Организация защиты электронного документооборота в Иркутском филиале ОАО «Ростелеком»

 

В ОАО «Ростелеком» защиту документов обеспечивает Lotus Notes и Domino. В издании для пользователя [4] написано, что это распределённая объектная документо-ориентированная клиент-серверная СУБД в сочетании с почтовой системой. Lotus Domino - это сервер приложений, а Lotus Notes - это клиент для выполнения бизнес-приложений, работы с информацией и документами, в том числе и в режиме offline.

Основные функции:

·   среда исполнения приложений автоматизации групповой деятельности;

·   криптозащита (шифрование и электронная подпись);

·   клиент электронной почты;

·   сервер приложений;

·   почтовый сервер;

·   групповой календарь, планировщик задач;

·   клиент среды обмена мгновенными сообщениями;

·   веб сервер - для предоставления доступа к приложениям Lotus Notes через браузер;

·   репликация - синхронизация между дистанционно удалёнными экземплярами баз данных.

Защита данных происходит путем шифрования:

·   баз данных и отдельных документов - при хранении, по команде пользователя, так и автоматически при создании;

·   передаваемой почты - при передаче, на всём протяжении;

·   трафика через выбранный сетевой интерфейс (сетевой протокол);

·   трафика для соединения с заданным абонентом.

Личный шифр пользователя автоматически генерируется в момент регистрации. Личный шифр состоит из двух чисел (ключей), одно из которых используется для шифрации данных, а другое для дешифрации. Это т.н. открытый и закрытый ключи.

Открытый ключ используется другими пользователями, чтобы:

·   шифровать отправляемую данному пользователю почту;

·   проверять пришедшие от данного пользователя данные на подлинность.

Закрытый ключ используется:

·   для расшифровки входящей почты;

·   для цифровой подписи исходящих данных.

Под исходящими/пришедшими данными имеется в виду не только почта, но вообще любые документы из любых баз.

Хотя открытый и закрытый ключи связаны между собой определенной взаимооднозначной зависимостью, гарантируется, что вычисление закрытого ключа по известному открытому будет очень трудоёмким.

В Notes используется популярная шифросистема RSA.

Наряду с несимметричным шифрованием в Notes используется и симметричное. При одинаковой надежности симметричное шифрование, как правило, работает быстрее, чем несимметричное. Под надежностью здесь подразумевается сложность расшифровки без знания ключа.

В Notes используются симметричные шифросистемы RC2 и RC4.

Поскольку один и тот же ключ используется не только для шифрации, но и для дешифрации данных, сам по себе такой шифр не может использоваться в случаях, подобных шифрованию почты, т.к. адресант сможет читать зашифрованные сообщения.

Поэтому в тех случаях, где необходимо сохранить и приватность, и скорость шифрования, применяется комбинированная схема: Notes генерирует случайный RC2-шифр, шифрует им данные, потом шифрует RC2-шифр открытым ключом пользовательского RSA-шифра и дописывает его к данным.используется самостоятельно для шифрозащиты коллективных данных, таких как документы в досках объявлений.

Для внутреннего документооборота используется корпоративная ЕСЭД (единая система электронного документооборота). ЕСЭД работает на базе Lotus как дополнительный модуль (расширение).

ЕСЭД описана в руководстве пользователя ЕСЭД[5].

Чтобы приступить к работе в ЕСЭД, необходимо знать регистрационное имя пользователя и пароль.

ЕСЭД предназначена для автоматизации следующих видов деятельности:

·   работа с организационно-распорядительными документами - создание и размещение в хранилище проектов документов, согласование документов с использованием типовых маршрутов прохождения документов, рассылка документов между подразделениями, хранение и архивирование документов;

·   работа с закупочными документами - предоставление пользователям системы возможности согласовывать и хранить заявки на реализацию закупки в рамках требований Федерального закона РФ от 18.07.2011 г. № 223-ФЗ; сокращение сроков согласования заявок на закупку; создание единого хранилища документов по закупочной деятельности;

·   делопроизводство - регистрация входящей, исходящей и внутренней корреспонденции с автоматическим присвоением документам регистрационных номеров, контроль процесса согласования, формирование структурированного оперативного хранилища документов, контроль целостности документов и сохранности реквизитов документов, поиск документов в хранилище, формирование отчетов по движению и исполнению документов по заданным формам, списание документов в дело;

·   работа с поручениями (заданиями) - формирование поручений и назначение исполнителей по ним, маршрутизация поручений (с использованием шаблонов маршрутов), автоматическая доставка исполнителям уведомлений о поручениях, контроль исполнения поручений и резолюций по документам, формирование и доставка отчетов исполнителей и т.п.

В системе можно увидеть, какой пользователь и когда создал документ, а также отследить его состояние. Пользователь, создавший документ, может установить права доступа и разрешенные операции. Например, пользователь не сможет изменить документ, который прислан только для ознакомления им.

На данный момент в Иркутском филиале ОАО «Ростелеком» не используется ЭП. Поэтому документы на утверждение директору предоставляются в бумажном варианте. Чтобы утвержденный документ существовал в электронном виде, сотрудники отдела делопроизводства сканируют его и вносят в ЕСЭД.

Порядок обращения с документами описан в таких документах организации как инструкция по ведению внутреннего и входящего электронного документооборота [6], инструкция по ведению исходящего электронного документооборота [7], инструкция по контролю исполнения документов с использованием ЕСЭД [8].

Передача внутреннего документа, его рассмотрение, внесение резолюций, внесение отметки об исполнении производится посредством ЕСЭД, за исключением документов с грифом «Конфиденциально» и «Коммерческая тайна», которые оформляются на бумажном носителе и регистрируются в отделе обеспечения защиты государственной тайны.

Наряду с электронными документами допускается создание документа на бумажном носителе, при этом могут использоваться электронные листы согласования.

В случае ухода работника в отпуск, выезда в командировку, перехода на другую должность или увольнения, изменения в ЕСЭД вносятся администратором, на основании представленной заявки самим работником или делопроизводителем подразделения работника в отдел прикладной поддержки пользователей корпоративных систем управления.

Количество лицензий на использование Lotus ограничено, а т.к. пользователей в ОАО «Ростелеком» очень много, сотрудники более низкого звена (например, операторы) используют Microsoft Outlook для взаимодействия через корпоративную почту.

Сервис (услуга) корпоративной электронной почты предоставляется сотрудникам исключительно для выполнения их должностных обязанностей. Сообщения корпоративной почты проходят следующие проверки:

· проверка сообщения на наличие вредоносного программного обеспечения;

·   проверка сообщения на наличие спама;

·   проверка сообщения на наличие файлов запрещённого типа (система контентного анализа);

·   обработка сообщений, не поддающихся контентному анализу;

·   проверка на допустимый максимальный размер почтового сообщения.

В Политике использования корпоративной электронной почты [9] указано, что при отправке информации адресатам пользователь обязан контролировать отправляемые сообщения и файлы на возможность наличия в них коммерческой тайны, конфиденциальной или любой другой критичной для бизнеса Общества информации. Организация оставляет за собой право осуществлять, в порядке контроля, выборочную проверку правильности использования корпоративной почты без предварительного уведомления сотрудников

До 2014 года взаимодействие с внешними организациями обеспечивалось Lotus с использованием ЭП.

С весны 2014 изменилась структура обработки документов, изменился регламент. Реорганизация обеспечила решение следующих задач:

·   оптимизации административных и управленческих расходов за счет эффекта масштаба, централизации управления и устранения дублирующих функций;

·   повышении оперативности принятия и эффективности исполнения управленческих решений благодаря сокращению количества уровней управления.

Т.е. путем оптимизации сократили дублирующих работников на всех местах. Все приказы издаются в макрорегиональном филиале «Сибирь» ОАО «Ростелеком» в Новосибирске и пересылаются для ознакомления в Иркутск. Расчет заработной платы и бухгалтерия ведется также в Новосибирске. Соответственно, т.к. головное предприятие в Новосибирске, то и все отчеты делаются и сдаются в Новосибирске. Поэтому и ЭП в Иркутском филиале ОАО «Ростелеком» не используется.

В настоящее время отправка документов в сторонние организации осуществляется по факсу, электронной почте, нарочно, почтовой фельдъегерской, специальной связью, а также посредством курьерских компаний (экспресс-почта). Для отправки документов исполнителю необходимо представить документ в Отдел делопроизводства. При отправке документов почтовой связью исполнитель прикладывает к документу заполненный акт приёма-передачи документов на отправку почтовой связью.

Сотрудник Отдела делопроизводства, осуществляющий отправку документов на бумажном носителе, делает отметку об отправке в акте приёма приёма-передачи документов на отправку (1 экземпляр акта возвращается исполнителю).

Отправка документов посредством экспресс-почты осуществляется также при условии оформления акт приёма-передачи документов на отправку почтовой связью.

 

Заключение

 

С точки зрения правовой защиты информации, объект защищен в соответствии с обрабатываемой информацией. В организации имеются нормативные документы, регулирующие отношения в сфере обработки, передачи и хранения конфиденциальной информации и персональных данных, а также по мере необходимости разрабатываются новые и вносятся поправки в устаревшие документы в соответствии с современными требованиями.

С точки зрения технической защиты, в целом, объект защищен в соответствии с характером используемой информации, но необходима установка пропускной и внутриобъектовой систем на базе приборов НПО «Болид», АРМ «Орион», а также установка видеорегистратора, дополнительных видеокамер для усовершенствования СКУД (Система контроля и управления доступом) и СОТН (Система охранного теленаблюдения).

С точки зрения криптографической защиты объект защищен в соответствии с характером используемой информации.

В целом, СЗИ на предприятии налажена и соответствует характеру обрабатываемой информации и требованиям стандартов. Режимы, установленные на предприятии, соблюдаются.

Главной выявленной проблемой является отсутствие защищенного электронного документооборота как такового, а именно ЭП. Необходимо внедрить ЭП для упрощения процедуры документационного взаимодействия между филиалами предприятия, а также со сторонними организациями.

 

 

Библиографический список

 

1. Иркутский филиал [Электронный ресурс] / Официальный сайт ОАО «Ростелеком» // http://www.rostelecom.ru/about/branches/siberia/about/branches/irkutsk/.

2. Политика информационной безопасности ОАО «Ростелеком» от 31.10. 2008 г. № 426 (редакция 1).

.   Перечень информации, составляющей КТ № 07 от 30.05.2012.

.   Илья Евсеев. Электронное издание «Lotus Notes для пользователя» [Электронный ресурс] // http://ilya-evseev.narod.ru/lotus/book/00_lnotes.html.

.   Руководство пользователя ЕСЭД «Ростелеком» от 22.09.2012г.

.   Инструкция по ведению внутреннего и входящего электронного документооборота в Макрорегиональном филиале «Сибирь» ОАО «Ростелеком» (Редакция 2) от «19» апреля 2011г. № 39.

.   Инструкция по ведению исходящего электронного документооборота в Макрорегиональном филиале «Сибирь» ОАО «Ростелеком» (Редакция 2) 2013г.

.   Инструкция по контролю исполнения документов с использованием ЕСЭД в Макрорегионе «Сибирь» ОАО «Ростелеком» (Редакция 1) от 19.02.2013г. № 01/07/92-13.

.   Политика использования корпоративной электронной почты в Макрорегиональном филиале «Сибирь» ОАО «Ростелеком» (Редакция 1) от 30.09.2011г. №459.1.