Бизнес и госсектор начали внедрять системы электронного документооборота (СЭД) 10-15 лет назад. С тех пор подобные решения становятся востребованными во все большем числе организаций. А структуры, уже имеющие опыт работы с ранними версиями СЭД, стремятся перейти на более актуальные системы с точки зрения импортонезависимости, возможностей автоматизации, простоты использования и самостоятельной настройки. Одновременно с этим увеличивается количество киберугроз, возрастают корпоративные и регуляторные требования к обеспечению информационной безопасности. Как подойти к внедрению или модернизации СЭД, чтобы результат не только соответствовал ожиданиям пользователей и требованиям ИБ, но и был предсказуемым с точки зрения сроков и бюджета?
Для выстраивания защищенной СЭД, соблюдения законодательных требований и внутренних регламентов каждый проект внедрения или модернизации должен сопровождаться разработкой подсистемы информационной безопасности. Но ее создание зачастую откладывается до завершающей стадии проекта. Это происходит в случаях, если ИБ-подразделение заказчика не вовлечено с самого начала в обсуждение и формирование технического задания или исполнитель не обладает нужными компетенциями.
Мария Токарева, заместитель руководителя направления компании «Диджитал Дизайн»: «Правильно делать весь комплекс ИБ-работ одновременно с решением функциональных задач. К сожалению, часто встречается обратный подход: на последних этапах создания СЭД появляется дополнительный заказчик в виде подразделения информационной безопасности, что приводит к перекройке системы, заточенной под множество специфических требований пользователей. Как следствие, компанию ожидают неприятности на завершающем этапе. Первая из них — перерасход бюджета, который в ряде случаев может превышать первоначальные затраты на проект. Вторая — срыв сроков ввода информационной системы в эксплуатацию».
Два ключевых фактора могут помочь внедрить СЭД, в равной степени удовлетворяющую функциональным требованиям и обеспечивающую соблюдение ИБ. При этом затраты и длительность проекта будут предсказуемыми.
1. Опыт интегратора. ИТ-компания должна быть в состоянии параллельно выполнить весь комплекс работ по развертыванию СЭД и защите информации: от проектирования до внедрения. А также иметь лицензии ФСТЭК России на осуществление деятельности по технической защите информации.
2. Возможности самой СЭД. Функциональные и технологические характеристики системы должны изначально закрывать часть ИБ-требований.
Рассмотрим по пунктам, что входит в состав ИБ-работ, которые должен выполнить интегратор защищенной СЭД.
1. Обследование, моделирование угроз и классифицирование системы.
На данном этапе исполнитель устанавливает принадлежность внедряемой СЭД к одному или нескольким типам ИС. Определяет класс (уровень) защищенности системы. В таблице ниже приведены основные нормативно-правовые документы, требования которых необходимо соблюдать в зависимости от вида ИС, к которой будет отнесено решение.
| Информационные системы персональных данных | Государственные информационные системы | Автоматизированные системы, обрабатывающие конфиденциальную информацию |
|---|---|---|
|
|
|
2. Формирование требований к защите информации. Проектирование и внедрение средств защиты информации (СЗИ).
На этом этапе важно:
3. Подтверждение эффективности мер, а также проведение аттестации СЭД при необходимости.
В ряде предусмотренных законодательством случаев потребуется аттестовать систему на соответствие требованиям по защите информации. Например, если она отнесена к ГИС.
Опыт внедрения защищенных СЭД показывает, что затраты на закупку СЗИ могут превышать 70% от общего бюджета проекта в части ИБ. Это относится даже к тем случаям, когда система должна быть аттестована и от исполнителя проекта требуется соответствующая подготовка. Сократить количество закупаемых средств защиты информации, а следовательно, и затраты позволяет решение части задач информационной безопасности на уровне самой СЭД.
СЭД, позволяющая выстроить защищённый электронный документооборот, должна быть включена в реестр отечественного ПО, сертифицирована в системе ФСТЭК России для использования в ИС разных типов и классов (уровней) защищенности. А с точки зрения функциональности, совместимости и архитектуры — соответствовать перечисленным ниже критериям.
1. Управление доступом пользователей к документам и процессам.
В СЭД должны применяться различные виды моделей безопасности: дискреционная, мандатная и контекстно-ролевая. Первые две из перечисленных известны с бумажных времен. По существу, это сопоставление допуска пользователя и пометки, связанной с хранилищем, разделом хранилища или конкретным документом. Но эти модели не обладают достаточной гибкостью и, по сути, вынуждают идти на повышенные риски, предоставляя пользователю доступ к документам сверх необходимого.
Сергей Курьянов, директор по стратегическому маркетингу «ДоксВижн»: «Более совершенный подход — применение контекстно-ролевой модели. Она позволяет предоставлять доступ к информации в зависимости от настраиваемых параметров, например связанных с временными ограничениями, пользователем или содержанием документа. В платформе Docsvision реализована дополнительно контекстно-ролевая модель. Например, разработчик документа имеет доступ к работе с ним по умолчанию, не получая при этом доступа к другим аналогичным документам».
На практике эти три модели совмещаются, позволяя построить по-настоящему надежную систему управления доступом.
2. Обеспечение достоверности, неизменяемости и неотказуемости документа.
Защита по обозначенным направлениям осуществляется с помощью электронной подписи (ЭП). К настоящему моменту имеется вся необходимая для этого законодательная база. ЭП активно применяется на практике, в том числе на портале Госуслуг, где используется как квалифицированная, так и усиленная квалифицированная электронная подпись.
В этой же группе задач участвуют вендоры сертификатов ЭП — удостоверяющие центры. Для поддержки современных процессов электронного взаимодействия государство разработало законодательство и технологии работы с машиночитаемыми доверенностями (МЧД).
Необходимо, чтобы в СЭД были реализованы современные сценарии применения ЭП и функциональность использования МЧД.
Сергей Курьянов, директор по стратегическому маркетингу «ДоксВижн»: «Платформа Docsvision полностью соответствует ФЗ в сфере электронной подписи и поддерживает все виды ЭП и работу с любыми криптопровайдерами. Позволяет удобно оформлять как простую, так и квалифицированную подпись, в том числе на мобильных устройствах. Поддерживает полный цикл работы с машиночитаемыми доверенностями, включая формирование, согласование, подписание, публикацию в реестре МЧД и отзыв».
3. Работа в защищенной инфраструктуре.
Главным ресурсом СЭД как ЕСМ-системы — ПО для управления корпоративным контентом — является хранилище документов. Как правило, инфраструктура хранения включает СУБД, поставляемую специализированным вендором. Она должна обеспечивать не только необходимую функциональность, но и защиту данных от повреждений и несанкционированного доступа, включая резервное копирование и восстановление информации.
В ряде случаев базу данных документов для повышения производительности системы разделяют на оперативное и долгосрочное хранилища. Оба из них могут управляться одной СУБД, но возможно и подключение внешнего хранилища, например, содержащего унаследованные архивы данных или работающего на другой ECM-платформе. Это требует от внедряемого решения поддержки процесса вытеснения и взаимодействия с внешним хранилищем по API.
Основой основ является операционная система. Помимо управления программами и данными надежная и безопасная ОС решит важнейшую задачу идентификации пользователей через службу каталогов, виртуализацию ресурсов и взаимодействие с компьютерным оборудованием.
4. Решение прикладных задач безопасного документооборота (ДО).
Информационная безопасность на уровне пользователей достигается с помощью конкретных приложений. Например, решений для управления конфиденциальным документооборотом, для организации внешнего ДО с контрагентами и КЭДО.
Исходя из потребностей организации, соответствующая функциональность также должна быть предусмотрена во внедряемой СЭД.
