Безопасны ли современные СЭД?

Татьяна Бакажинская

Информационная безопасность – одно из главных направлений на западном рынке систем электронного документооборота, которое развивается в соответствии с законодательно утвержденными стандартами. Российская практика еще далека от появления специализированных компаний, занимающихся разработкой систем ИБ в сфере управления документами.

Безопасность и защита данных являются неотъемлемой частью функционирования как систем управления контентом, так и решений для управления электронными документами. Система управления контентом отслеживает, какой пользователь обращался к определенному документу, какие изменения внес в него, появилась ли новая версия этого документа. Безопасность здесь осуществляется на уровне доступа авторизованного пользователя.

Система управления электронными документами должна отвечать строгим стандартам работы с информацией, принятым законодательно, но в России отдельного положения в этой области не существует. На данный момент разработчики руководствуются некоторыми западными требованиями, в частности, разработанным американским Министерством обороны стандартом Department of Defense 5015.2 regulations (DoD 5015.2) или более популярным в Европейском Союзе стандартом MoReq2. В России регуляторы предлагают участникам рынка также ряд ГОСТов, охватывающих основные аспекты работы с информацией: ГОСТ Р ИСО 15489-1-2007, ГОСТ Р ИСО/МЭК 17799-2005, ГОСТ Р ИСО/МЭК 27001-2006.

Безопасность СЭД – внутренняя проблема пользователей

Современные системы ЕСМ/СЭД безопасны ровно настолько, насколько высока культура обращения с документами в организации, полагают опрошенные CNews эксперты. Пока документ, над которым ведется работа, размещен внутри защищенной среды СЭД, он в относительной безопасности. Когда сотрудники, находящиеся в конечных точках, придерживаются четко разработанной инструкции по работе с электронной документацией, компании следует перенести основную заботу о безопасности на защиту внешнего периметра сети. Александр Бейдер, директор по развитию направления ECM компании Terralink, считает, что современные СЭД более чем просто безопасны. «В случае, если работа с документами в организации происходит целиком в рамках промышленной ECM-системы, то отпадает даже необходимость в использовании ЭЦП. Проблемы возникают, когда пользователи начинают использовать электронную почту, печатать, копировать документы и/или пересылать их во внешние организации, – говорит он. – Призывы к культуре, лояльности и прочие воспитательно-полицейские мероприятия в этих случаях всегда обречены на провал. Нарушения всегда имеют место либо случайно, либо в результате злонамеренных действий пользователей».

Наталья Храмцовская, ведущий специалист компании ЭОС по управлению документацией, уверена, что ситуация в России примерно такая же, как и в остальном мире: «Системы и средства защиты совершенствуются по мере роста угроз; постепенно осознается, что одними техническими средствами безопасность не обеспечить – необходим подбор кадров и работа с ними, а также комплекс организационных мер».

Свое понимание ситуации с безопасностью систем управления данными озвучил и Максим Галимов, директор по перспективным исследованиям компании Directum: «ECM-система снижает риски за счет того, что, во-первых, обеспечивает защищенное хранение документа, во-вторых, предлагает проводить большую часть совместной работы над документом без вынесения его за пределы защищенной среды. Если культура согласования, обмена документами в электронном виде в рамках ECM-системы принимается организацией, то безопасность документооборота существенно повышается». По его мнению, люди в подавляющем большинстве недооценивают риски, пренебрегая ими. Наработки компании в этой области дают повод считать, что эффект от внедрения ЕСМ-системы в финансовом выражении сравним с эффектом, полученным от оптимизации процессов. «Риск утечки информации документа и его доступности нежелательным лицам хоть и не самый существенный в нашем списке, но довольно ощутимый», – полагает эксперт.

ПО для обеспечения безопасности существует

В России отношение к секретности информации всегда было на самом высоком уровне. И сегодня заказчики уделяют значительное внимание вопросам безопасности конфиденциальных данных, однако им не хватает знаний и умений в использовании имеющихся технологических и программных средств. «В техническом плане современные СЭД обычно достаточно хорошо защищены. Однако далеко не все организации принимают надлежащие кадровые и организационные меры, и в результате становятся возможными как действия инсайдеров, так и неумышленные нарушения системы ИБ» – констатирует Наталья Храмцовская.

Александр Бейдер полагает, что для большинства заказчиков вполне достаточно имеющихся решений: «Современные ECM-системы предусматривают решения класса IRM либо как встроенные сервисы (например, Open Text), либо как интегрируемые в основную платформу внешние модули, в том числе третьих производителей. Подобный подход предусматривают Microsoft, ЕМС, Oracle, а также ряд других компаний». В настройках систем IRM/DRM можно установить ряд ограничений и запретов, в частности, на копирование конфиденциальных документов, работу с ними вне системы, пересылку или печать, а также управлять доступом к ним. Однако любая система защиты должна быть равноценна охраняемой информации, поэтому перед их внедрением целесообразно произвести аудит рисков, связанных с утечками данных.

С тем, что технические возможности СЭД способствуют поддержке конфиденциальности документации, соглашается Сергей Курьянов, директор по развитию DocsVision. Однако не все СЭД разработаны на основе достаточно гибких принципов управления безопасностью: «Все это работало бы замечательно, если бы базовым подходом к управлению доступом во многих СЭД не была бы дискреционная модель управления доступом (требующая прямого или наследуемого указания прав доступа каждого пользователя по отношению к каждому документу). Дискреционная модель унаследована СЭД из операционных систем, управляющих с ее помощью доступом к разделяемым папкам и файлам. Дискреционная безопасность недостаточно управляема, в ней очень трудно формулировать и поддерживать политики доступа, особенно контекстные. Поэтому очень часто ее просто не используют совсем, ссылаясь как раз на то, что риск кражи документа очень низкий». По мнению эксперта, в разработке более защищенных СЭД следует использовать подход на основе мандатной безопасности, рекомендуемый стандартом MoReq. Эта модель управления доступом соотносит уровень конфиденциальности документа с уровнем допуска сотрудника. Она дает преимущества в управлении, облегчает использование СЭД.

Еще более перспективной моделью управления, по мнению специалиста, является ролевая модель. Эта контекстно-ориентированная модель позволяет формулировать более гибкие политики доступа к информации. Эксперт заключает, что симбиоз различных моделей может дать наиболее защищенную систему безопасности информации: «Сочетание мандатной и ролевой моделей управления доступом, а также журналирование действий пользователя позволяет строить и управлять политиками безопасности, которые не мешают людям работать с документами, но сильно сужают возможности несанкционированного доступа».

Сергей Якимчук, руководитель центра компетенции Microsoft SharePoint компании TerraLink, уверенно заявляет, что у отечественных заказчиков практически отсутствуют требования к соответствию СЭД стандартам информационной безопасности: «Заказчики часто предъявляют требования к протоколам, по которым СЭД взаимодействует с внешними системами, а также к наличию возможности в будущем использовать ЭЦП и криптозащиту. Стандартов же в вопросах защиты от внешнего проникновения, организации защищенного доступа к данным и прочего не требует на нашем рынке практически никто».

Будущее безопасных СЭД

Несмотря на достаточно поверхностное отношение к проблемам безопасности данных в СЭД, наблюдаемое у заказчиков, вендоры подобных систем не торопятся делать вывод о невостребованности ИБ-стандартов на рынке. По мнению Ирины Кубликовой, директора по маркетингу компании «БОСС-Референт», пользователи уже начинают интересоваться вопросами информационной безопасности СЭД: «Для заказчиков вопрос защищенности данных является весьма актуальным. Такие средства, как шифрование и ЭЦП, уже рассматриваются как само собой разумеющиеся». Кроме того, закон о персональных данных стимулировал пользователей к приведению своих информационных систем в соответствие с новыми требованиями, а производителей – к проведению сертификаций на соответствие требованиям ФСТЭК, считает эксперт. «Сейчас пользователи СЭД, перед которыми стоит задача приведения своих ИС в соответствие  требованиям законодательства, обращаются к производителям СЭД за сертификатами на их программные продукты. Разработчики СЭД, в свою очередь прилагают усилия, чтоб подтвердить должный уровень защищенности своих решений получением необходимых сертификатов, и тем самым существенно упростить решение вопроса для клиентов», – заключает она.

Сергей Курьянов, директор по развитию DocsVision, замечает, что проблема  безопасности в плане сохранения конфиденциальности корпоративного контента при автоматизации бизнес-процессом стоит острее, чем в случае простого хранения документов. Он объясняет это тем, что клиент автоматизирует, в первую очередь, ключевые процессы, такие, как управление договорами, поэтому и требования конфиденциальности по отношению к подобным документам и процессам выше. 

Очевидно, что развитие рынка информационной безопасности в СЭД неотделимо от развития собственно самих СЭД. Эксперты полагают, что через несколько лет российский рынок придет в соответствие с западным. К тому времени увеличится понимание руководителями предприятий важности процессов управления защитой информации. Появится спрос – появятся и предложение со стороны разработчиков, и специалисты для его реализации. Пока же вопросы ИБ волнуют только крупные корпорации, потому и разработки в этой области носят единичный характер.

Источник: СNews