Как повысить эффективность реализации СЭД/ЕСМ-проектов
Говоря о развитии направления систем электронного документооборота (СЭД) и управления корпоративным контентом (ECM) в России, можно констатировать, что во многих компаниях и организациях переход от традиционных бизнес-процессов на основе ручного управления бумажными документами к бизнес-процессам, реализуемым с помощью широкого использования ИТ, уже завершен. И сегодня такие заказчики уже задумываются над тем, как добиться максимального эффекта от использования ИТ. При этом, наверное, нужно выделить два аспекты темы: собственно процесс внедрения системы и процесс ее эксплуатации.
В рамках изучения этой темы мы решили узнать мнение представителей действующих в данной сфере компаний-поставщиков.
Общая оценка ситуации на рынке
Для начала важно понять, как специалисты оценивают уровень автоматизации задач по работе с документами в российских организациях в целом, имея при этом в виду степень завершенности перехода от традиционных бизнес-процессов к СЭД и различия в уровне проникновения современных технологий электронного документооборота в разных отраслях экономики, а также в коммерческом и государственном секторах.
Мнения опрошенных нами экспертов по данному вопросу разделились. Большинство из них считает, что дать оценку «в среднем по стране» довольно сложно, поскольку уровень автоматизации работы с документами очень разный, а до перехода на безбумажный документооборот еще очень далеко.
Общую картину председатель совета директоров компании ЭОС Владимир Баласанян обрисовал так: «В настоящее время в основном завершен процесс автоматизации работы с бумажными документами. Фактически заморожена ситуация: подлинник должен быть бумажным, т. е. подписывается и хранится в архиве бумажный документ, а на всех других этапах жизненного цикла можно использовать его электронную версию. Естественно, эффективность подобных решений принципиально ограничена. Однако все больше конкретных документов в конкретных видах деятельности переводится в электронный вид (налоговые, финансовые, таможенные, транспортные и т. д.). В первую очередь это делается тогда, когда без электронных подлинников говорить о какой-то эффективности невозможно, например в случае электронных билетов, налоговых деклараций или дорожных штрафов. Сегодня ключевой задачей является полная легализация электронных подлинников, а также создание необходимой инфраструктуры для работы с ними. Нужно решить те же проблемы, которые уже решены в ряде стран: определить стандарты форматов файлов электронных документов, организацию архивного хранения, создать инфраструктуру гарантированной доставки электронных документов и т. д.».
По мнению руководителя отдела разработки программ документооборота фирмы «1С» Александра Безбородова, можно точно говорить, что этот уровень зависит от того, какое место работа с документами занимает по отношению к ключевым процессам предприятия, приносящим прибыль. Что же касается перехода от бумажных документов к электронным, то этот процесс, конечно, еще не завершен, но нужно понимать, что такая задача перед заказчиками и не стоит. «Ведь цель — не отказаться от бумажных документов, а повысить эффективность бизнеса, сократить трудозатраты и сроки, исключить потери, а отказ от бумажных документов — это просто один из возможных способов достижения этих целей», — пояснил эксперт.
Он считает, что использование СЭД-технологий на коммерческих предприятиях не имеет ярко выраженной отраслевой специфики. Хорошим локомотивом для СЭД- рынка является распространение юридически значимого обмена электронными документами в деловых отношениях между участниками рынка, а также с контролирующими государственными органами, который осуществляется через спецоператоров. Государственные учреждения также активно применяют электронные документы как для внутреннего, так и для межведомственного документооборота.
Главный ECM-архитектор компании «Логика бизнеса» (ГК «АйТи») Олег Бейлезон говорит о том, что до сих пор встречаются организации, и достаточно крупные, где задача автоматизации документопотоков не решена никак — все на бумаге. В то же время есть и другой пласт заказчиков, чьи потребности уже выросли за пределы той СЭД-системы, которую они внедрили у себя несколько лет назад, и которые ищут современное универсальное решение.
А вот региональный директор по продажам в странах СНГ компании OpenText Ханс-Йорг Кельбель, основываясь на информации о реализации проектов на базе технологий свой компании, оценивает средний уровень автоматизации задач по работе с документами в России, как достаточно высокий, ничуть не ниже, чем средний общемировой. При этом он отметил высокую квалификацию российских партнеров: «Зачастую специалисты из зарубежных головных компаний приезжают в свои дочерние предприятия специально, чтобы обменяться опытом со своими местными коллегами в области автоматизации работы с бизнес-контентом». Однако, по его мнению, сегодня в большинстве случаев в России автоматизированы только отдельные, ключевые, бизнес-процессы, а в целом охват существующих задач автоматизацией явно недостаточен, как и во всем мире, видны различия по уровню проникновения современных технологий электронного документооборота в разных сегментах рынка: «Более высокий уровень автоматизации всегда наблюдается в ключевых отраслях экономики — энергетике, финансовой сфере, торговле, промышленности и производстве товаров народного потребления. Государственный сектор всюду имеет свои особенности, связанные со строгими правилами бюджетирования. Однако влияние оказывают не только возможности финансирования. Наблюдается и отраслевая специфика. Понятно, что подходы к автоматизации управления бизнес-контентом будут различаться в дискретном производстве, здравоохранении и научно-исследовательских организациях».
Директор по стратегическому маркетингу «ДоксВижн» Сергей Курьянов подчеркнул, что СЭД в первую очередь предназначена для управления официальными документами. Это необходимо учитывать, поскольку «работа с документами» охватывает и другие системы и приложения, в частности офисные и портальные. С учетом этого уточнения оценить уровень проникновения автоматизации работы с официальными документами можно как высокий, а переход к электронным документам можно считать завершенным. Машинисток и копирок уже не осталось, все документы создаются как электронные, согласовываются как электронные, и утверждаются как электронные. Во многих случаях внутренние документы чаще всего вообще не печатаются и не подписываются на бумаге, внешние распечатываются только для обмена с контрагентами.
По его мнению, задачи первичной автоматизации управления официальными документами в целом по стране уже решены, но перед многими организациями стоят вопросы замены «самописной», дорогой в масштабировании или просто неэффективной СЭД. «Проникновение СЭД по отраслям пропорционально их финансовым возможностям, но в целом сопоставимо для предприятий одинакового масштаба. Проникновение СЭД в госсектор, конечно, выше за счет того, что в госсекторе средние и малые организации используют СЭД чаще, чем в коммерческом секторе», — считает эксперт.
Руководитель проектов внедрения DIRECTUM Артём Пермяков отметил, что уровень автоматизации работы с документами сильно зависит от размеров и класса предприятия: «Крупные холдинговые компании в большинстве своем уже имеют те или иные системы электронного документооборота и уже достаточно давно прошли этап первоначального внедрения системы. Потенциал для внедрения систем среди средних компаний гораздо шире, многие из них еще не используют СЭД или используют ее лишь для отдельных узких процессов». Что же касается госсектора, то автоматизация внутренних процессов органов государственной и муниципальной власти с каждым днем набирает обороты.
Вместе с тем современные темпы развития решений в области автоматизации документооборота оставляют желать лучшего, уверен продукт-менеджер по программным решениям компании Konica Minolta Николай Рыков: «В целом уже сформировалась структура автоматизации бизнес-процессов, но потребуется еще время для создания единого стандарта электронного обмена информацией». При этом он подчеркнул, что было бы ошибкой считать, что роль бумажного документооборота будет резко снижаться. Он напомнил, что законодательная база для взаимоотношений между контрагентами, например, подразумевает наличие бумажного документа с обязательными реквизитами: подпись и печать. В то же время электронная подпись как элемент, позволяющий придать документу юридическую силу, в России пока не имеет законодательного подкрепления и находится в процессе развития.
Об этом же сказал заместитель генерального директора компании «Аладдин Р.Д.» Алексей Сабанов, но при этом подчеркнул, что речь идет о насущной проблеме, которую нужно срочно решать: «Несмотря на некоторые успехи в автоматизации делопроизводства на отдельных предприятиях в ряде отраслей пока еще не решены весьма существенные условия такого перехода. Одна из коренных проблем — обеспечение юридической силы электронного документа наравне с бумажным. Решение ее проще находят коммерческие структуры, которые выпускают необходимые приказы и регламенты, принимают нужные организационные меры, внедряют продукты и решения, обеспечивающие техническую составляющую». В целом он считает, что мы находимся еще в начале пути перехода от бумажного документооборота к электронному.
В российских организациях переход на электронный документооборот осуществлен фрагментарно, причем хорошо видно, что уровень использования электронных документов зависит от нормативно-законодательной базы, уверен руководитель направления по работе с коммерческими и финансовыми структурами корпорации ЭЛАР Юрий Спельник. Он считает, что государственный сектор, в котором катализатором стали административная реформа, законодательство о предоставлении государственных услуг в электронном виде и т. д., сегодня является наиболее продвинутым с точки зрения проникновения современных электронных технологий. В коммерческом секторе внутренний документооборот приказом генерального директора может быть переведен в электронный формат, а хождение бумаги ограничивается путем создания электронных копий документов уже на «входе» в организацию. «Сферу управления организационно-распорядительной документацией за счет распространения СЭД также нельзя причислить к отстающим, — отметил эксперт. — Однако договорная деятельность ведется на бумаге. Статичным, за рамками нормативного регулирования остается кадровое делопроизводство. Заменить критичные документы их электронными копиями и полностью исключить бумагу из оборота и хранения в архивах организации сегодня нельзя. Не урегулированы вопросы, связанные с передачей и форматами архивного хранения электронных документов, существуют сложности с обеспечением юридической значимости копий документов, даже подписанных электронной подписью».
Уровень автоматизации документооборота растет год от года. Большинство компаний признают важность перехода к электронному документообороту и закладывают в свои ИТ-бюджеты расходы на внедрение или усовершенствование СЭД/ЕСМ, но в ближайшие годы объемы бумажного документооборота в России вряд ли значительно уменьшатся. Так считает директор по корпоративным проектам компании «ABBYY Россия» Дмитрий Шушкин, который также отметил, что существенных различий в уровне проникновения технологий электронного документооборота в разных отраслях экономики нет. Наиболее востребованы СЭД в финансовом секторе, в страховании, в телекоме, что связано c огромным количеством документов, которые необходимо обрабатывать в каждой из этих отраслей. Государственный сектор также активно переходит на электронный документооборот, поддерживая эти тренды.
Какова актуальность повышения эффективности СЭД/ECM-проектов для заказчиков
Данный вопрос в общей постановке является, скорее, риторическим, ответ на него очевиден. Но все же наши эксперты выделяют тут целый ряд важных аспектов.
Ханс-Йорг Кельбель подчеркнул, что ECM-инициатива, как и любой другой инвестиционный проект, требует обоснования необходимых для ее реализации затрат и гарантии возврата вложений. Поэтому заказчик еще на стадии выбора поставщика и проектирования системы обязан тщательно оценивать экономические и другие эффекты, поскольку неправильные решения могут иметь серьезные последствия в будущем. При этом нужно заранее продумать то, как реализация проекта повлияет на общую эффективность бизнеса организации. «Если мы говорим о внедрении систем управления административными документами, столь популярных в России, то их влияние на эффективность бизнеса заказчика может быть только очень опосредованным. Мы можем говорить об экономии бумаги, площади архивных помещений, труда служб документирования и пр., но это никакого отношения к бизнесу, к результатам работы компании не имеет. Реальный эффект получается, если проект нацелен на документационное обеспечение основной цепочки создания добавочной стоимости. Такой проект может оказать существенное положительное влияние на общую эффективность бизнеса компании, способствовать снижению себестоимости бизнес-процессов и повышению удовлетворенности клиентов. В этом случае эффект можно легко прогнозировать и контролировать в ходе эксплуатации системы».
Период внедрения ИТ из соображений престижа («чтоб было как у всех»), уже пройден (хотя еще несколько лет это имело место на рынке), отметил Сергей Курьянов. Сейчас при внедрении СЭД заказчики ставят конкретные бизнес-цели и строго следят за их достижением на каждом этапе проекта. Показательный индикатор важности проекта для предприятия — должность ответственного за проект лица. Для СЭД-проектов этот уровень постоянно растет, сейчас очень часто их курирует один из топ-менеджеров предприятия.
Сейчас заказчикам важна не столько стоимость системы, сколько сроки ее окупаемости, делится своими наблюдениями Артём Пермяков.
Александр Безбородов отметил, что СЭД-проекты сейчас очень часто затрагивают широкий спектр деятельности организаций, в том числе почти все ключевые бизнес-процессы, и охватывают большую часть сотрудников предприятий. Поэтому у таких проектов большие риски, но и потенциал тоже очень большой. При правильном подходе СЭД решает не менее серьезные и значимые для бизнеса задачи, чем ERP-система, а использование обеих систем в связке дает бизнесу ряд дополнительных преимуществ, позволяя, например, устранить дублирование информации, унифицировать нормативно-справочную информацию и учетные политики, обеспечить сквозную автоматизацию процессов, в которых участвуют разные подразделения и задействованы разные информационные системы. Но эффективность проекта внедрения СЭД, как и ее использования, оценить непросто. И в решении этого вопроса важную роль может и должен сыграть поставщик, предлагая свои рекомендации и помогая воспользоваться ими.
Повышение значимости СЭД для заказчиков проявляется и в том, что они довольно часто ставят вопрос о замене существующей СЭД «на более эффективную», сказал Юрий Спельник. Как правило, при этом подразумевается не просто автоматизация существующих бизнес-процессов, а одновременная их оптимизация. Растет понимание того, что настоящий эффект от СЭД/ECM получается только в том случае, если внедрение ИТ сопровождается реинжинирингом бизнеса.
Эффективность внедрения СЭД обусловлена целым комплексом факторов: ценой, сроками внедрения, безопасностью и потенциалом роста с учётом современных тенденций развития компании. Утверждая это, Николай Рыков напомнил, что СЭД — это программно-аппаратная система и ее результативность сильно зависит от интеграции ПО с оборудованием, которое обеспечивает преобразование бумажного документа в электронный и наоборот. Речь идёт о сканирующих и печатных устройствах, и тут лучший вариантом сегодня —многофункциональные устройства, снабженные специальным ПО.
По мнению Владимира Баласаняна, ввод в действие СЭД сегодня является рутинной проектной процедурой с известными сроками, трудоемкостью и рисками. Что касается эффективности их использования, то каждая организация формулирует собственные целевые функции: ускорение конкретных бизнес-процессов, сокращение трудоемкости определенных операций, уменьшение площадей для хранения бумажных документов, повышение обоснованности принимаемых решений и т. д.
Дмитрий Шушкин подтвердил тезис о связи эффективности СЭД/ECM-проектов с эффективностью бизнеса данными проведенных маркетинговых исследований портала Docflow Так, по итогам 2013 г. 34% респондентов считали повышение эффективности бизнеса главным фактором при выборе решения в области СЭД. Также важными заказчики считают оптимизацию организационных процессов, надежность системы и простоту ее использования, внедрения и интеграции. Немаловажен для них организационный и управленческий эффект, скорость и качество контроля движения документов и документо-ориентированных бизнес-процессов, которые достигаются при правильном внедрении СЭД/ECM. «В последнее время в связи с нестабильной экономической обстановкой в стране вопросы эффективности и прямой экономии стали для заказчиков еще более важными, даже первостепенными при принятии решения о внедрении СЭД», — считает эксперт.
Критерии оценки эффективности
Оценка эффективности проекта внедрения и эффективности использования СЭД — это разные вещи, сразу подчеркнул Александр Безбородов. В первом случае все относительно просто: есть известный список контролируемых показателей — в первую очередь это сроки, трудозатраты, достигнутый результат (например, с точки зрения соответствия ТЗ). Правда, эти параметры могут вступать в противоречие между собой, и заказчику нужно искать оптимальные варианты их соотношения исходя из приоритетов компании. При этом большую роль здесь играет правильно выбранная технология внедрения. В зависимости от целей проекта и возможностей клиента могут применяться модульное внедрение, технология быстрого результата, технология корпоративного внедрения и др.
А вот оценить эффективность использования СЭД уже не столь просто, и потому далеко не все организации проделывают эту работу. Со своей стороны, Александр рекомендует такой вариант. До начала проекта по внедрению СЭД сформулировать ключевые проблемы (ради которых было решено проводить автоматизацию) и сделать оценку их количественных показателей (например, среднее время согласования документа). Через полгода после внедрения, после того, как сотрудники привыкнут работать в новой системе, этот замер можно повторить и сравнить результаты. Удобно использовать готовые опросники, разработанные поставщиком решения, если они есть. Можно также использовать встроенную в СЭД-решения аналитику: получить данные о загрузке сотрудников и документопотоке, узнать статистику сроков согласования, выявить самые длительные процессы и получить другие полезные для оптимизации бизнеса данные.
Развивая эту тему, Артём Пермяков предложил достаточно большой список критериев для оценки эффективности внедрения и использования СЭД:
•сокращение ◦материальных затрат на печать документов и их копий;
◦трудоемкости передачи документов между сотрудниками;
◦трудоемкости поиска информации в СЭД;
◦трудоемкости процедур контроля исполнения поручений;
◦трудоемкости процессов регистрации и передачи документов контрагенту и т. д.;
•повышение исполнительской дисциплины;
•повышение взаимозаменяемости сотрудников;
•обеспечение конфиденциальности документооборота, в том числе приказов;
•обеспечение постоянного контроля процессов и документов;
•формирование новой культуры работы с документами, снижение вероятности возникновения репутационных рисков;
•создание предпосылок для перехода к безбумажному документообороту и электронному архиву всех документов;
•снижение рисков и убытков из-за брака в процессе работы с организационно-распорядительными документами и их сопровождения;
•обеспечение безопасности за счет исключения несанкционированного доступа к документам, а также предотвращения их потери;
•повышение конкурентных преимуществ, так как вложение средств в высокотехнологичные инновационные проекты — это инвестиции в будущее компании;
•укрепление авторитета руководства и полного подтверждения статуса передовой организации;
•общая оптимизация методологии работы с документами.
Юрий Спельник считает, что оценку нужно проводить по более высокоуровневым критериям: финансовый результат, хеджирование операционных рисков, соблюдение норм российского законодательства, соблюдение норм сертификации ISO, автоматизация регламентов. На практике оценка осуществляется статистически и через сравнение: количество документов исполненных/неисполненных в срок, просроченных, скорость выполнения типового процесса и т. д.
Вопросы оценки эффективности СЭД сильно варьируются в зависимости от профиля организации, подчеркнул Олег Бейлезон. Так государственные учреждения, чья основная задача — производство и обработка документов, расценивают СЭД-системы как производственные и предъявляют к самим системам и проектам по их внедрению довольно строгие требования, выставляя различные метрики: отзывчивость системы, доля осуществляемых в электронном виде процедур в общем документообороте и т. д. Для коммерческих же организаций «канцелярский» контур ECM-системы, хотя и важен, но не является определяющим в их бизнесе, и они обращают больше внимания на свои операционные процессы, отраженные в системе: работу с договорами, жалобами и заявками, хранение и обработку первичной финансовой документации. При этом оценку эффективности каждый заказчик выполняет для себя самостоятельно, но некие общие показатели выделить можно — сокращение сроков согласования, уменьшение количества ошибок обработки, сокращение времени поиска документов и подбора пакетов документов. По мнению эксперта, хорошее внедрение, как правило, демонстрирует впечатляющие результаты по этим параметрам.
В качестве оценки эффективности проекта могут использоваться и другие аспекты бизнеса. Дмитрий Шушкин привел пример крупного российского банка, который в результате внедрения системы потокового ввода отказался от найма около ста человек, которых изначально планировал задействовать для рутинных задач по обработке документов. Кроме того, при оценке возврата инвестиций клиент учитывал, с одной стороны, затраты на приобретение и внедрение программно-аппаратного обеспечения, разработку и переписывание должностных инструкций и модификаций в бизнес-процессах, стоимость поддержки, а с другой — величину экономии от сокращения фонда оплаты труда и налогов, стоимость подбора и обучения персонала, стоимость аренды рабочих мест и другие параметры. В итоге срок возврата инвестиций в этом проекте составил 6–7 мес.
В качестве основных критериев оценки эффективности проектов СЭД Николай Рыков предложил такой набор показателей: простота эксплуатации, возможность интеграции с оборудованием для сканирования и печати, интеграция со сторонними программными решениями, низкая совокупная стоимость владения, локализация интерфейсов программного обеспечения и безопасность. Но проблемой оценки эффективности, по его мнению, является то, что многие заказчики слабо представляют себе полноценную бизнес-модель организации эффективного документооборота, что отчасти связано с низким уровнем развития автоматизации в компаниях в целом. В то же время помимо технологической составляющей также требуются определённые навыки работы со специализированным программным продуктом или оборудованием. Как правило, любое внедрение включает в себя обучение небольшой группы сотрудников, которые потом автоматически становятся экспертами в своей организации, что повышает общую эффективность эксплуатации СЭД.
Ханс-Йорг Кельбель уверен, что непростые вопросы оценки эффективности ECM-системы требуют совместной работы экономистов, бизнес-заказчиков, проектировщиков, конечных пользователей: «Для оценки эффекта мы рекомендуем использовать те метрики, которые наиболее значимы для бизнеса, но отнюдь не технологические показатели деятельности будущей системы. Например, совершенно неважно, сколько документов в день распознала ваша система массового ввода. Важно, на сколько дней сократился цикл обработки запроса клиента в компанию и как повысился уровень его лояльности. Никакого значения не имеет, сколько документов размещено в электронном архиве. Важно, насколько вы способны с помощью внедренной системы обосновать при проверках корректность выполненных финансово-хозяйственных операций и готовы защитить себя в случае судебных споров. Вы не сможете оценить, помог ли вам на самом деле курс лечения, основываясь только на самочувствии, если перед его началом вы не выполнили анализ крови и не следили определенное время за своим давлением. Так и внедрение ECM-системы требует предварительного глубокого диагностирования и документирования имеющихся проблем. Вы должны совершенно точно определить, какую бизнес-проблему собираетесь лечить, какие результаты будете считать признаком успеха, как это повлияет на смежные проблемы, какие новые перспективы это откроет».
Эффект от повышения управляемости вообще трудно измерить деньгами и очень просто в достигнутых целях, считает Сергей Курьянов: «Чаще всего экономический расчет делается по формально-процедурным принципам — он необходим для обоснования любых инвестиций. Его делают. Но мало кто потом измеряет достигнутый экономический эффект в цифрах. Обычно сравнивают по целям: заказчики оценивают эффективность в натуральных показателях, чаще всего — по изменению трудоемкости и времени исполнения бизнес-процессов».
Эффективность СЭД и вопросы безопасности — как их совместить
По мнению Александра Безбородова, тут никаких особых противоречий нет: «Безопасность — это естественное требование для СЭД. В нашей практике не было случая, чтобы политики безопасности оказали какое-то существенное влияние на эффективность использования СЭД/ECM. А вот если политики безопасности нет или она не устоялась, то это может приводить к замедлению процесса внедрения, к дополнительным трудозатратам на настройку программы по ходу эксплуатации».
Вместе с тем Владимир Баласанян считает, что очень серьезные проблемы возникают с обеспечением прав доступа к документам и их метаданных, зачастую весьма специфических, в частности мандатных.
Исходя из своего опыта, менеджер по развитию бизнеса «Лаборатории Касперского» Кирилл Керценбаум отметил, что при внедрении любой современной системы электронного документооборота у ИТ- и ИБ-департаментов компании сразу же возникает вопрос — как увязать ее архитектуру с действующей политикой информационной безопасности, а также появляется необходимость разработать новые политики и меры для защиты СЭД. Основная проблема с ИБ заключается в том, что данная система становится весьма лакомым кусочком и для внутренних, и для внешних злоумышленников с точки зрения получения несанкционированного доступа к информации. При этом известно парадоксальное следствие внедрения практически любой ИТ-системы — наведение порядка в информационном хозяйстве компании облегчает злоумышленнику поиск ценной информации. Для обеспечения безопасности при внедрении СЭД эксперт дал такие рекомендации:
•полностью адаптировать текущую модель угроз с учетом внедрения СЭД;
•максимально наложить на СЭД все правила и ограничения текущей политики ИБ, не пытаться принятую политику максимально ослабить для эффективной работы СЭД;
•использовать инструментарий ЭЦП для дополнительной защиты от несанкционированного доступа к информации, содержащейся в СЭД;
•использовать дополнительный инструментарий решений ИБ, в том числе DLP-системы и системы шифрования данных, для дополнительной защиты и контроля потоков информации внутри СЭД.
Безопасность не является управляющим параметром работы ECM-системы, уверен Ханс-Йорг Кельбель и пояснил: «Нельзя говорить о том, что при уровне безопасности „А“ система неэффективна, а при уровне „Б“ — эффективна, и поэтому давайте остановимся на уровне „Б“. Никто не будет отменять применение электронной подписи или шифрование репозитория только потому, что система работает медленно. Если система не отвечает заданным требованиям безопасности, то ее эксплуатировать недопустимо, и тогда говорить о ее эффективности — просто бессмысленно».
Любая современная система имеет функционал, реализующий политику безопасности на уровне разграничения прав пользователей, и эти возможности нужно обязательно использовать, напомнил Николай Рыков. Кроме того, желательно использовать шифрование сетевого трафика, в том числе от сканирующего устройства до самой СЭД, а также защиту отсканированных файлов паролем, что часто реализуемо аппаратными средствами.
Обычно на практике СЭД-проект реализуется в рамках существующей политики безопасности организаций. Но Олег Бейлезон предлагает посмотреть на проблему с другой стороны: какое влияние ECM-решения оказывают на политику безопасности, принятую в компании? Ведь многие ECM-стратегии предусматривают увеличение информационной открытости компаний, что может входить в противоречие с традиционными политиками безопасности вида «не пущать». А поскольку драйвером ECM-внедрений чаще всего выступает бизнес, подходы к безопасности тоже подвергаются пересмотру в сторону большей гибкости и более детализированного подхода к защищаемому предмету.
Любая безопасность снижает эффективность — это известно всем в ИТ, напомнил Сергей Курьянов, но чем выше готовность СЭД реализовывать политику безопасности конкретного предприятия, тем эффективнее работает система. Он обратил внимание и на такую проблему: «В современных СЭД/ECM-решениях реализуется широкий спектр моделей управления доступом — от дискреционной до ролевой и мандатной с шифрованием данных, использованием защищенных соединений. Однако в целом запрос на развитые механизмы безопасности в СЭД встречается нечасто. Нередко вопросы безопасности решаются за границами СЭД — защитой инфраструктуры и выведением конфиденциальных документов из электронного документооборота».
«Меры безопасности должны быть соизмеримы с уровнем угроз. Правильно разработанная модель угроз как раз и убережет от конфликта между эффективностью ECM и политикой службы безопасности», — подвел итог разговора на эту тему Юрий Спельник.
Опубликовал: Александр Абрамов (info@spbit.ru)
Тематики: Интеграция, ПО
Ключевые слова: СЭД