Безопасность электронного документооборота

Система электронного документооборота – очень важная часть информационного ландшафта любой современной организации. СЭД предназначена для решения критически важных бизнес-задач, связанных с управлением, хранением и интеграцией документов, различных файлов и другой важной информации, содержащейся в различных информационных системах и бизнес-приложениях, из которых как раз и состоит ИТ-ландшафт организаций.

То есть СЭД сегодня – главное связующее звено между различными управленческими, финансовыми и любыми другими системами внутри компании, обеспечивающее единство и неразрывность информации, ее уникальность, доступность и при этом безопасность и конфиденциальность.

Защищенный электронный документооборот – одна из важнейших задач обеспечения общей безопасности в компании, которой необходимо уделять очень большое значение и пристальное непрерывное внимание

Для нормальной работы электронного документооборота на предприятии необходим надежный и безопасный процесс обработки и хранения информации, организация которого требует четко определить основные риски и способы их предупреждения.

Основными угрозами для системы электронного документооборота, как и для любой другой информационной системы, являются:

  1. Угроза целостности информации – повреждение, искажение или уничтожение информации;
  2. Угроза доступности информации – ошибки пользователей, внешние сетевые атаки, вредоносное ПО.
  3. Угроза конфиденциальности – кража информации, подмена маршрутов обработки, несанкционированный доступ к информации.

Рис.1 Защита информации

Таким угрозам должна «уметь» противостоять любая система электронного документооборота, защищая не только данные, хранимые внутри, но и саму себя, поддерживая работоспособность и доступность для пользователей. Поэтому система защиты современных СЭД должна развиваться еще быстрее и интенсивнее, чтобы быть на шаг впереди опасности.

Внедрим защищенную систему электронного документооборота

Источники угрозы СЭД

Наряду с основным и наиболее непредсказуемым источником угроз – внешними злоумышленниками, опасность может исходить и от пользователей системы электронного документооборота, в частности, от их особого «класса» – администраторов, то есть пользователей с привилегированными неограниченными правами доступа к контенту и настройкам системы. Не менее 70% потерь информации происходит в результате именно внутренних атак на информационную систему. Для внутренних «вредителей» существует множество вариантов и путей реализации угроз. И здесь не так важны мотивы действий сотрудников – ошибочные или злонамеренные, результат в обоих случаях может быть весьма печален – утрата или разглашение информации.

Но все же, для защиты и предупреждения атак на информационные системы, мотивы угроз не стоит сбрасывать со счетов, ведь от того, как их квалифицировать по признаку мотивации – случайные или намеренные, может зависеть стратегия борьбы с ними, методология их предупреждения и мероприятия по реагированию на них.

Способы и методы защиты СЭД

Система защиты информации системы электронного документооборота – это общая совокупность методов, средств и мероприятий, снижающих уязвимость системы и препятствующих несанкционированному доступу к информации, ее разглашению, повреждению, утрате или утечке.

Рис.2 Средства защиты информации

На основании анализа угроз для систем электронного документооборота можно сформировать перечень основных средств защиты информации и методы обеспечения информационной безопасности СЭД.

В соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» для защиты информации используются правовые, организационные и технические меры, обеспечивающие:

  • Защиту информации от несанкционированного доступа, уничтожения, модификации, блокирования, копирования, фальсификации, распространения, а также от других несанкционированных действий в отношении такой информации;
  • Соблюдение конфиденциальности информации ограниченного доступа;
  • Реализацию права на доступ к информации.

Соответственно, средства и методы защиты информационных систем можно разделить два вида:

Организационно-правовые

  • Законодательное регулирование правоотношений в сфере электронного документооборота;
  • Организация учета, хранения и эксплуатации ключей шифрования и электронной подписи;
  • Построение и учет комплексных профилей разграничения прав доступа в информационных системах;
  • Ведение строгого учета доступа сотрудников к информации ограниченного распространения;
  • Многие другие, а также их вариации и комбинации.

Технические

  • Аппаратная защита, специализированные защищенные шлюзы и маршрутизаторы;
  • Физическое разграничение сетевого оборудования на разные изолированные сегменты;
  • Автоматизированные планы резервного копирования информации на защищенные носители;
  • Актуальное антивирусное и защитное ПО;
  • Логическое разделение сети на сегменты посредством специализированных программ;
  • Программные средства идентификации и аутентификации пользователей;
  • Криптографические средства защиты и шифрования информации;
  • Технологии электронной подписи для обеспечения подлинности и целостности информации;
  • Различные комбинации различных методов и средств защиты.

Отметим, что успешные проекты по СЭД, включающие разработку, внедрение и поддержку системы, выполненные компетентными специалистами, позволяют объединить все перечисленные средства и методы защиты для создания по-настоящему защищенных каналов электронного документооборота, как внутреннего, так и внешнего. Наши специалисты обладают широчайшим опытом создания систем электронного документооборота и могут ответить на любые вопросы в этой области.

Рассмотрим классификацию средств и методов защиты электронного документооборота поподробнее.

Правовое обеспечение безопасности

Правовые меры защиты информационных систем принимает, в первую очередь, государство, осуществляя правовое регулирование отношений в сфере защиты информации путем установления законодательных требований к защите информации, а также ответственности за нарушение этих законов. Соответственно, наличие современной и актуальной нормативно-правовой базы, учитывающей все возможные новейшие угрозы в сфере информатизации – одно из главных условий обеспечения безопасности информационных систем, как государственных, так и корпоративных.

Рис.3 Правовая защита информационных систем

В Российской Федерации основным законодательным документом является Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», регулирующим отношения в сфере электронного документооборота и электронного обмена информацией.

Помимо законодательных актов, в России действуют стандарты по защите информации, имеющие рекомендательный характер:

  • ГОСТ Р 50922-2007 Защита информации. Термины и определения.
  • ГОСТ Р 51275-2007 Защита информации. Объекты информатизации.

Общие положения и факторы, воздействующие на информацию, также описаны:

  • ГОСТ Р 51624-2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения.
  • ГОСТ Р 52863-2007 Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования.

Организационные меры

Организация мер безопасности информационных систем вытекает из правовых основ регулирования. Наряду с этим, дополнительные и весьма разнообразные требования к защите информации предъявляют современные множественные угрозы информационных систем. Поэтому важными критериями эффективности таких мер является их комплексность, актуальность и своевременность. Ну и конечно самое главное – исполнение этих решений и регламентов, без этого они просто теряют смысл.

Для построения эффективной современной защиты корпоративной информационной системы необходимо постоянно и весьма внимательно мониторить все возможные угрозы, их вариации и комбинации. В последнее время таких угроз становится все больше, они появляются в ранее совершенно безопасных сферах и направлениях. Злоумышленники применяют методы все ухищреннее, комбинируя и импровизируя самые неожиданные варианты.

Сами угрозы становятся все более интеллектуальными, обретая элементы искусственного интеллекта, используя самые современные достижения бурно развивающихся информационных технологий. Например, приобретает новый смысл с точки зрения информационной безопасности термин «социальная инженерия», которая ежедневно наносит самым разнообразным информационным системам ощутимый и зачастую непоправимый ущерб.

Поэтому организационная защита – один из критериев безопасности предприятия. В результате анализа актуальных угроз вырабатываются внутрикорпоративные стандарты и регламенты, требующие неукоснительного исполнения. Также должен быть разработан и реализован комплекс мероприятий по обеспечению информационной безопасности – четкая классификация видов информации и информационных систем, владеющих этой информацией, строгий учет организации доступа к той или иной информации в зависимости от ее важности, ценности, конфиденциальности.

Примером таких мер является организация учета, хранения и эксплуатации ключей шифрования и электронной подписи с использованием персональной ответственности сотрудников, создание реестра стандартных корпоративных комплексных профилей доступа к информационным ресурсам в зависимости от структурной и/или должностной принадлежности сотрудника. Это в свою очередь обеспечивает своевременную организацию доступа только к необходимым корпоративным информационным ресурсам, нивелируя человеческий фактор и минимизируя возможность ошибки или злонамеренного действия.

Обеспечим современную защиту вашей корпоративной системы

Таких организационных мер, и тем более их комбинаций, может быть неограниченное множество. К ним необходимо подходить с точки зрения обоснованности и целесообразности. Также немаловажным, а может и решающим, критерием выступает экономический фактор. Основной деятельностью предприятий и организаций является экономическая, в том или ином ее виде. Ценность информации и требуемая степень ее защиты, и, как правило – стоимость, находятся в прямой зависимости. Поэтому выбор необходимых организационных и технических мер решается непосредственно самим владельцем информационной системы.

Технические средства обеспечения информационной безопасности

Другим направлением для обеспечения информационной безопасности являются технические средства и программное обеспечение.

Рис.4 Технические средства защиты информации

Это могут быть, например:

  • Специализированное защищенное сетевое оборудование – маршрутизаторы, сетевые шлюзы, канальные шифраторы и т.д.;
  • Построение изолированных сетей для обращения конфиденциальной информации с многоуровневой защитой доступа – как физического (защищенные помещения и здания), так и логического (идентификация и аутентификация, шифрование);
  • Для купирования рисков потери актуальной информации в результате сбоя или сетевой атаки необходимо использовать хорошо проработанные планы резервного копирования с размещением архивной информации на защищенных от порчи и несанкционированного доступа носителях;
  • Для защиты от атак на уровне программного обеспечения нужно использовать современные антивирусные интеллектуальные пакеты, использующие актуальные антивирусные базы, принципы эвристического анализа, возможности искусственного интеллекта и нейронных сетей;
  • Применение современных криптографических средств защиты и шифрования информации для однозначного разграничения доступа к ней, применения технологии блок-чейн для сохранности и исключения фальсификации данных.

Наряду с этим даже электронная подпись, которая сегодня является обязательным элементом бизнес-среды любой организации вне зависимости от формы собственности, сферы деятельности или масштабов, представляет собой такое же техническое средство защиты. Без ЭП невозможно сдать обязательную налоговую отчетность, использовать электронный обмен юридически значимой документацией с контрагентами, а также обеспечить нормальное и эффективное функционирование компании.

Обеспечим защищенный обмен документами с вашими контрагентами

Разграничение прав пользователей

Разграничение прав доступа пользователей в системе может быть устроено совершенно по-разному. При использовании изолированных подсистем разграничения прав в каждой системе ИТ-ландшафта, например, управление профилями децентрализовано и плохо управляемо, выдача прав в такой информационной среде вызывает определенные трудности и требует немалых трудозатрат для актуализации и верификации.

Централизованные подходы в управлении разграничениями прав доступа даже в гетерогенной корпоративной информационной системе, например Active Directory, представляют собой более профессиональный вариант организации, и позволяют достаточно легко управлять профилями доступа и изменять их комбинацию. Но, как правило, такие системы недешевы, требуют совместимости от управляемых информационных систем, и в нашей стране распространены не очень широко.

Рассмотрев лишь некоторые методы обеспечения безопасности систем электронного документооборота, можно сделать вывод, что меры противодействия угрозам можно принять еще на стадии внедрения безбумажного документооборота. Для полноценной защиты необходимо использовать комплекс мер и средств, комбинировать различные программно-аппаратные и организационные решения, обеспечивая их актуальность и действенность в условиях современной информационной вселенной. Обратившись к нашим специалистам по вопросам внедрения, оптимизации и поддержки систем электронного документооборота, вы получите гарантированно высокий результат.

Задача обеспечения безопасности документооборота существовала всегда, и за прошедшие века были найдены решения, обеспечившие полное доверие к документам на бумаге. Сам лист бумаги позволяет убедиться в целостности документа, поэтому в части стран законодательные акты и судебные решения хранятся в виде бумажных свитков, чтобы не было возможности позднейшей вставки. Вопросы доверия к документу на бумаге решаются с помощью штампов, печатей, личных подписей или печаток, а в особых случаях применяются водяные знаки или специальная фактура бумажной поверхности. Кроме того, можно ограничить доступ к содержанию документа, применяя такой способ, как шифрование.

Использование электронных документов, да и само понятие электронного документа появилось относительно недавно. Первоначально файлы были заготовками для редактирования документа. Потом оказалось удобным передавать файл вместе с бумажным документом. Появление первых сетей, а затем и доступа к сети интернет полностью изменило положение, предоставив новые возможности для передачи данных в электронном виде. Использование электронных документов в сравнении с бумажными дает большие преимущества, сокращая расходы на их создание, пересылку и хранение, обеспечивает быстрое нахождение документов, а также предоставляет возможность удаленного доступа. Поэтому использование документов в электронном виде стало очень привлекательным. Сначала крупные учреждения, а затем и все остальные перешли на использование электронных документов. За короткое время оказался возможным полный переход к электронному документообороту, и некоторые страны совсем отказались от бумажных документов. Электронный документооборот особо привлекателен для Российской Федерации, правительство страны приняло решение о полном переходе на использование электронного документооборота и, соответственно, об отказе от бумажного документооборота.

Для полного перехода на использование электронных документов необходимо решить вопросы доверия к ним и обеспечить уровень безопасности, не уступающий бумажному документообороту. Решаются эти вопросы с помощью применения совокупности мер.

В соответствии с положениями Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» для защиты информации используются правовые, организационные и технические меры, направленные на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Правовые меры принимает правительство Российской Федерации, осуществляя государственное регулирование отношений в сфере защиты информации путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации.

Выбор и принятие необходимых организационных и технических мер решается непосредственно самим обладателем информации.

Если электронные документы содержат сведения конфиденциального характера (указ президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г., указы «О внесении изменения в перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 года № 188» № 1111 от 23.08.2005 г. и № 357 от 13.07.2015 г.), например, персональные данные, обработка которых регулируется отдельными законами (Федеральный закон

«О персональных данных» от 27.07.2006 № 152-ФЗ),то при выборе мер необходимо обеспечить соблюдение требований законодательства Российской Федерации. Федеральными органами, такими как Федеральная служба безопасности и Федеральная служба по техническому и экспортному контролю Российской Федерации, могут быть установлены дополнительные требования по защите информации.

Выбор способов и средств защиты зависит от поставленных задач по обеспечению безопасности:

  • ограничение доступа;
  • разграничение полномочий;
  • обеспечение доверия;
  • защита содержания.

Самый распространенный способ ограничения доступа к ресурсам – это создание учетных записей с помощью встроенных средств операционной системы или какой-либо информационной системы. Отличаются только протоколы, применяемые при передаче данных идентификации пользователя, начиная от кодирования и вплоть до использования значений хеш-функций и шифрования, выбор протокола определяет уровень безопасности доступа. Независимо от протокола учетные записи могут обеспечить лишь грубое деление пользователей на доверенных и недоверенных, если же мы хотим предоставлять пользователям разные полномочия, то для этого нужны другие решения.

Начнем с простой задачи разграничения полномочий по редактированию электронных документов. Нередко в подразделениях крупных организаций используются общие электронные документы, подготовленные в головном подразделении. Эти документы обычно содержат таблицы с данными, используемыми сотрудниками подчиненных подразделений. Искажение данных может привести к нарушению сводной отчетности организации. Для разграничения полномочий по работе с данными в электронных документах можно задействовать встроенные возможности редакторов, определив группы пользователей, которым будет предоставлено право на чтение или на внесение изменений в электронный документ или только в определенные листы и области. Такой способ разграничения полномочий предоставляет больше возможностей, чем простое «пустить – не пустить», но в целом возможности редакторов ограничены и помимо ограничения редактирования других задач решать они не могут.

Намного большими возможностями по разграничению полномочий пользователей при работе с электронными документами обладают специализированные программные средства, например такие, как служба управления правами ActiveDirectory. С ее помощью можно разграничить права на чтение, редактирование, копирование, печать и пересылку электронных документов. Возможно ограничение срока предо- ставления доступа пользователей к электронному документу. С помощью этой службы организации могут применять единую корпоративную политику по использованию и распространению конфиденциальных сведений. Заданная для электронного документа политика остается с ним независимо от его перемещения, отправки или пересылки. Для защиты содержания электронных документов и заданных политик используется шифрование с помощью встроенных средств операционной системы Microsoft.

Существующие способы разграничения доступа позволяют защитить электронные документы от неправомерного доступа, уничтожения, модифицирования, копирования и распространения в рамках одной системы, но не могут обеспечить решение вопроса доверия при электронном взаимодействии пользователей разных систем. Использование полноценного электронного документооборота предполагает обеспечение доверия к самим электронным документам независимо от того, где и кем они созданы. Наиболее успешно вопрос доверия решается с помощью так называемой электронной подписи.

Законодательной основой для применения электронной подписи является Федеральный закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ, в котором даны определения двух основных видов электронной подписи, которые носят название простой и усиленной электронной подписи.

Простая электронная подпись позволяет определить создателя подписи путем добавления к электронному документу подтверждающего значения, такого как код, строка, личная подпись или отпечаток пальца, полученные с помощью считывателя. Такие способы широко распространены, не требуют больших затрат, просты в использовании, чем, собственно, и привлекательны для пользователей. Уровень безопасности, который обеспечивает простая электронная подпись, невысок, но может быть вполне достаточен, например, для обеспечения доверия во внутреннем документообороте. Многие платежные системы для обеспечения доверия при электронном взаимодействии с клиентами используют простую электронную подпись.

Более высокий уровень безопасности обеспечивает усиленная электронная подпись, которая представляет собой набор данных вместе с зашифрованной частью, позволяющей однозначно установить создателя электронной подписи и проверить целостность электронного документа. Шифрование выполняется с использованием личного ключа пользователя и предполагает применение средств криптографической защиты информации, что требует определенных затрат на их приобретение, установку и настройку, а также на предварительное обучение пользователей работе с такими средствами.

Существуют и простые решения, когда средства криптографической защиты информации устанавливаются на удаленном сервере и туда предоставляется доступ доверенным пользователям. Такого рода решение используется Федеральной налоговой службой, где в своем личном кабинете каждый налогоплательщик может отправить электронный документ на удаленный сервер и воспользоваться возможностью создания там своей электронной подписи. При проверке электронной подписи выполняется расшифровывание зашифрованной части подписи с помощью известного открытого ключа пользователя, который хранится вместе с учетной записью пользователя. Если же пользователи взаимодействуют, не используя общее хранилище учетных данных, то для обеспечения доверия к открытому ключу применяется документ, подтверждающий владение пользователя открытым ключом, который носит название сертификата открытого ключа или ключа проверки электронной подписи. Создают сертификаты удостоверяющие центры, которым должны доверять все участвующие в электронном взаимодействии пользователи. Доверие к сертификату обеспечивает электронная подпись, созданная удостоверяющим центром.

Для полного перехода Российской Федерации на использование электронного документооборота создана система аккредитованных удостоверяющих центров. Эти центры получают электронный сертификат своего ключа проверки электронной подписи у головного удостоверяющего центра, роль которого выполняет уполномоченный федеральный орган. Головной удостоверяющий центр объединяет аккредитованные удостоверяющие центры и всех тех, кто получает там сертификаты. Поэтому при проверке электронной подписи электронного документа, из какой бы части страны этот документ ни поступил, оказывается возможным построить цепочку доверия до головного удостоверяющего центра. В итоге мы получаем возможность построения единого электронного документооборота для всех граждан и учреждений Российской Федерации.

Очень важная задача при электронном взаимодействии – это соблюдение конфиденциальности информации ограниченного доступа с помощью защиты содержания электронных документов. Есть разные решения этой задачи, выбор зависит от способа взаимодействия пользователей.

При сетевом взаимодействии пользователей можно ограничить доступ к передаваемым данным, используя набор протоколов IPSecurity. Для защиты данных и ограничения доступа используется шифрование на общем ключе, при этом могут применяться разные криптографические алгоритмы и программные средства, в том числе и разработанные в России. При взаимодействии пользователей с помощью сети интернет используются протоколы TLS/SSL. Для защиты передаваемых данных используется шифрование на общем ключе. Данный способ защиты получил широкое распространение, и, когда при использовании какого-либо ресурса вы видите в заголовке https, – это и есть пример применения криптографических протоколовTLS/SSL. Для согласования ключа шифрования используется сертификат с определенным назначением, полученный владельцем интернет-ресурса в удостоверяющем центре.

Если пользователи взаимодействуют посредством почтовых сообщений, то для их защиты создан стандарт протоколов S/MIME. Защита передаваемых почтовых сообщений обеспечивается в этом случае совместным использованием электронной подписи и шифрования. Здесь все участники взаимодействия должны получить свой сертификат в удостоверяющем центре с необходимыми указаниями о назначении ключей.

Существующие информационные и платежные системы используют совокупность решений для защиты передаваемых электронных данных и обеспечения доверия к ним, но есть и немало схем, где используется только одно из вышеперечисленных решений.

При удаленном взаимодействии пользователей разных систем наиболее эффективными являются решения с использованием сертификатов, обеспечивающие доверие ко всем взаимодействующим сторонам и позволяющие удаленно согласовать ключи шифрования для защиты передаваемых электронных данных, а также использовать в рамках электронного документооборота усиленную электронную подпись. Этим достигается наиболее высокий уровень защищенности передаваемых электронных документов и степени доверия к ним.

Имеющиеся в нашем распоряжении средства позволяют при любом электронном взаимодействии обеспечить необходимый уровень безопасности электронного документооборота.

Add a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *