Серед переваг електронного документообігу не лише зручність, але й безпека. Адже електронні документи зберігаються у захищених хмарних сховищах, пересилаються виключно захищеними каналами, а також можна налаштувати обмежений доступ до кожного з них. Це значно надійніше, ніж працювати з документами в паперовому вигляді та тримати їх у звичайному архіві.
Але для того, щоб на 100% бути переконаним у надійності ЕДО, треба обрати безпечну систему. У цьому блозі ми розповімо про основні фактори та критерії, що вказують на захист та безпеку такого ПЗ. Отже, що варто перевірити під час вибору системи електронного документообігу.
Коли ви обираєте систему, перевірте наявність у неї сертифікатів, що підтверджують відповідність стандартам інформаційної безпеки.
Безпека системи часто залежить від захисту платформи, на якій вона створена. Наприклад, якщо платформа отримала сертифікат Г2 згідно стандартів захисту інформації України, то вона відповідає рівню EAL 3 міжнародного стандарту. Такий сертифікат забезпечує відповідний захист персональних даних у системі, а також свідчить про те, що рішення може використовуватись в державних органах України.
Також можна дивитися на інші параметри, що вказують на безпеку. Наприклад, на відповідність всім вимогам безпеки GDPR (загального регламенту про захист даних Європейського Союзу).
Penetration-тест або тест на проникнення – це перевірка системи так званими «білими хакерами». Під час такого тестування спеціаліст намагається знайти вразливості, використати їх, щоб зламати програму, вивести її з ладу, вкрасти конфіденційну інформацію і так далі. Якщо йому це не вдається – це означає, що система пройшла тест і є надійною.
Звіти про проходження таких penetration-тестів ви можете запросити у розробника системи. Також можна організувати перевірку за допомогою незалежних компаній, що надають такі послуги, або силами власних спеціалістів і переконатися, що система витримає «атаку».
Також безпечну систему можна визначити за такими факторами:
Інформаційна безпека хмари (дата-центру), у якому розгорнута система, має відповідати як українським вимогам у галузі захисту інформації так і міжнародним стандартам, наприклад такому як стандарт ISO 27001.
-
Двофакторна аутентифікація
Це найбільш надійний спосіб входу до облікового запису. Його суть в тому, що доступ до акаунту можна отримати, підтвердивши свою особистість у кілька етапів. Наприклад, за допомогою отриманого листа на електронну пошту, смс-повідомлення або push-повідомлення.
Система повинна використовувати захищене з’єднання між сервером та клієнтом з використанням https протоколу обміну даними, що забезпечує шифрування даних, які передаються між клієнтом та сервером. Завдяки шифруванню сторонні особи не зможуть прочитати інформацію, навіть якщо перехоплять її.
Щоб не втратити документи, необхідне резервне копіювання. Найбільш надійні системи – ті, які виконують регулярне резервування даних та зберігають їх в захищеному хмарному середовищі у кількох дата-центрах.
-
Політика захисту контенту (Content security policy)
Використання Content security policy у повідомленнях, що надходять від сервера. Це унеможливлює використання зловмисниками Cross Site Scripting атак на пристрої користувача.
-
Налаштування прав доступу
В системі повинна бути можливість розмежувати права доступу. Тобто, працювати з документами можуть виключно співробітники згідно встановленого переліку. Це стосується як перегляду документів, так і дозволу на їх підписання.
Всі документи, що є в системі, повинні зберігатися у файловому сховищі в зашифрованому вигляді. Якщо зловмисник отримає фізичний доступ безпосередньо до файлового сховища, він не зможе розшифрувати дані без відповідних ключів.
Система має перевіряти документи, що завантажуються користувачами, на наявність вірусів, тим самим унеможливлюється зараження інших документів в системі, що може призвести до небажаних наслідків.
-
Захищений електронний підпис
Все підписання документів КЕП проводиться на пристрої клієнта. Сам ключ підпису та його паролі не передаються на сервер, тому перехопити їх неможливо.
Тож не варто боятися переходити на електронний документообіг. Нюанси використання е-документів давно прописані в законодавстві, а самі системи забезпечують надійний захист вашої інформації. Це дозволяє уникнути більшості ризиків, які є при роботі з паперовими документами: до цифрових документів не можуть отримати несанкціонований доступ сторонні користувачі, а також їх майже неможливо втратити чи підробити. Тому обирайте електронний документообіг – тільки він може забезпечити найвищий рівень захисту та надійності.
