Как построить безопасную СЭД? Только вместе!

Вопросы обеспечения безопасности актуальны для любых ИТ-систем, но их значимость применительно к системам электронного документооборота намного выше, поскольку речь идет о работе с критически важными для организации документами. Особенностью тут является то, что именно в СЭД очень велика роль “человеческого фактора” (ведь контент создается и обрабатывается людьми, а не автоматическими методами, как в случае, например, с ERP), а нормативные требования весьма сложны и даже порой сильно запутанны. Попытка разобраться в клубке проблем, связанных с обеспечением безопасности СЭД, была предпринята на состоявшейся в конце июня очередной мини-конференции компании “ИнтерТраст” из цикла проводимых ею с конца прошлого года ежемесячных мероприятий под общим названием “СЭД — строим открыто”.

Нынешняя встреча прошла перед наступлением на ИТ-рынке летнего затишья, и потому вполне логично, что вначале заместитель директора центра разработки ПО администрирования и управления Данила Трушин кратко подвел итоги проведенных за последние полгода обсуждений, напомнив основные темы: пользовательский интерфейс, мобильность пользователей, архитектура СЭД, применение методов кейс-менеджмента, новые сферы приложения СЭД. Он сообщил, что новая версия флагманского продукта “ИнтерТраста” — система CompanyMedia 4.0, о планах создания которой было объявлено еще в ноябре 2011, выйдет с опережением начального графика и будет доступна уже в сентябре. При этом он заверил собравшихся, что хотя основная идея радикального пересмотра архитектуры и используемых в разработке средств заключается в поддержке широкого спектра базовых ECM-платформ от различных поставщиков, но все же защита интересов и инвестиций заказчиков остается приоритетной задачей для разработчиков “ИнтерТраста” и потому IBM Lotus Domino/Notes будет по-прежнему основной платформой для CompanyMedia.

Директор центра компетенции по защите информации “ИнтерТраста” Владимир Горностаев определил ключевую задачу защиты, как обеспечение необходимого качества трех ее основных свойств:

• доступности (возможность получения пользователем нужной ему информации по мере необходимости);
• конфиденциальности (обеспечение доступа к информации только авторизованных пользователей); 
• целостности (обеспечение достоверности и полноты информации и методов ее обработки).

Докладчик отметил, что сейчас на рынке, в том числе среди ИТ-специалистов и бизнес-потребителей, распространено ошибочное представление, что для обеспечения информационной безопасности СЭД достаточно лишь использовать электронную подпись (ЭЦ). Действительно, ЭЦ — важный (причем среди других типов прикладных информационных систем особенно актуальный для СЭД и в то же время в общем случае необязательный) компонент системы обеспечения безопасности, она, скорее, связана с решением довольно специфической задачи юридической значимости документов, а не с защитой информационной системы в целом. То есть ЭЦ и связанная с ней подсистема управления сертификатами и ключами — это лишь часть общего комплекса проблем обеспечения безопасности СЭД.

Но далее возникает вопрос: безопасность чего именно мы хотим обеспечивать, что мы понимаем под самим термином СЭД? Дело в том, что под этим названием на практике скрываются, как минимум, две разные сущности. И вопрос тут выходит за рамки сугубо теоретических споров на уровень реальной практики, поскольку к этим сущностям предъявляются разные нормативные требования.

Согласно целому ряду нормативных актов, СЭД рассматривается как автоматизированная(СЭД-АС) организационно-техническая система предприятия, состоящая из персонала, информации и комплекса программно-аппаратных средств автоматизации его деятельности, выполняющая определенный класс деловых задач, а именно управление документами для управления организацией и обеспечения ее операционной работы. Но на рынке чаще всего под этим термином понимается лишь набор ПО (СЭД-ПО), обеспечивающий реализацию СЭД-АС и являющийся лишь одним из ее компонентов.

Безопасность СЭД-АС и безопасность СЭД-ПО — понятия разные, но взаимозависимые. В отношении СЭД-ПО можно выделить два аспекта безопасности: обеспечение безопасности программного кода (соответствие кода требованиям технического задания, отсутствие в нем брешей и недекларированных возможностей) и наличие механизмов защиты информации. Безопасность СЭД-АС обеспечивается системой мер организационного, финансового, технического и иного характера по выявлению угроз безопасности, по их предотвращению и нейтрализации, пресечению, локализации и отражению, а также ликвидации последствий реализации угроз.

Проще говоря, наличие безопасной СЭД-ПО является необходимым, но не достаточным условием построения безопасной СЭД-АС. Безопасная СЭД-АС создается в ходе разработки и реализации проекта по внедрению СЭД-ПО, а далее ее безопасность постоянно поддерживается на протяжении всего жизненного цикла эксплуатации и развития созданной автоматизированной системы. При этом очень важный аспект данного процесса — техническая поддержка и обновление используемой СЭД-ПО (например, оперативное устранение выявленных дефектов ПО, брешей и пр.).

Большинство СЭД-АС на практике обрабатывает информацию, которая не относится к государственной тайне. Следовательно, они должны соответствовать требованиям по защите от несанкционированного доступа к информации по классу защищенности 1Г или 1Д. Средства же вычислительной техники (тут как раз в первую очередь речь идет о СЭД-ПО), применяемые в таких СЭД, должны соответствовать требованиям по защите от несанкционированного доступа к информации не ниже пятого класса защищенности, а для информационных систем с персональными данными — по четвертому уровню контроля отсутствия недекларированных возможностей.

Как утверждает Владимир Горностаев, система CompanyMedia и ранее отвечала требованиям безопасности к СЭД-ПО, а в новой версии ее возможности в этом плане только возросли. Он подробно рассказал о реализации подсистемы защиты безопасности в ожидаемой CompanyMedia 4.0 и о планах ее совершенствования в последующих обновлениях. И в завершении своего выступления обратил внимание аудитории на ключевой, на наш взгляд, вопрос: очень часто проблемы обеспечения безопасности сводятся к соответствию требованиям регулятора, к получению необходимых сертификатов и к другим формальным моментам.

“Но будет ли созданная, внедренная и эксплуатируемая вами СЭД безопасной? — задал вопрос представитель “ИнтерТраста” и сам же ответил на него. — Мы, как разработчики ПО и консультанты по внедрению, делаем все, что в наших силах, чтобы ответ был положительным. Но мы только помогаем вам в обеспечении безопасности, а решающее слово тут остается за вами — за заказчиками и пользователями СЭД”.