Татьяна Бакажинская
Информационная безопасность – одно из главных направлений
на западном рынке систем электронного документооборота, которое развивается в
соответствии с законодательно утвержденными стандартами. Российская практика
еще далека от появления специализированных компаний, занимающихся разработкой
систем ИБ в сфере управления документами.
Безопасность и защита данных являются неотъемлемой частью
функционирования как систем управления контентом, так и решений для управления
электронными документами. Система управления контентом отслеживает, какой
пользователь обращался к определенному документу, какие изменения внес в него,
появилась ли новая версия этого документа. Безопасность здесь осуществляется на
уровне доступа авторизованного пользователя.
Система управления электронными документами должна
отвечать строгим стандартам работы с информацией, принятым законодательно, но в
России отдельного положения в этой области не существует. На данный момент
разработчики руководствуются некоторыми западными требованиями, в частности,
разработанным американским Министерством обороны стандартом Department of
Defense 5015.2 regulations (DoD 5015.2) или более популярным в Европейском
Союзе стандартом MoReq2. В России регуляторы предлагают участникам рынка также ряд
ГОСТов, охватывающих основные аспекты работы с информацией: ГОСТ Р ИСО
15489-1-2007, ГОСТ Р ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК 27001-2006.
Безопасность СЭД – внутренняя проблема пользователей
Современные системы ЕСМ/СЭД безопасны ровно настолько,
насколько высока культура обращения с документами в организации, полагают
опрошенные CNews эксперты. Пока документ, над которым ведется работа, размещен
внутри защищенной среды СЭД, он в относительной безопасности. Когда сотрудники,
находящиеся в конечных точках, придерживаются четко разработанной инструкции по
работе с электронной документацией, компании следует перенести основную заботу
о безопасности на защиту внешнего периметра сети. Александр Бейдер,
директор по развитию направления ECM компании Terralink, считает, что
современные СЭД более чем просто безопасны. «В случае, если работа с
документами в организации происходит целиком в рамках промышленной ECM-системы,
то отпадает даже необходимость в использовании ЭЦП. Проблемы возникают, когда
пользователи начинают использовать электронную почту, печатать, копировать
документы и/или пересылать их во внешние организации, – говорит он. – Призывы
к культуре, лояльности и прочие воспитательно-полицейские мероприятия в этих
случаях всегда обречены на провал. Нарушения всегда имеют место либо случайно,
либо в результате злонамеренных действий пользователей».
Наталья
Храмцовская, ведущий специалист компании ЭОС по управлению
документацией, уверена, что ситуация в России примерно такая же, как и в
остальном мире: «Системы и средства защиты совершенствуются по мере роста
угроз; постепенно осознается, что одними техническими средствами безопасность
не обеспечить – необходим подбор кадров и работа с ними, а также комплекс
организационных мер».
Свое понимание ситуации с безопасностью систем управления
данными озвучил и Максим
Галимов, директор по перспективным исследованиям компании
Directum: «ECM-система снижает риски за счет того, что, во-первых,
обеспечивает защищенное хранение документа, во-вторых, предлагает проводить большую
часть совместной работы над документом без вынесения его за пределы защищенной
среды. Если культура согласования, обмена документами в электронном виде в
рамках ECM-системы принимается организацией, то безопасность документооборота
существенно повышается». По его мнению, люди в подавляющем большинстве
недооценивают риски, пренебрегая ими. Наработки компании в этой области дают
повод считать, что эффект от внедрения ЕСМ-системы в финансовом выражении
сравним с эффектом, полученным от оптимизации процессов. «Риск утечки
информации документа и его доступности нежелательным лицам хоть и не самый
существенный в нашем списке, но довольно ощутимый», – полагает эксперт.
ПО для обеспечения безопасности существует
В России отношение к секретности информации всегда было на
самом высоком уровне. И сегодня заказчики уделяют значительное внимание
вопросам безопасности конфиденциальных данных, однако им не хватает знаний и
умений в использовании имеющихся технологических и программных средств. «В
техническом плане современные СЭД обычно достаточно хорошо защищены. Однако
далеко не все организации принимают надлежащие кадровые и организационные меры,
и в результате становятся возможными как действия инсайдеров, так и
неумышленные нарушения системы ИБ» – констатирует Наталья Храмцовская.
Александр Бейдер полагает, что для большинства заказчиков
вполне достаточно имеющихся решений: «Современные ECM-системы
предусматривают решения класса IRM либо как встроенные сервисы (например,
Open Text), либо как интегрируемые в основную платформу внешние модули,
в том числе третьих производителей. Подобный подход предусматривают Microsoft,
ЕМС, Oracle, а также ряд других компаний». В настройках систем IRM/DRM
можно установить ряд ограничений и запретов, в частности, на копирование конфиденциальных
документов, работу с ними вне системы, пересылку или печать, а также управлять
доступом к ним. Однако любая система защиты должна быть равноценна охраняемой
информации, поэтому перед их внедрением целесообразно произвести аудит рисков,
связанных с утечками данных.
С тем, что технические возможности СЭД способствуют
поддержке конфиденциальности документации, соглашается Сергей Курьянов,
директор по развитию DocsVision. Однако не все СЭД разработаны на основе
достаточно гибких принципов управления безопасностью: «Все это работало бы
замечательно, если бы базовым подходом к управлению доступом во многих СЭД не
была бы дискреционная модель управления доступом (требующая прямого или
наследуемого указания прав доступа каждого пользователя по отношению к каждому
документу). Дискреционная модель унаследована СЭД из операционных
систем, управляющих с ее помощью доступом к разделяемым папкам и файлам.
Дискреционная безопасность недостаточно управляема, в ней очень трудно
формулировать и поддерживать политики доступа, особенно контекстные. Поэтому
очень часто ее просто не используют совсем, ссылаясь как раз на то, что риск
кражи документа очень низкий». По мнению эксперта, в разработке более
защищенных СЭД следует использовать подход на основе мандатной безопасности,
рекомендуемый стандартом MoReq. Эта модель управления доступом соотносит
уровень конфиденциальности документа с уровнем допуска сотрудника. Она дает
преимущества в управлении, облегчает использование СЭД.
Еще более перспективной моделью управления, по мнению
специалиста, является ролевая модель. Эта контекстно-ориентированная модель
позволяет формулировать более гибкие политики доступа к информации. Эксперт
заключает, что симбиоз различных моделей может дать наиболее защищенную систему
безопасности информации: «Сочетание мандатной и ролевой моделей управления
доступом, а также журналирование действий пользователя позволяет строить и
управлять политиками безопасности, которые не мешают людям работать с
документами, но сильно сужают возможности несанкционированного доступа».
Сергей
Якимчук, руководитель центра компетенции Microsoft SharePoint
компании TerraLink, уверенно заявляет, что у отечественных заказчиков
практически отсутствуют требования к соответствию СЭД стандартам информационной
безопасности: «Заказчики часто предъявляют требования к протоколам, по
которым СЭД взаимодействует с внешними системами, а также к наличию возможности
в будущем использовать ЭЦП и криптозащиту. Стандартов же в вопросах защиты от
внешнего проникновения, организации защищенного доступа к данным и прочего не
требует на нашем рынке практически никто».
Будущее безопасных СЭД
Несмотря на достаточно поверхностное отношение к проблемам
безопасности данных в СЭД, наблюдаемое у заказчиков, вендоры подобных систем не
торопятся делать вывод о невостребованности ИБ-стандартов на рынке. По мнению Ирины Кубликовой,
директора по маркетингу компании «БОСС-Референт», пользователи уже начинают
интересоваться вопросами информационной безопасности СЭД: «Для заказчиков
вопрос защищенности данных является весьма актуальным. Такие средства, как
шифрование и ЭЦП, уже рассматриваются как само собой разумеющиеся». Кроме
того, закон о персональных данных стимулировал пользователей к приведению своих
информационных систем в соответствие с новыми требованиями, а производителей –
к проведению сертификаций на соответствие требованиям ФСТЭК, считает эксперт. «Сейчас
пользователи СЭД, перед которыми стоит задача приведения своих ИС в
соответствие требованиям законодательства, обращаются к производителям
СЭД за сертификатами на их программные продукты. Разработчики СЭД, в свою
очередь прилагают усилия, чтоб подтвердить должный уровень защищенности своих
решений получением необходимых сертификатов, и тем самым существенно упростить
решение вопроса для клиентов», – заключает она.
Сергей
Курьянов, директор по развитию DocsVision, замечает, что
проблема безопасности в плане сохранения конфиденциальности
корпоративного контента при автоматизации бизнес-процессом стоит острее, чем в
случае простого хранения документов. Он объясняет это тем, что клиент
автоматизирует, в первую очередь, ключевые процессы, такие, как управление
договорами, поэтому и требования конфиденциальности по отношению к подобным
документам и процессам выше.
Очевидно, что развитие рынка информационной безопасности в
СЭД неотделимо от развития собственно самих СЭД. Эксперты полагают, что через
несколько лет российский рынок придет в соответствие с западным. К тому времени
увеличится понимание руководителями предприятий важности процессов управления
защитой информации. Появится спрос – появятся и предложение со стороны
разработчиков, и специалисты для его реализации. Пока же вопросы ИБ волнуют
только крупные корпорации, потому и разработки в этой области носят единичный
характер.