СЭД не простая, а защищенная: внедрить систему электронного документооборота и не забыть про ИБ

Бизнес и госсектор начали внедрять системы электронного документооборота (СЭД) 10-15 лет назад. С тех пор подобные решения становятся востребованными во все большем числе организаций. А структуры, уже имеющие опыт работы с ранними версиями СЭД, стремятся перейти на более актуальные системы с точки зрения импортонезависимости, возможностей автоматизации, простоты использования и самостоятельной настройки. Одновременно с этим увеличивается количество киберугроз, возрастают корпоративные и регуляторные требования к обеспечению информационной безопасности. Как подойти к внедрению или модернизации СЭД, чтобы результат не только соответствовал ожиданиям пользователей и требованиям ИБ, но и был предсказуемым с точки зрения сроков и бюджета?

Рассмотрим с экспертами компаний «ДоксВижн» и «Диджитал Дизайн» — разработчиком и интегратором решений автоматизации документооборота и управления процессами на платформе Docsvision.

Несогласованность на старте — проблема на финише

Для выстраивания защищенной СЭД, соблюдения законодательных требований и внутренних регламентов каждый проект внедрения или модернизации должен сопровождаться разработкой подсистемы информационной безопасности. Но ее создание зачастую откладывается до завершающей стадии проекта. Это происходит в случаях, если ИБ-подразделение заказчика не вовлечено с самого начала в обсуждение и формирование технического задания или исполнитель не обладает нужными компетенциями.

Мария Токарева, заместитель руководителя направления компании «Диджитал Дизайн»:

«Правильно делать весь комплекс ИБ-работ одновременно с решением функциональных задач. К сожалению, часто встречается обратный подход: на последних этапах создания СЭД появляется дополнительный заказчик в виде подразделения информационной безопасности, что приводит к перекройке системы, заточенной под множество специфических требований пользователей. Как следствие, компанию ожидают неприятности на завершающем этапе. Первая из них — перерасход бюджета, который в ряде случаев может превышать первоначальные затраты на проект. Вторая — срыв сроков ввода информационной системы в эксплуатацию».

Как правильно?

Два ключевых фактора могут помочь внедрить СЭД, в равной степени удовлетворяющую функциональным требованиям и обеспечивающую соблюдение ИБ. При этом затраты и длительность проекта будут предсказуемыми.

1. Опыт интегратора. ИТ-компания должна быть в состоянии параллельно выполнить весь комплекс работ по развертыванию СЭД и защите информации: от проектирования до внедрения. А также иметь лицензии ФСТЭК России на осуществление деятельности по технической защите информации.

2. Возможности самой СЭД. Функциональные и технологические характеристики системы должны изначально закрывать часть ИБ-требований.

Чего ожидать от интегратора

Рассмотрим по пунктам, что входит в состав ИБ-работ, которые должен выполнить интегратор защищенной СЭД.

1. Обследование, моделирование угроз и классифицирование системы.

На данном этапе исполнитель устанавливает принадлежность внедряемой СЭД к одному или нескольким типам ИС. Определяет класс (уровень) защищенности системы. В таблице ниже приведены основные нормативно-правовые документы, требования которых необходимо соблюдать в зависимости от вида ИС, к которой будет отнесено решение.

Информационные системы персональных данных

Государственные информационные системы

Автоматизированные системы,
обрабатывающие конфиденциальную информацию

∙ 152-ФЗ.
∙ Постановление Правительства РФ от 01.11.2012 N 1119.
∙ Приказ ФСТЭК России от 18.02.2013 N 21.
∙ Приказ ФСБ России от 10.07.2014 N 378

∙ 149-ФЗ.
∙ Постановление Правительства РФ от 06.07.2015 N 676.
∙ Приказ ФСТЭК России от 11.02.2013 N 17.
∙ Приказ ФСБ России от 24.10.2022 N 524

∙ Руководящий документ Гостехкомиссии
России от 30.03.1992.
∙ Специальные требования и рекомендации по технической защите конфиденциальной информации
(«СТР-К», приказ Гостехкомиссии России от 30.08.2002 N 282)

2. Формирование требований к защите информации. Проектирование и внедрение средств защиты информации (СЗИ).

На этом этапе важно:

предусмотреть проверку соответствия СЗИ установленному по результатам обследования классу и уровню защищенности ИС;
если СЭД отнесена к ГИС — заложить время на согласование с регуляторами модели угроз безопасности информации и частного технического задания на создание подсистемы защиты информации (ЧТЗ ПЗИ).

3. Подтверждение эффективности мер, а также проведение аттестации СЭД при необходимости.

В ряде предусмотренных законодательством случаев потребуется аттестовать систему на соответствие требованиям по защите информации. Например, если она отнесена к ГИС.

Опыт внедрения защищенных СЭД показывает, что затраты на закупку СЗИ могут превышать 70% от общего бюджета проекта в части ИБ. Это относится даже к тем случаям, когда система должна быть аттестована и от исполнителя проекта требуется соответствующая подготовка. Сократить количество закупаемых средств защиты информации, а следовательно, и затраты позволяет решение части задач информационной безопасности на уровне самой СЭД.

Что должна поддерживать СЭД

СЭД, позволяющая выстроить защищённый электронный документооборот, должна быть включена в реестр отечественного ПО, сертифицирована в системе ФСТЭК России для использования в ИС разных типов и классов (уровней) защищенности. А с точки зрения функциональности, совместимости и архитектуры — соответствовать перечисленным ниже критериям.

1. Управление доступом пользователей к документам и процессам.

В СЭД должны применяться различные виды моделей безопасности: дискреционная, мандатная и контекстно-ролевая. Первые две из перечисленных известны с бумажных времен. По существу, это сопоставление допуска пользователя и пометки, связанной с хранилищем, разделом хранилища или конкретным документом. Но эти модели не обладают достаточной гибкостью и, по сути, вынуждают идти на повышенные риски, предоставляя пользователю доступ к документам сверх необходимого.

Сергей Курьянов, директор по стратегическому маркетингу «ДоксВижн»:

«Более совершенный подход — применение контекстно-ролевой модели. Она позволяет предоставлять доступ к информации в зависимости от настраиваемых параметров, например связанных с временными ограничениями, пользователем или содержанием документа. В платформе Docsvision реализована дополнительно контекстно-ролевая модель. Например, разработчик документа имеет доступ к работе с ним по умолчанию, не получая при этом доступа к другим аналогичным документам».

На практике эти три модели совмещаются, позволяя построить по-настоящему надежную систему управления доступом.

2. Обеспечение достоверности, неизменяемости и неотказуемости документа.

Защита по обозначенным направлениям осуществляется с помощью электронной подписи (ЭП). К настоящему моменту имеется вся необходимая для этого законодательная база. ЭП активно применяется на практике, в том числе на портале Госуслуг, где используется как квалифицированная, так и усиленная квалифицированная электронная подпись.

В этой же группе задач участвуют вендоры сертификатов ЭП — удостоверяющие центры. Для поддержки современных процессов электронного взаимодействия государство разработало законодательство и технологии работы с машиночитаемыми доверенностями (МЧД).

Необходимо, чтобы в СЭД были реализованы современные сценарии применения ЭП и функциональность использования МЧД.

Сергей Курьянов, директор по стратегическому маркетингу «ДоксВижн»:

«Платформа Docsvision полностью соответствует ФЗ в сфере электронной подписи и поддерживает все виды ЭП и работу с любыми криптопровайдерами. Позволяет удобно оформлять как простую, так и квалифицированную подпись, в том числе на мобильных устройствах. Поддерживает полный цикл работы с машиночитаемыми доверенностями, включая формирование, согласование, подписание, публикацию в реестре МЧД и отзыв».

3. Работа в защищенной инфраструктуре.

Главным ресурсом СЭД как ЕСМ-системы — ПО для управления корпоративным контентом — является хранилище документов. Как правило, инфраструктура хранения включает СУБД, поставляемую специализированным вендором. Она должна обеспечивать не только необходимую функциональность, но и защиту данных от повреждений и несанкционированного доступа, включая резервное копирование и восстановление информации.

В ряде случаев базу данных документов для повышения производительности системы разделяют на оперативное и долгосрочное хранилища. Оба из них могут управляться одной СУБД, но возможно и подключение внешнего хранилища, например, содержащего унаследованные архивы данных или работающего на другой ECM-платформе. Это требует от внедряемого решения поддержки процесса вытеснения и взаимодействия с внешним хранилищем по API.

Основой основ является операционная система. Помимо управления программами и данными надежная и безопасная ОС решит важнейшую задачу идентификации пользователей через службу каталогов, виртуализацию ресурсов и взаимодействие с компьютерным оборудованием.

4. Решение прикладных задач безопасного документооборота (ДО).

Информационная безопасность на уровне пользователей достигается с помощью конкретных приложений. Например, решений для управления конфиденциальным документооборотом (подробно задача рассмотрена в статье), для организации внешнего ДО с контрагентами и КЭДО.

Исходя из потребностей организации, соответствующая функциональность также должна быть предусмотрена во внедряемой СЭД.

Узнать больше об автоматизации документооборота с широкими функциональными возможностями и обеспечением информационной безопасности можно на сайте компании «Диджитал Дизайн» или обратившись на info@digdes.com.

erid:2SDnjejurdR

* Реклама, Рекламодатель: ЗАО «ДИДЖИТАЛ ДИЗАЙН», ИНН 7803009412