BẢO ĐẢM BẢO MẬT THÔNG TIN VỚI VIỆC SỬ DỤNG TÀI LIỆU ĐIỆN TỬ

Quản lý tài liệu là hệ thống tuần hoàn của một tổ chức: mọi hoạt động đều được phản ánh trong các tài liệu, có thể là quản trị, tài chính hoặc sản xuất. Thông thường, chỉ tối ưu hóa quy trình làm việc mới có thể cải thiện đáng kể chất lượng của các quy trình. Ngoài ra, khi đã nhìn thấy những tiềm năng trong quy trình xử lý công việc, thật dễ dàng để áp dụng kinh nghiệm này vào quy trình kinh doanh của công ty[1]. Tài liệu là cơ sở thông tin của tổ chức và chiếm khoảng 80% tất cả thông tin. Quản lý tài liệu hỗ trợ việc trao đổi thông tin hợp lý  giữa từng nhân viên và các bộ phận khác nhau.

Việc giới thiệu một hệ thống quản lý tài liệu điện tử (EDMS) cho phép bạn có được sự linh hoạt lớn trong việc xử lý và lưu trữ thông tin và buộc hệ thống quan liêu của công ty hoạt động nhanh hơn và hiệu quả hơn. Theo một số nhà phân tích, năng suất của nhân viên khi sử dụng tài liệu điện tử tăng 20-25% và chi phí lưu trữ tài liệu điện tử thấp hơn 80% so với chi phí lưu trữ giấy.

Một vài năm trước đây, khái niệm “bảo mật thông tin của các hệ thống quản lý tài liệu điện tử” ít được quan tâm, nhưng ngày nay nó trở nên phổ biến và được sử dụng nhiều hơn. Do đó, ngày càng có nhiều cơ quan chính phủ và các tổ chức thương mại chuyển sang hệ thống tài liệu điện tử, 40% các công ty đã hoàn thành việc triển khai và 28% khác đang trong quá trình thực hiện. Chỉ 13% các công ty không có kế hoạch sử dụng hệ thống tài liệu điện tử. [6]

Nhưng trong quá trình chuyển đổi sang quản lý tài liệu điện tử (ED), xuất hiện một nhu cầu cấp thiết để bảo vệ hệ thống quản lý tài liệu điện tử.

Đánh giá mức độ bảo mật của hệ thống quản lý tài liệu điện tử. Khi xây dựng một hệ thống bảo vệ, trước hết cần xác định các mối đe dọa bảo mật thực tế và khả năng phòng ngừa của hệ thống bằng chức năng của phần mềm hệ thống, vì biện pháp này tránh được chi phí tài chính đáng kể.

Các vấn đề cấp thiết nhất trong việc đảm bảo an ninh thông tin khi sử dụng các hệ thống quản lý tài liệu điện tử là:

Các mối đe dọa của khả năng tiếp cận là một sự cố phần mềm của hệ thống; sự gián đoạn của mạng và thiết bị máy tính, bao gồm cả những thiết bị gây ra bởi các cuộc tấn công từ chối dịch vụ và sự ra đời của phần mềm độc hại, thiên tai và mất điện; chặn hoặc xóa thông tin, do hành động không mong muốn của người dùng.

Các mối đe dọa đến tính toàn vẹn là thiệt hại và phá hủy thông tin, sự biến dạng của thông tin, cho dù đó là cố ý trong trường hợp lỗi và trục trặc, hoặc độc hại.

Mối đe dọa bảo mật là bất kỳ hành vi vi phạm bảo mật nào, bao gồm trộm cắp, chặn thông tin và định tuyến lại.

Mối đe dọa đến hiệu suất của hệ thống, đó là tất cả các loại mối đe dọa, việc thực hiện trong đó sẽ dẫn đến sự gián đoạn hoặc chấm dứt hệ thống; Điều này bao gồm cả các cuộc tấn công có chủ ý và lỗi người dùng, cũng như lỗi phần cứng và phần mềm. Bất kỳ hệ thống lưu thông tài liệu điện tử nào đều phải thực hiện việc bảo vệ chống lại các mối đe dọa này theo cách này hay cách khác. Đồng thời, một mặt, giới thiệu hệ thống tài liệu điện tử tinh giản và củng cố thông tin, làm tăng nguy cơ của các mối đe dọa, nhưng mặt khác, ngược lại, tinh giản quy trình làm việc cho phép bạn xây dựng một hệ thống bảo vệ tốt hơn.

Ngoài ra, điều quan trọng là phải đảm bảo giá trị pháp lý của tài liệu điện tử. Ý nghĩa pháp lý cho phép tổ chức bảo vệ lợi ích của mình trong các tình huống gây tranh cãi – cả về quan hệ hợp đồng và trong chính công ty.

Vấn đề chính diễn ra trong việc tổ chức bảo vệ hệ thống tài liệu điện tử, như được lưu ý bởi hầu hết các nhà phát triển hệ thống bảo vệ, không phải là phương tiện kỹ thuật, mà là lòng trung thành của người dùng. Ngay sau khi tài liệu được gửi đến người dùng, tính bảo mật của tài liệu này liên quan đến người dùng đã bị vi phạm. Theo các biện pháp kỹ thuật, về nguyên tắc, không thể ngăn chặn sự rò rỉ tài liệu thông qua người dùng này. Anh ta sẽ tìm thấy nhiều cách để sao chép thông tin, từ việc lưu nó vào phương tiện bên ngoài hoặc chụp ảnh tài liệu bằng máy ảnh trong điện thoại di động. Phương tiện bảo vệ chính ở đây là các biện pháp tổ chức để hạn chế quyền truy cập vào các tài liệu mật với người dùng. Anh ta phải hiểu mức độ trách nhiệm của mình trước tổ chức và luật pháp của Liên bang Nga, với sự giúp đỡ của các tài liệu quy định như hướng dẫn nhân viên ngăn chặn rò rỉ thông tin cụ thể, cũng như giảm khả năng của kẻ xâm nhập, đòi hỏi đội ngũ nhân viên, cả người dùng và quản trị viên phải có tay nghề cao. [2-3]

Chúng ta hãy xem xét chi tiết hơn các công cụ được tích hợp vào hệ thống tài liệu điện tử. Bất kỳ hệ thống tài liệu điện tử nào tuyên bố là được bảo vệ, nên cung cấp một cơ chế tối thiểu để bảo vệ chống lại các mối đe dọa chính của nó.

Hệ thống tài liệu điện tử nên đảm bảo sự an toàn của các tài liệu, chống mất mát và thiệt hại và có thể phục hồi chúng một cách nhanh chóng. Theo thống kê, xác định sự mất mát thông tin quan trọng cho thấy 45% trường hợp mất thông tin là do nguyên nhân vật lý (thiết bị lỗi thời, thiên tai và tương tự), 35% là do lỗi người dùng và ít hơn 20% là do chương trình độc hại và kẻ xâm nhập gây ra. [7]

Truy cập an toàn vào dữ liệu trong hệ thống quản lý tài liệu điện tử được cung cấp bởi xác thực và phân định quyền người dùng.

Hãy cho chúng tôi biểu thị các quy trình thiết lập danh tính của người dùng và quy trình xác nhận tính hợp pháp của người dùng đối với hành động hoặc thông tin bằng một thuật ngữ – xác thực, có nghĩa là toàn bộ các hoạt động được thực hiện ở lối vào của người dùng vào hệ thống và liên tục trong công việc tương lai của mình.

Ở đây nó là cần thiết để tập trung vào phương pháp xác thực. Phổ biến nhất trong số này, tất nhiên, là mật khẩu. Các vấn đề chính làm giảm đáng kể độ tin cậy của phương pháp này là yếu tố con người. Ngay cả khi bạn buộc người dùng sử dụng mật khẩu được tạo chính xác, trong hầu hết các trường hợp, nó có thể dễ dàng tìm thấy trên một mảnh giấy ghi mật khẩu để trên bàn hoặc dưới bàn phím.

Không có chỉ dẫn từ quyền tác giả, tính toàn vẹn và bảo mật được cung cấp bởi các phương pháp mã hóa. Chữ ký điện tử kỹ thuật số hiện tại (EDS) và mã hóa. Những công cụ này được thực hiện bằng cách sử dụng mật mã không đối xứng. Mỗi nhân viên – người dùng hệ thống tài liệu điện tử – có hai khóa (cặp khóa) – đóng và mở. Sử dụng khóa riêng, chữ ký điện tử kỹ thuật số được tạo và thông tin dành cho người dùng này được giải mã. Khóa riêng tư chỉ có thể truy cập được với chủ sở hữu của nó. Khóa công khai được sử dụng để xác minh chữ ký số và mã hóa và có sẵn cho bất kỳ người dùng nào của hệ thống thông tin.

Để tạo chữ ký điện tử và mã hóa điện tử trong chữ ký điện tử kỹ thuật số, các nhà cung cấp mật mã được sử dụng phần mềm và phần cứng. Cần phải sử dụng các nhà cung cấp mật mã được chứng nhận – đây là một trong những điều kiện chính để đảm bảo ý nghĩa pháp lý của chữ ký điện tử kỹ thuật số.

Nếu luồng tài liệu điện tử có ý nghĩa pháp lý, thì trong trường hợp tố tụng pháp lý, tòa án, khi xem xét các trường hợp về tranh chấp, chấp nhận bằng chứng dưới dạng chứng từ điện tử được chứng nhận bằng chữ ký điện tử.

Do đó, dựa trên một phân tích ngắn gọn về tình trạng bảo mật thông tin của tổ chức, bao gồm mô hình mối đe dọa và mô hình kẻ xâm nhập, cũng như việc áp dụng các biện pháp đề xuất để loại bỏ các mối đe dọa an ninh hiện tại, việc sử dụng các hệ thống quản lý tài liệu điện tử đòi hỏi phải phát triển cẩn thận chính sách bảo mật của tổ chức, các biện pháp tổ chức bổ sung, kỹ thuật và phương tiện kỹ thuật bảo vệ thông tin. Nếu không, các mối đe dọa bảo mật thông tin sẽ có xác suất cao và các rủi ro sẽ là có thật, hữu hình và ấn tượng. [4-5]

TÀI LIỆU THAM KHẢO

1.Bakirov E.E., Basyrov A.R. Các tính năng bảo vệ tài liệu điện tử. [Văn bản] // Kỷ yếu hội nghị khoa học-thực tiễn – Bộ Nông nghiệp Liên bang Nga; FGBOU VPO Bashkir State Agrarian University; Khoa Công nghệ thông tin và Quản lý; Sở Tin học và Công nghệ thông tin. 2016. – trang 6-8.

2.Dosmukhamedov B.R. Phân tích các mối đe dọa đến các hệ thống quản lý thông tin tài liệu điện tử // ISSN 2072-9502. Bản tin của ASTU. Ser: Quản lý, công nghệ máy tính và khoa học máy tính.-2009.-№2. – trang 140-143.

3.V.I. Yarochkin. An ninh thông tin (Sách giáo trình cho các trường đại học). M. Mir Foundation và Akademichesky Prospect Publishing House. 2006

4.Ryabko B.Ya., Fionov A.N. Các phương pháp bảo mật thông tin mật mã: Hướng dẫn cho các trường đại học. – M: Hotline-Telecom, 2005. -229 tr.

5.GOST R ISO / IEC 15408-2001 “Phương pháp và phương tiện bảo đảm an ninh. Tiêu chuẩn đánh giá an ninh công nghệ thông tin.

6.Nguồn – DOCFLOW, thị trường Nga ECM 2015.

7.Công ty TAdviser. Thống kê về sự phát triển của hệ thống tài liệu điện tử ở Nga. [Tài nguyên điện tử]. URL: http://www.tadviser.ru/index.php/SED.

 

Tác giả: Akhmadullina M.Sh.

TS. Nguyễn Lệ Nhung Dịch từ https://scienceforum.ru/2017/article/2017037719

Leave a Reply

Your email address will not be published. Required fields are marked *