на технологиях шифрования с ассиметричным ключом. Электронный документ должен быть подписан усиленной квалифицированной цифровой подписью. Такой вид подписи позволяет в полной мере защитить подписанный документ от подделки и искажения, идентифицировать владельца ключа подписи, установить факт подписания, обеспечить неотрекаемость документа, а также подтвердить подлинность информации, изложенной в тексте электронного документа. Обязательным реквизитом защищенного документооборота является соответствующая отметка о конфиденциальности обрабатываемых сведений.
Рисунок 2 - Направления обеспечения информационной безопасности
В целях защиты информации ограниченного доступа, циркулирующей внутри автоматизированной информационной системы, применяются сертифицированные по установленным требованиям программно-аппаратные средства защиты информации [10]. Выделяют следующие задачи по защите электронных документов, к которым относится: подтверждение авторства документа, контроль его целостности, конфиденциальность, а также обеспечение юридической силы. В целях обеспечения юридически значимого электронного документооборота каждому документу внутри системы присваивается реквизит, позволяющий идентифицировать его подписанта, являющегося полноправным участником документооборота. При электронном взаимодействии авторизованных пользователей следует соблюдать конфиденциальность информации ограниченного доступа посредством защиты содержания электронных документов. Передачу электронных версий документов необходимо осуществлять по защищенным телекоммуникационным каналам связи. Разграничение прав доступа уполномоченных пользователей можно реализовать посредством использования подсистемы разработанной СЭД, самостоятельной подсистемы безопасности, проверенной практикой, или их адаптации под функционал существующей СЭД.
Требования по защите информации регламентируются на основании категории сведений конфиденциального характера и потенциальных угроз. В большинстве случаев защита данных в электронном формате, хранящихся на серверах организации, реализуется посредством контролируемого доступа и шифрования конфиденциальных документов. Обеспечение безопасного доступа к информационным ресурсам внутри системы документооборота достигается применением одно- и многофакторной аутентификации субъекта при входе в систему и разграничением прав пользователей, осуществляемой за счет присвоения каждому участнику персонального идентификатора. Следующим этапом в совершенствовании механизмов защиты системы документооборота является протоколирование производимых операций корпоративными пользователями, что позволяет осуществлять мониторинг преднамеренных попыток несанкционированного доступа и своевременное их пресечение.
Современные системы электронного документооборота обеспечивают требуемый уровень информационной безопасности при организации юридически значимого документооборота, выполняя установленные требования действующего законодательства в сфере защиты информации [9].
Развитие полнофункциональной СЭД должно быть направлено на снижение влияния человеческого фактора в процессе устранения инцидентов кибербезопасности, а также на совершенствование механизмов для проведения аудита работы пользователей в режиме реального времени с возможностью оказания управляющих
воздействий в целях предотвращения неправомерного доступа к охраняемым данным. Это позволит минимизировать уровень рисков, связанных с использованием электронной подписи в СЭД.
Средства защиты информации, интегрированные в архитектуру СЭД, предусматривает обеспечение сохранности и подлинности документов, безопасного персонифицированного доступа и протоколирования действий пользователей. Концепция электронного документооборота построена на идее автоматизации делопроизводственных процессов с помощью внедрения информационной системы, что способствует повышению исполнительской дисциплины работников посредством автоматизированных средств контроля работы с электронными документами и ускорению прохождения документопотоков по оптимальным маршрутам движения. Защищенность автоматизированных систем непосредственно зависит от их архитектуры и встроенных программных средств по защите информации, что позволит гарантировать достоверность документов и исключить вероятность их фальсификации. Все компоненты СЭД подвержены угрозам, способным нанести ущерб ее компонентам и деятельности организации в целом [3].
Внедренная система электронного документооборота должна постоянно модернизироваться по мере дальнейшего развития цифровых технологий в сфере кибербезопасности.
Таким образом, повсеместное распространение процессов цифровизации обусловило необходимость повышения уровня защищенности корпоративных ресурсов. Нематериальные активы приобретают превалирующее значение по сравнению с материальными активами организации. Обеспечение комплексной информационной безопасности подразумевает осуществление непрерывного контроля и мгновенное реагирования в режиме реального времени за событиями в области кибербезопасности на протяжении полного жизненного цикла хранения и обработки документной информации. Подобные меры необходимы для минимизации рисков утечки конфиденциальных данных и связанных с ними убытками для компании. Внедрение передовых цифровых технологий во многие отрасли экономики требует применения инновационных подходов по обеспечению полноценной защиты ценных информационных массивов.
Источники:
1. Aлешников С.И., Демин СА., Федоров С.Б., Федоров A.Q Проблемы информационной безопасности организации (предприятия) и пути их решения [Электронный ресурс] - Режим доступа: https://cyberleninka.ru/ (дата обращения: 05.02.2020).
2. Глобальное исследование утечек конфиденциальной информации в нервом полугодии 2019 года 130 [Электронный ресурс] - Режим доступа: https://infowatch.ru/ (дата обращения: 07.02.2020).
3. Емельянов KA. Исследование угроз и проектирование модели разграничения нрав доступа для систем электронного документооборота // Молодой ученый. - 2017. № 22. - С. 126-130 [Электронный ресурс] - Режим доступа: https://moluch.ru/ (дата обращения: 07.02.2020).
4. Информационная безопасность предприятия: ключевые угрозы и средства защиты [Электронный ресурс] -Режим доступа: https://kp.ru/ (дата обращения: 05.02.2020).
5. Мамаева Л.Н. Основные направления обеспечения информационной безопасности предприятия [Электронный ресурс] - Режим доступа: https://cyberleninka.ru/ (дата обращения: 05.02.2020).
6. Мирошниченко МА., Бондаренко A.A., Волобуев Б.И. Организационные и социально-психологические аспекты разработки управленческих решений. Вестник Aкадемии знаний. 2019. № 3 (32). С. 174-180.
7. Мирошниченко МА., Зотова Т.С., Кузнецова KA. Организация службы делопроизводства инновационной фирмы Вестник Aкадемии знаний. 2019. № 2 (31). С. 159-163.
8. Мирошниченко МА., Зотова Т.С., Леготин ИА. Aвтоматизация и информатизация деятельности службы информационно--документационного обеспечения управления компанией // Вестник Aкадемии знаний. 2019. № 5 (34). С. 159164.
9. Шевцова ГА. Особенности внедрения системы защищенного электронного документооборота [Электронный ресурс] - Режим доступа: https://cyberleninka.ru/ (дата обращения: 06.02.2020).
10. Яппаров Р.М. Некоторые проблемы защиты конфиденциальной информации в системах электронного документооборота [Электронный ресурс] - Режим доступа: https://cyberleninka.ru/ (дата обращения: 05.02.2020).
Sources:
1. Aleshnikov S.I., Demin S.A., Fedorov S.B., Fedorov A.S. Problemy informacionnoj bezopasnosti organizacii (predpriyatiya) i puti ih resheniya [Elektronnyj resurs] - Rezhim dostupa: https://cyberleninka.ru/ (data obrashcheniya: 05.02.2020).
2. Global'noe issledovanie utechek konfidencial'noj informacii v pervom polugodii 2019 goda 130 [Elektronnyj resurs]
- Rezhim dostupa: https://infowatch.ru/ (data obrashcheniya: 07.02.2020).
3. Emel'yanov N.A. Issledovanie ugroz i proektirovanie modeli razgranicheniya prav dostupa dlya sistem elektronnogo dokumentooborota // Molodoj uchenyj. - 2017. № 22.
- S. 126-130 [Elektronnyj resurs] - Rezhim dostupa: https://moluch.ru/ (data obrashcheniya: 07.02.2020).
4. Informacionnaya bezopasnost' predpriyatiya: klyuchevye ugrozy i sredstva zashchity [Elektronnyj resurs] - Rezhim dostupa: https://kp.ru/ (data obrashcheniya: 05.02.2020).
5. Mamaeva L.N. Osnovnye napravleniya obespecheniya informacionnoj bezopasnosti predpriyatiya [Elektronnyj resurs] - Rezhim dostupa: https://cyberleninka.ru/ (data obrashcheniya: 05.02.2020).
6. Miroshnichenko M.A., Bondarenko A.A., Volobuev B.I. Organizacionnye i social'no-psihologicheskie aspekty raz-rabotki upravlencheskih reshenij. Vestnik Akademii znanij. 2019. № 3 (32). S. 174-180.
7. Miroshnichenko M.A., Zotova T.S., Kuznecova K.A. Organizaciya sluzhby deloproizvodstva innovacionnoj firmy Vestnik Akademii znanij. 2019. № 2 (31). S. 159-163.
8. Miroshnichenko M.A., Zotova T.S., Legotin I.A. Avtomatizaciya i informatizaciya deyatel'nosti sluzhby infor-macionno-dokumentacionnogo obespecheniya upravleniya kompaniej // Vestnik Akademii znanij. 2019. № 5 (34). S. 159-164.
9. Shevcova G.A. Osobennosti vnedreniya sistemy zashchishchennogo elektronnogo dokumentooborota [Elektronnyj resurs] - Rezhim dostupa: https://cyberleninka.ru/ (data obrashcheniya: 06.02.2020).
10. Yapparov R.M. Nekotorye problemy zashchity konfidencial'noj informacii v sistemah elektronnogo dokumentooborota [Elektronnyj resurs] - Rezhim dostupa: https://cyberleninka.ru/ (data obrashcheniya: 05.02.2020).
УДК338.2 DOI: 10.24411/2304-6139-2020-00025
М.А. Мирошниченко - доцент кафедры общего, стратегического, информационного менеджмента и бизнес-процессов, к. э. н., доцент, Кубанского государственного университета, г. Краснодар, [email protected],
M. A. Miroshnichenko - associate Professor of General, strategic, information management and business processes, Ph. D., associate Professor, Kuban state University, Krasnodar;
Т.С. Зотова - студент Кубанского государственного университета, г. Краснодар, [email protected],
T. S. Zotova - student of Kuban state University, Krasnodar;
И.А. Леготин, студент Кубанского государственного университета, г. Краснодар, [email protected],
I. A. Legotin, student of Kuban state University, Krasnodar.
СИСТЕМА УПРАВЛЕНИЯ ЗНАНИЯМИ КАК ОСНОВА ЭФФЕКТИВНОЙ ДЕЯТЕЛЬНОСТИ ЦЕНТРА ГОСУДАРСТВЕННЫХ И МУНИЦИПАЛЬНЫХ УСЛУГ «МОИ ДОКУМЕНТЫ» KNOWLEDGE MANAGEMENT SYSTEM AS THE BASIS FOR EFFECTIVE ACTIVITIES OF THE CENTER FOR STATE AND MUNICIPAL SERVICES «MY DOCUMENTS»
Аннотация. В статье рассмотрена взаимосвязь человеческого капитала и системы управления знаниями. Человеческий капитал - это один из главных факторов развития организации и общества. Так как благодаря ему совершенствуются внутренние процессы, внедряются инновации, оптимизируется структура. Представлен обзор элементов и структуры системы управления знаниями. Аргументировано влияние внутренних качеств человека на формирование корпоративной культуры. На примере центра государственных и муниципальных услуг «Мои документы» рассмотрена структура системы управления знаниями. Описана организация обучения сотрудников, ее необходимые элементы, функции руководителей отделения и такой феномен как институт наставничества. На основе новых возможностей программы «Цифровая экономика» сделан прогноз к 2024 году результатов ее исполнения. Появится возможность реализации основной идеи цифровой экономики для граждан - сделать государство более эффективным и менее заметным, повысить уровень общественной безопасности, проводить время с близкими, не тратя время на государственные услуги.
Annotation. The article considers the relationship between human capital and the knowledge management system. Human capital is one of the main factors in the development of an organization and society. Because it improves internal processes, introduces innovations, and optimizes the structure. An overview of the elements and structure of the knowledge management system is presented. The influence of internal human qualities on the formation of corporate culture is argued. The structure of the knowledge management system is considered using the example of the center for state and municipal services "My documents". The article describes the organization of employee training, its necessary elements, the functions of Department managers, and such a phenomenon as the mentoring Institute. Based on the new features of the Digital economy program, a forecast of the results of its implementation by 2024 is made. It will be possible to implement the main idea of the digital economy for citizens: to make the state more effective and less visible, to increase the level of public security, to spend time with loved ones without spending time on public services.
Ключевые слова: государственные услуги, знания, интеллектуальный капитал, потенциал, цифровая экономика, человеческий капитал.
Keywords: public services, knowledge, intellectual capital, potential, digital economy, human capital.
В настоящее время, большое значение уделяется развитию человеческого капитала. Это совокупность знаний, навыков и умений, которыми обладает человек. Применяя те или иные знания в своей области, он решает поставленные задачи, при этом развивает свои внутренние способности. А система управления знаниями позволяет структурировать имеющиеся человеческие ресурсы в организации (путём объединения по конкретным областям деятельности) [8].
Система управления знаниями представляет собой совокупность плановых процессов для улучшения использования имеющихся или создания новых индивидуальных (коллективных) ресурсов знаний с целью повышения конкурентоспособности организации [1].