УДК 004.056.5:004.01
Н.О. Ушаков, И.В. Сибикина, И.М. Космачева
Астраханский государственный технический университет, Астрахань, 414056 e-mail: [email protected], [email protected], [email protected]
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СИСТЕМАХ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
В статье рассматриваются вопросы защиты информации в системах электронного документооборота. Рассмотрены основные угрозы СЭД, а также средства защиты от угроз. В статье приводится сравнение реализации функций защиты информации в системах электронного документооборота. Для анализа были взяты программные продукты Docsvision, Логика ECM. СЭД, «ДЕЛО», «Е1 Евфрат», Companymedia.
Ключевые слова: система электронного документооборота, электронная подпись, информационная безопасность.
N.O. Ushakov, I.V. Sibikina, I.M. Kosmacheva
Astrakhan State Technical University, Astrakhan, 414Q56 e-mail: [email protected], [email protected], [email protected]
INFORMATION SECURITY IN ELECTRONIC DOCUMENT MANAGEMENT SYSTEMS
The article deals with the issues of information security in electronic document management systems. The main threats of EDMS, as well as means of protection against threats, are considered. The article compares the implementation of information security functions in electronic document management systems. Docsvision software products and ECM Logic, SED, DELO, EFRAT, Companymedia.were used for analysis.
Key words: electronic document management system, electronic signature, information security.
В настоящее время системы электронного документооборота (СЭД) становятся обязательным элементом ИТ-инфраструктуры любой организации. С их помощью коммерческие предприятия повышают эффективность своей деятельности, а в государственных учреждениях на базе систем электронного документооборота решаются задачи внутреннего управления, межведомственного взаимодействия и работы с обращениями граждан.
Система электронного документооборота - это система автоматизации работы с информационными документами на протяжении всего их жизненного цикла (создание, изменение, хранение, поиск, классификация и пр.), а также процессов взаимодействия между сотрудниками [1].
В СЭД обрабатывается большое количество информации конфиденциального характера, поэтому формирование защищенного документооборота становится актуальной задачей для любой компании. Необходимо обеспечивать защиту документов и обеспечивающих компонентов СЭД от предумышленных и случайных угроз информационной безопасности.
Задачей данной работы является исследование программных продуктов Docsvision, Логика ECM. СЭД, «ДЕЛО», «Е1 Евфрат», Companymedia на предмет реализации функций защиты информации.
Особенности защиты данных в СЭД. Среди угроз для систем электронного документооборота можно выделить следующие:
- угроза целостности - уничтожение или искажение информации, которое может быть как непреднамеренным, так и умышленным;
- угроза конфиденциальности - любое нарушение конфиденциальности, при котором информация становится известной лицам, не имеющим к ней доступ (кража, перехват информации);
- угроза доступности - угроза, нарушающая возможность получить своевременный и беспрепятственный доступ к информации пользователям, имеющим к ней права доступа;
- угроза работоспособности системы - угроза, реализация которой приводит к сбою в работе системы;
- невозможность доказательства авторства - угроза, выражающаяся в том, что если в документообороте не используется электронная подпись, то невозможно доказать, что именно данный пользователь создал данный документ, при этом невозможно сделать документооборот юридически значимым [2].
Обеспечение защиты данных именно от этих угроз является задачей, которую в той или иной мере должна выполнять система электронного документооборота. В любой СЭД необходимо реализовать механизмы защиты от основных угроз: контроль доступа и разграничение прав пользователей, обеспечение сохранности и подлинности документов, протоколирование действия пользователей.
В целях обеспечения сохранности документов и возможности их быстрого восстановления в системе должна быть реализована функция резервного копирования. СЭД, которые используют базы данных Microsoft SQL Server или Oracle и др., чаще всего выбирают средства резервного копирования от разработчика СУБД. Другие используют собственные подсистемы резервного копирования, разработанные непосредственно производителем СЭД.
Для защиты СЭД от угроз информационной безопасности необходимо обеспечить безопасный доступ к системе, то есть должны быть реализованы механизмы аутентификации пользователей и разграничение прав доступа. Классика удостоверения личности в информационных системах - пароль. Однако данный метод аутентификации небезопасен. Следующий метод -имущественный, когда для аутентификации могут быть использованы USB-ключи, смарт-карты и т. п. Максимально надежный для проведения идентификации и последующей аутентификации способ - биометрический. При использовании данного метода человек идентифицируется по своим биометрическим данным (голос, отпечаток пальца, сканирование сетчатки глаз). Однако в данном случае возрастает стоимость решения, к тому же технологии считывания этих показателей еще не настолько совершенны, чтобы избежать ошибок или отказов. Еще один важный аспект аутентификации - это его многофакторность. Идея многофакторной аутентификации заключается в том, чтобы взаимно компенсировать недостатки нескольких отдельных факторов. Возможно комбинирование различных методов: парольного, имущественного и биометрического. На практике чаще всего используется двухфакторная аутентификация, например, аутентификация при помощи пароля и отпечатка пальца.
Для разграничения прав доступа в СЭД обычно используется подсистема СЭД, созданная разработчиками, или используется подсистема безопасности, реализованная в СУБД, которая применяется в СЭД.
Конфиденциальность документов, обрабатываемых в СЭД, должна обеспечиваться криптографическими методами защиты информации. Благодаря им сохраняется конфиденциальность информации, даже в случае попадания посторонним лицам. Однако любой криптографический алгоритм обладает своим уровнем криптостойкости, поэтому нет таких шифров, которые нельзя взломать, это всего лишь вопрос времени и средств.
На сегодняшний день основным решением для обеспечения подлинности документа является электронная цифровая подпись (ЭЦП), принцип работы которой основан на шифровании с ассиметричным ключом. Многие производители СЭД уже имеют встроенные в свои системы средства для ЭЦП. Это связано с выходом ФЗ-63 «Об электронной подписи», в котором электронная подпись наделена юридической силой наряду с собственноручной подписью. Следует отметить, что согласно законодательству Российской Федерации, свою систему электронной подписи может разрабатывать только компания, которая имеет на это соответствующую лицензию ФСБ [3].
Протоколирование действий пользователей в системах - один из важнейших аспектов в защите электронного документооборота. Так как все действия пользователей регистрируются, то при возникновении проблем можно найти виновника, а также пресечь попытку неправомерных действий.
В сфере СЭД на российском рынке используются такие программные продукты, как Docsvision, Логика ECM. СЭД, «ДЕЛО», «Е1 Евфрат», Companymedia.
Анализ защищенности СЭД. Платформа Docsvision является базисом для электронного документооборота и позволяет реализовать самые разнообразные решения в области автоматизации бизнес-процессов и задач обработки документов. Платформа состоит из клиентской
и серверной части. Конструкторы, модули, шлюзы к другим системам и готовые приложения Docsvision позволяют гибко настроить систему под решение конкретных бизнес-задач заказчика.
Защита информации в Docsvision реализована: мандатным управлением доступа, разграничением прав доступа на всех уровнях, настройкой передачи прав, протоколированием и регистрацией действий пользователя, применением шифрования. Реализована поддержка электронной подписи всех трех видов, предусмотренных российским законодательством (№ 63-ФЗ). Имеет сертификат ФСТЭК.
Интеграция Docsvision с решением SafeCopy компании «НИИ СОКБ» позволяет предотвратить распространение конфиденциальных документов, которые хранятся в Docsvision, и избежать несанкционированной передачи таких документов посторонним лицам. Данная интеграция позволяет решать следующие задачи: защита конфиденциальных документов и документов, составляющих коммерческую тайну, выявление злоумышленников в случае возникновения инцидента, централизованный контроль за распространением печатных и электронных копий конфиденциальных документов.
Пользователями СЭД Docsvision являются: РКЦ «Прогресс», ЗАО «Центр Финансовых Технологий», администрация Екатеринбурга, страховая компания «Райффайзен Лайф», автозавод «ГАЗ», Мосгоризбирком, Министерство экономического развития РФ, «Газпром добыча Краснодар».
Система «ДЕЛО», разработанная компанией «Электронные Офисные Системы», поддерживает работу с документами на всех этапах жизненного цикла. Система обеспечивает регистрацию, рассмотрение, выдачу поручений, работу с проектами резолюций, контроль исполнения поручений и мониторинг сроков исполнения, списание документов.
Защита информации в СЭД «ДЕЛО» реализована функциями ЭЦП и шифрования. Подписание электронной подписью и ее проверка в СЭД «ДЕЛО» реализуется через опции «ЭП и шифрование» и «Сервер удаленной проверки ЭП». Поддерживается работа с сертифицированными средствами криптографической защиты информации. Шифрование сообщений, передаваемых по открытым каналам, позволяет защитить конфиденциальную информацию от несанкционированного доступа.
Задача обеспечения безопасности данных решена с помощью Secret Disk Server NG компании Aladdin - системы защиты корпоративных баз и конфиденциальной информации на серверах от несанкционированного доступа, копирования, повреждения, кражи или неправомерного изъятия. Для авторизации пользователей в системе «ДЕЛО» используется программно-аппаратный комплекс «Мастер паролей». Логины и пароли хранятся на специальной смарт-карте, доступ к которой можно закрыть PIN-кодом.
СЭД «ДЕЛО» включена в Реестр отечественного ПО. СЭД «ДЕЛО» используется как в государственных организациях, так и в коммерческих компаниях. На базе системы электронного документооборота «ДЕЛО» осуществляется предоставление государственных и муниципальных услуг в электронном виде на федеральном, региональном и муниципальном уровнях. Это обеспечивается интеграцией с «Единым порталом государственных и муниципальных услуг» (ФГИС ЕПГУ) и Системой межведомственного электронного взаимодействия (СМЭВ).
Пользователями СЭД «ДЕЛО» являются: Совет Федерации Федерального Собрания Российской Федерации, Государственная Дума Федерального Собрания Российской Федерации, Арбитражные суды, Генеральная прокуратура Российской Федерации, Центральный банк Российской Федерации, ГФС России, Росархив, Минтруд России.
CompanyMedia - корпоративная система управления документами, задачами и личной продуктивностью. Выполняя функции делопроизводства, система также сфокусирована на работе руководителей и бизнес-специалистов. CompanyMedia имеет 4-уровневую структуру: уровень технологической платформы, уровень базовых сервисов, уровень прикладных модулей и уровень представления информации. СЭД CompanyMedia обеспечивают защиту информации и юридическую значимость электронных документов.
Задачи защиты информации решаются благодаря следующим возможностям CompanyMedia:
- эффективное разграничение прав доступа пользователей к данным и различным частям системы в зависимости от служебного положения;
- авторизованный доступ к ресурсам системы за счет надежной идентификации и аутентификации;
- регистрация событий безопасности, связанных с действиями пользователей и администраторов;
- применение сервиса Locker, позволяющего обеспечить целостность информации в системе за счет использования электронной подписи (ЭП), в том числе усиленной.
Имеет сертификат ФСТЭК.
Пользователями CompanyMedia являются: Банк ВТБ, ОАО «Россельхозбанк», ОАО «Газпромбанк», УРАЛСИБ, Корпорация «Комета», правительство Омской области, правительство Новосибирской области, правительство Севастополя, АО «НПП «ЗВЕЗДА».
«Е1 Евфрат» - система электронного документооборота, используется для автоматизации процессов делопроизводства, организации корпоративного документооборота, автоматизации типовых бизнес-процессов для компаний всех типов и размеров. СЭД «Е1 Евфрат» использует в качестве платформы собственную разработку компании - CognitiveNexus, основными СУБД -MS SQL Server, MySQL, Oracle, также возможна реализация проектов и на других СУБД. «Е1 Евфрат» разработан в соответствии требованиям стандарта ISO 9000.
«Е1 Евфрат» включает в себя модуль информационной безопасности, который соответствует требованиям в области защиты информации. Модуль реализует комплексную защиту данных как от внешнего, так и от внутреннего несанкционированного доступа и обеспечивает сохранность и целостность документов в случае технических сбоев и аварий. «Е1 Евфрат» поддерживает использование протокола SSL для шифрования, расширенную квалифицированную электронную подпись КриптоПро и других сертифицированных криптопровайдеров, доменную авторизацию. Реализован механизм разграничения прав доступа. Хранение и управление паролями осуществляется средствами ОС, пароли никогда не передаются по сети в открытом виде. В СЭД «Е1 Евфрат» ведутся отдельные списки пользователей, имеющих права на регистрацию, контроль за прохождением документов, создание шаблонов отчетов и журналов, доступ к любым документам на чтение и изменение, а также администрирование системы. Наличие сертификатов ФСТЭК и ФСБ.
Пользователями «Е1 Евфрат» являются: ОАО «РЖД Логистика», ЭКООФИС, Государственное учреждение «Московское объединение ветеринарии», администрация главы и правительства Чеченской Республики, г. Грозный; ОАО «Коммерческий банк КЫРГЫЗСТАН».
Система «Логика СЭД» предназначена для автоматизации управленческого документооборота и делопроизводства, а также управления бизнес-процессами в средних и крупных коммерческих и государственных предприятиях.
Система «Логика СЭД» включена в реестр отечественного ПО и использует для работы СУБД PostgresPro. Имеет сертификат ФСТЭК. В «Логику СЭД» встроена поддержка сертифицированных ФСБ России средств криптографической защиты информации.
В системе используются следующие механизмы защиты данных:
- электронная подпись;
- разграничение прав доступа пользователей;
- протоколирование действия пользователей;
- шифрование данных.
Для реализации функций криптографической защиты информации используется программный продукт «Логика ECM. Штамп». Его преимуществами является: кроссплатформенность, кроссбраузерность, соответствие законодательства РФ, обеспечение юридической значимости электронных документов, конфиденциальность информации и контроля ее целостности.
Пользователями «Логика СЭД» являются: Федеральная налоговая служба РФ, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральное агентство по управлению особыми экономическими зонами, Федеральное агентство лесного хозяйства, Федеральное агентство водных ресурсов, Министерство природных ресурсов, Министерство юстиции РФ.
Результаты анализа возможностей защиты информации в исследуемых СЭД представлены в таблице:
«+» - возможность реализована;
«+/-» - возможность доступна в рамках ограниченной функциональности или требуется приобретение дополнительного ПО;
«-» - возможность не реализована.
Информационная безопасность СЭД
Защита информации ДЕЛО Логика СЭД Docsvision Е1 Евфрат Companymedia
Поддержка различных способов аутентификации +/- + + +/- +
Назначение прав пользователям + + + + +
Назначение прав группам пользователей + + + + +
Поддержка пользовательских ролей + + + + +
Выдача прав на время исполнения документа + +/- +/- +
Шифрование данных системы, шифрование данных при передаче + + + + +
Средства мониторинга событий в системе +/- + + + +
Использование ЭЦП + + + + +/-
Применение сертифицированных средств защиты + + + + +/-
Протоколирование действий пользователя + + + + +
Организация резервного копирования базы данных + + + + +
Автоматизация документационной поддержки процессов в организациях имеет несомненные преимущества. Спрос на системы электронного документооборота стабильно увеличивается. Однако нельзя забывать об обеспечении безопасности СЭД. Для нормальной работы электронного документооборота на предприятии необходим надежный и безопасный процесс обработки и хранения информации. Все рассмотренные СЭД входят в Единый реестр российского ПО и обладают набором средств, которые обеспечивают необходимую защиту информации. Это такие решения по защите конфиденциальной информации, как разграничение прав пользователя, контроль доступа, шифрование документов при хранении и передаче, ЭЦП.
Литература
1. Белов С.П. Подготовка к внедрению систем электронного документооборота: Монография. - М.: Мир науки, 2016. - 210 с.
2. Анацкая А.Г. Защита электронного документооборота: Учебное пособие. - Омск: СибАДИ, 2019. - 87 с.
3. Шишин И.О. Информационные технологии управления документами. - СПб.: Санкт-Петербургский государственный экономический университет, 2017. - 78 с.