11.06.2007

28.05.2007, „Gazeta Prawna”, Zabezpieczenia dokumentów wykluczają nieuprawnioną ingerencję

Proces obiegu dokumentów w biurze musi być tak zaprojektowany, aby na każdym jego etapie ochrona uniemożliwiała niekontrolowany dostęp do danych i ich modyfikację.

Firmy odchodzą obecnie od zapisywania obrazów na dyskach magnetooptycznych ze względu na stosunkowo dużą awaryjność tych urządzeń i trudności w ich serwisowaniu.
– Na rynku można już znaleźć nową klasę macierzy, która ma wbudowaną funkcję WORM (write once read many). Są to urządzenia certyfikowane, spełniające wszystkie wymogi prawne i techniczne w zakresie bezpiecznego archiwizowania dokumentów. Zastosowanie takiej technologii daje pewność, że dokumenty nie zostaną skasowane, czy podmienione. Jeśli powstanie nowa wersja dokumentu, zapisywana jest ona jako odrębny plik – przekonuje Tomasz Kulczyński, dyrektor ds. rozwoju w archITec.

Kontrola uprawnień

Proces obiegu dokumentów należy tak projektować, aby dostęp do danych miały tylko upoważnione osoby.
– Można to zrobić poprzez nadanie poszczególnym użytkownikom odpowiednich uprawnień, czy haseł dostępu z uwzględnieniem okresowej ich wymiany – mówi Tomasz Kulczyński. Dokumenty mogą być udostępniane także w sposób częściowy – na danym etapie procesu pracownik widzi tylko ten zakres danych, który jest niezbędny do wykonania konkretnego zadania. Współczesne systemy do obiegu informacji mają wbudowane moduły, które nakładają niejako pewien rodzaj maski na określone pola dokumentów. Jest to typowe zabezpieczenie przed niekontrolowanym odpływem danych. Współdzielenie dostępu do informacji przez systemy informatyczne pozwala również na wyeliminowanie niekontrolowanego kopiowania dokumentów. Ponadto, dzięki zastosowaniu odpowiednich technologii, firma zyskuje pewność, że każda zmiana w dokumencie zostanie zarejestrowana przez system – ma do dyspozycji informacje, kto i kiedy jej dokonał. W ten sposób łatwo będzie można ustalić, dlaczego zmiana ta została dokonana.

Strefa niedostępna

– Najbardziej ważne dokumenty i dane nie powinny opuszczać tzw. strefy zdemilitaryzowanej, ukrytej za ścianą ogniową (firewall) – twierdzi Marek Bronder, dyrektor ds. sprzedaży i rozwoju w ArchiDoc. Tworząc system zarządzania dokumentami dostawcy proponują klientom w pierwszej kolejności procedury bezpieczeństwa wykorzystujące najnowsze rozwiązania systemowe i sprzętowe kategorii ściana ogniowa i oprogramowanie antywirusowe. Rozwiązania takie znacznie zmniejszają możliwość ataków z zewnątrz, chociaż zupełnie ich nie wykluczają.
– Najbardziej optymalnego poziomu zabezpieczeń potrzebują ci klienci, dla których ochrona informacji i danych osobowych jest bezwzględnym priorytetem – informuje Marek Bronder.
Przykładem takich firm są, jego zdaniem, teleoperatorzy i przedsiębiorstwa sektora finansowego – banki i towarzystwa ubezpieczeniowe. Serwery tego rodzaju firm pracują najczęściej w wydzielonej sieci wewnętrznej, bez dostępu do internetu, a więc są niezagrożone atakami hakerów.
– Decydując się na takie rozwiązanie, firma eliminuje możliwość fizycznego dostania się do jej sieci z zewnątrz – podkreśla Marek Bronder.

Ochrona przesyłek

We współczesne systemy elektronicznego obiegu dokumentów wbudowane są rozwiązania zapewniające bezpieczny podpis elektroniczny i cyfrową identyfikację, np. szyfrowanie załączników, technologię bezpiecznego kuriera, oznaczanie dokumentu znacznikiem czasu, a nawet system biometrycznej identyfikacji użytkowników.
– Bezpieczny kurier to system elektronicznej poczty poleconej, w którym wydawane są poświadczenia nadania i odbioru e-dokumentów – wyjaśnia Tomasz Kulczyński.
Rozwiązanie to gwarantuje nienaruszalność zawartości i poufność przesyłek. Ponadto w systemie przechowywane są daty wysłania i odebrania przesyłki elektronicznej. Zastosowanie modułu znacznik czasu gwarantuje, że daty na przechowywanych i przesyłanych dokumentach są obiektywne i nienaruszalne.

Każda firma może dobrać rozwiązanie odpowiednie do swoich potrzeb i możliwości finansowych. Wdrożenie systemu elektronicznego obiegu dokumentów (EDI) oczywiście wiąże się z koniecznością wprowadzenia wielu zmian w sposobie funkcjonowania firmy.
– Z tego powodu projekt wdrożenia może napotkać opór ze strony niektórych pracowników. Jednak wygoda korzystania z takiego rozwiązania i szybki dostęp do informacji w krótkim czasie są w stanie przekonać do siebie nawet największych przeciwników nowości – mówi Marek Bronder.

Rozwój outsourcingu

Oferta systemów zarządzania dokumentami i zabezpieczeń powiększa się i – zdaniem analityków rynku IT – jest już dziś bogata. Polskie firmy staną niebawem przed koniecznością dokonania wyboru rozwiązań, które umożliwią im korzystanie z dokumentu elektronicznego w kontaktach biznesowych na szeroką skalę. W związku z tym rynek wyjdzie poza proste usługi zarządzania dokumentami. Wraz z poszerzaniem kontaktów i współpracy z wykorzystaniem dokumentów elektronicznych nastąpi rozwój ofert wyspecjalizowanych dostawców zewnętrznych. Outsourcing zarządzania dokumentami zakłada przekazanie zewnętrznemu usługodawcy:

  • dokumentów związanych z kontaktem i obsługą klienta,
  • procesów związanych z przetwarzaniem dokumentów technicznych, np. biuletynów serwisowych, specyfikacji produktów, instrukcji napraw itp,
  • procesów związanych z marketingiem i komunikacją – chodzi przede wszystkim o dokumenty skierowane na zewnątrz firmy,
  • procesów związanych z dokumentowaniem wymaganym przez regulatorów (powszechne w branży finansowej, ubezpieczeniowej, związane z bezpieczeństwem produktu),
  • procesów związanych z księgowością.

Krzysztof Polak


Zabezpieczenia informatyczne obiegu dokumentów

  • umożliwienie dostępu do systemów informatycznych tylko i wyłącznie uprawionym osobom (z kontrolą logowania i systemem haseł przydzielanych okresowo);
  • nadzór nad czynnościami wykonywanymi przez pracowników;
  • wielokrotne kontrole na każdym etapie obróbki nośnika umożliwiające ustalenie drogi dokumentu;
  • transmisja danych za pomocą połączeń szyfrowanych (VPN);
  • archiwizowanie poprzez wielokrotne tworzenie kopii zapasowych oraz składowanie w ośrodku zapasowym;
  • klastrowanie, replikacja, redundancja sprzętowa (podwojenie kluczowych elementów) oraz funkcjonujące centrum zapasowe – zapewnia to niezawodność systemów informatycznych;
  • zastosowanie zapór firewall i ochrony antywirusowej zabezpieczających przed atakami z sieci;
  • przepływ danych do sieci korporacyjnej, z pominięciem internetu.

Procedury

  • uzgodnienie procesów w biurze z polskimi normami prawnymi (w tym ustawy o rachunkowości, ustawy o ochronie danych osobowych i rozporządzenia ministra pracy w sprawie zasad przechowywania dokumentacji osobowej i płacowej pracowników);
  • zgłoszenie zbioru danych do urzędu Generalnego Inspektora Danych Osobowych;
  • systematyczne szkolenia dla pracowników w zakresie znajomości wewnętrznych rozwiązań bezpieczeństwa oraz ochrony informacji niejawnych;
  • w miarę możliwości pracownicy najbardziej zaangażowani w obsługę systemu zarządzania dokumentami powinni uzyskiwać certyfikaty „Poświadczenie bezpieczeństwa” wydane przez Agencje Bezpieczeństwa Wewnętrznego oraz uczestniczyć w szkoleniach dotyczących zachowania tajemnicy bankowej.

Zabezpieczenia

  • monitoring;
  • dedykowane systemy przeciwpożarowe;
  • systemy kontroli dostępu do wszystkich pomieszczeń;
  • całodobowa ochrona;
  • korzystanie z różnych narzędzi ochrony, np. telewizji przemysłowej.

 

 

 

 

Udostępnij