Защищенный документооборот
Эффективное управление документами предполагает наличие хорошо написанной, четкой и однозначной политики, а также информационной системы, которая может обеспечивать различные уровни безопасности при доступе к документам
КОНСУЛЬТАЦИЯ
Использование электронного (цифрового) документооборота требует создания и применения адекватного уровня информационной безопасности не только в части обеспечения конфиденциальности, целостности и доступности документированных данных, но и обеспечения подлинности, неотказуемости и подотчётности.
Обеспечение защищённости электронного документооборота производится в соответствии с законодательством о персональных данных и об электронной подписи

Ознакомьтесь с требованиями и рекомендациями к построению защищенного документооборота организации
Объекты защиты
1

Информация

Цифровые документы и их хранилища
2
Процессы юридически значимого электронного документооборота
Создание, редактирование, подписание цифрового документа и др.
3
Программное обеспечение
Микропрограммное, общесистемное и прикладное ПО электронного документооборота
7 смертных грехов защиты документооборота
1. Отсутствие документированного и стандартизированного плана безопасности
2. Невозможность перевода бумажных или физических документов в цифровой формат
3. Отсутствие защиты папок и документов
4. Отсутствие контроля над пользователями
5. Отсутствие регулярного резервного копирования документов
6. Отсутствие защиты мобильных устройств
7. Отсутствие регулярных аудитов безопасности
4. Отсутствие контроля над пользователями
5. Отсутствие регулярного резервного копирования документов
6. Отсутствие защиты мобильных устройств
7. Отсутствие регулярных аудитов безопасности
1. Отсутствие документированного и стандартизированного плана безопасности
2. Невозможность перевода бумажных или физических документов в цифровой формат
3. Отсутствие защиты папок и документов
Подробная информация о функциональности решения, особенностях внедрения и использования
Подробная информация о функциональности решения, особенностях внедрения и использования
Меры защиты информации
Использование электронной подписи
Использование электронной подписи является важнейшим ключевым элементом системы электронного документооборота организации. Именно ЭП позволяет рассматривать набор цифровых данных в качестве юридически значимого документа
Менеджмент персональных данных
Большая часть требований российского и зарубежного законодательств в области персональных данных выполняется за счёт применения менеджмента ПДн - инструмента, позволяющего упростить процесс автоматизации обработки ПДн, увеличить доверие системе защиты ПДн, повысить прозрачность действий над ПДн. Такой инструмент применяется в соответствии с лучшими практиками, например, ISO/IEC 27701:2019
Обучение и повышение осведомлённости персонала по вопросам ИБ
Процесс формального обучения сотрудников посвящён противостоянию различным киберугрозам: способам их распознавания и шагам, которые необходимо предпринять для обеспечения безопасности себя и своей компании. Небольшие расходы на повышение осведомлённости работников позволяют снизить риски и потенциальный ущерб от реализации кибератак, особенно, методами социальной инженерии
Управление аккаунтами пользователей/ привилегированными пользователями
IAM/PAM-системы являются средствами управления доступом, которые обычно используются для управления идентификационной аутентификацией и авторизацией в масштабах всего бизнеса, в особенности для привилегированных учётных записей пользователей (т.е. имеющих специальные привилегии для выполнения критически важных бизнес-функций, таких как доступ к конфиденциальной информации компании, сброс паролей пользователей и внесение изменений в системы ИТ-инфраструктуры). Использование таких систем позволяет снизить серьёзные риски компроментации таких учетных записей
Управление мобильными устройствами
Системы управления мобильными устройствами - это программное обеспечение, которое позволяет реализовывать политики защиты, мониторинга и управления мобильными устройствами (смартфоны, планшенты, ноутбуки, IoT-устройства) конечных пользователей в организации, выявляя и устраняя потенциальные уязвимости мобильных устройств, тем самым снижая риски информационной безопасности
Резервное копирование и восстановление информации
Периодические и протестированные резервные копии - это именно то, что позволит организации иметь беспрепятственный доступ к своим файлам, даже на случай компьютерной атаки, перебоя электропитания, старения машинных носителей, сбоя в работе операционных систем
Защита от утечек и несанкционированного доступа
DLP-системы позволяют выявлять утечки коммерческой тайны и иной конфиденциальной информации с большинства пользовательских устройств и большинства приложений. Даже незаконное фотографирование экрана компьютера
Менеджмент беспроводной сетевой инфраструктуры
Широчайшее использование беспроводных сетей организациями создаёт множество векторов для проникновения злоумышленника в инфраструктуру организации. Управление такими сетями необходимо для снижения рисков компьютерных атак
Многофакторная и усиленная аутентификация
Одним из существенных рисков для сложных систем с тысячами внутренних пользователей является потеря одним из них своего пароля. Для снижения такого риска используются дополнительные средства аутентификации. Для системы 1 класса (уровня, категории) многофакторная аутентификация является обязательной
Обучение и повышение осведомлённости персонала по вопросам ИБ
Процесс формального обучения сотрудников посвящён противостоянию различным киберугрозам: способам их распознавания и шагам, которые необходимо предпринять для обеспечения безопасности себя и своей компании. Небольшие расходы на повышение осведомлённости работников позволяют снизить риски и потенциальный ущерб от реализации кибератак, особенно, методами социальной инженерии
Управление цифровыми активами
Системы управления цифровыми активами (DAM) помогают организациям хранить, систематизировать, находить, извлекать и распространять весь каталог цифрового контента из одного централизированного места, из "единственного источника", что позволяет снизить риски информационной безопасности в части обеспечения достоверности информации, соблюдения цифровых прав, распределения полномочий пользователей по обработке информации
Поведенческий анализ
Применение парадигмы человеко-ориентированной безопасности и UEBA-решений для поведенческого анализа в отношении как пользователей, так и системных и прикладных процессов позволяет снизить поверхность кибератак, повысить операционную эффективность реагирования на события безопасности, выявлять потенциальные утечки конфиденциальной информации, кражи учётных данных и предотвращать некорректное использование привилегий