Как перейти на электронный ДСП-документооборот, включая обмен по МЭДО
За последние полтора года опыт работы с заказчиками госсектора показывает 60% рост сегмента документов ДСП в общем объеме делопроизводства. При этом далеко не все организации смогли к настоящему моменту перейти на обработку служебной информации ограниченного распространения в электронном виде. Несмотря на большую заинтересованность, развитые СЭД и технические возможности обмена ДСП-документами по системе межведомственного электронного документооборота МЭДО 2.7.1, органы власти и государственные компании сталкиваются со множеством сложностей и задаются практическими вопросами. Какие существуют проверенные и соответствующие требованиям информационной безопасности варианты реализации подобных проектов? В чем их плюсы и минусы? Дадим ответы на эти вопросы в статье.
Регулирование
Приступая к переводу ДСП-документооборота в электронный вид, важно учесть требования, которые упорядочивают обмен информацией по МЭДО и обращение со служебной информацией ограниченного распространения внутри организаций. Документы, регулирующие эти аспекты:
Совместный приказ Минцифры России № 667 и ФСО России № 233 от 4 декабря 2020 года «Об утверждении требований к организационно-техническому взаимодействию государственных органов и государственных организаций». Его положения устанавливают, в каком формате должны производиться обмен и обработка документов по МЭДО 2.7.1. Правила в равной мере распространяются на документы ДСП, для которых не предусмотрено каких-либо исключений. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», который говорит о необходимости аттестации узлов подключения МЭДО. Постановление Правительства РФ от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности».
В части последнего постановления основная сложность заключается в том, что пока отсутствует порядок обращения с ДСП-документами в электронном виде. Действующие правила применимы к работе с информацией ограниченного распространения на бумаге. В ближайшее время ИТ-отрасль и организации госсектора ожидают появления регулирования, касающегося непосредственно электронных ДСП-документов. До этого момента заказчики и интеграторы дополняют СЭД решениями, которые позволяют при переводе ДСП-документов в электронный вид максимально соблюсти требования работы с ними по имеющемуся постановлению.
Два подхода
Работа с файлами ДСП-документов возможна только с аттестованных по требованиям защиты информации рабочих мест. Зачастую организации прибегают к следующему простому варианту: для этой задачи выделяется несколько никуда не подключенных компьютеров. Но даже если аттестация одного или двух рабочих мест позволяет регистрировать или подписывать ДСП-документы, недостатки такого подхода очевидны. Решение не является системой электронного документооборота, а сотрудники не могут выполнять свои обязанности эффективно.
Если организация ставит перед собой цель сделать ДСП-документооборот частью электронного документооборота, то предложить ей можно два проверенных на практике подхода. Каждый из них имеет свои преимущества, но и подразумевает определенные особенности реализации и последующего использования.
Вариант 1: аттестация ведомственной СЭД
При данном подходе обеспечивается защита определенного количества рабочих мест и серверной группы системы документооборота организации. Самое главное — охватить в соответствии с внутренними регламентами всех участвующих в процессах согласования, подписания, оформления и отправки ДСП-документов сотрудников. Остальные рабочие места организации могут остаться незащищенными и предоставить пользователям возможность работать в этой же системе, но только с документами общего доступа.
С точки зрения исполнителей и функциональных заказчиков вариант аттестации собственной СЭД для обработки ДСП-документов очень удобен. Пользователям не нужно менять рабочие места и интерфейс системы. Документы как общего доступа, так и с пометкой ДСП могут поступать в одни и те же папки для работы по одним регламентам.
С минусами реализации подхода сталкивается ИТ-подразделение заказчика. Можно выделить несколько основных факторов, которые приводят к увеличению стоимости и длительности работ, создают дополнительные сложности, а в отдельных случаях и препятствуют аттестации:
слабая защита контура СЭД, использование Microsoft-зависимой архитектуры, применение мобильных рабочих мест на базе Android и iOS, что не соответствует текущей тенденции импортозамещения и требованиям регуляторов в области информационной безопасности; территориально распределенная система, охватывающая не только множество структурных подразделений, но и зачастую разных организаций; использование СЭД, не имеющей сертификата ФСТЭК России.
Помимо защиты контура для работы с ДСП-документами, в СЭД следует предусмотреть дополнительные функции, которые помогут соблюсти имеющиеся на сегодня требования к обращению со служебной информацией ограниченного распространения внутри организации и в целом сделают работу в системе удобнее. Например:
визуальные метки или водяные знаки для идентификации ДСП-файлов; инструменты контроля формирования электронных копий (учет скачиваний, печати, отправки по электронной почте и т. д.); ограничение передачи ДСП-документов в другие информационные системы, включая возможность отправки ДСП-документов по МЭДО только тем контрагентам, которые подтвердили, что принимают ДСП в электронном виде.
Вариант 2: аттестация выделенного контура СЭД
Подход подразумевает развертывание еще одной СЭД. Это может быть вторая инсталляция текущей СЭД организации, если она удовлетворяет всем необходимым требованиям: работает на импортозамещенной инфраструктуре, сертифицированных операционных системах и СУБД, имеет сертификат ФСТЭК на требуемый класс защиты.
Этот вариант менее удобен для пользователей. Фактически это отдельная система со своим учетом документов, справочниками, настройками, контролем исполнения поручений, отчетами и статистикой. Неудобство можно не исключить, но минимизировать, настроив информирование исполнителей от второй СЭД. В таком случае, работая в СЭД общего пользования, сотрудник будет получать уведомления о поступлении ДСП-документа во второй системе.
Обратной стороной медали является удобство подхода для подразделений ИТ и информационной безопасности. Выстраивание защищенного контура ведется с нуля, позволяет спланировать и провести его аттестацию, не преодолевая унаследованные проблемы основной СЭД.
На что обратить внимание перед стартом проекта
Достижение согласия по выбору подхода между всеми вовлеченными подразделениями
Проекты аттестации ведомственной СЭД или развертывания отдельного контура инициируются либо функциональными заказчиками, либо ИТ-подразделениями, либо специалистами информационной безопасности в зависимости от организации. Это разные структуры с пересекающимися, но отличающимися требованиями и ожиданиями к конечному результату проекта. Выбор подхода к переводу ДСП-документооборота в электронный вид должен максимально учитывать интересы всех сторон, принимая во внимание плюсы и минусы, описанные выше, во избежание взаимных претензий по завершении работ.
СЭД и ИБ под ключ
Большим преимуществом при выборе исполнителя проекта будет возможность выполнения всего комплекса работ как по развертыванию и настройке СЭД, так и по защите информации: обследованию СЭД, моделированию угроз, классификации системы, формированию требований защиты информации, проектированию, поставке и внедрению СЗИ, оценке эффективности мер и аттестации СЭД. Такой подход позволит точнее спланировать и контролировать сроки работ, избежать отдельных конкурсов и перерасхода бюджета, исключить несогласованность в постановке задач разным подрядчикам и минимизировать риски от изменений требований со стороны бизнеса или ИБ.