Elettracompany.com

Компьютерный справочник
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Правовой режим защиты систем электронного документооборота

Особенности защиты электронного документооборота

экономические науки

  • Альшанская Татьяна Владимировна , кандидат наук, доцент
  • Захарова Анна Вячеславовна , студент
  • Юмаева Лилия Рифатевна , студент
  • Поволжский Государственный Университет Сервиса
  • СИСТЕМА ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
  • УГРОЗЫ СЭД
  • АУТЕНТИФИКАЦИЯ
  • ЭЛЕКТРОННО-ЦИФРОВАЯ ПОДПИСЬ

Похожие материалы

Внедрение системы электронного документооборота (СЭД), позволяет приобрести огромную гибкость в обработке и хранении информации. В то же время, СЭД порождает новые риски, и пренебрежения защитой обязательно приведет к новым угрозам конфиденциальности. Базовый элемент любой СЭД — документ, внутри системы это может быть файл, а может быть запись в базе данных. Говоря о защищенном документообороте, часто подразумевают именно защиту документов, защиту той информации, которую они в себе несут. В этом случае все сводится к уже банальной (хотя и не простой) задаче защиты данных от несанкционированного доступа. К защите системы электронного документооборота необходим комплексный подход, который подразумевает защиту на всех уровнях СЭД. Начиная от защиты физических носителей информации, данных на них, и заканчивая организационными мерами.

Угрозы для системы электронного документооборота достаточно стандартны и могут быть классифицированы следующим образом:

Рис. 1. Угрозы для системы электронного документооборота

Защиту именно от этих угроз в той или иной мере должна реализовывать любая система электронного документооборота. При этом, с одной стороны, внедряя СЭД, упорядочивая и консолидируя информацию, увеличиваются риски реализации угроз, но с другой стороны, упорядочение документооборота позволяет выстроить более качественную систему защиты.

Возможна реализация угроз в разных классах: угрозы конфиденциальности, угрозы целостности. Любая СЭД должна предусмотреть механизм защиты от основных ее угроз: обеспечение сохранности документов, обеспечение безопасного доступа, обеспечение подлинности документов, протоколирование действия пользователей.

Безопасный доступ к данным внутри СЭД обеспечивается аутентификацией и разграничением прав пользователя. Процессы установления личности пользователя и процессы подтверждения легитимности пользователя на то или иное действие или информацию называется аутентификацией. Под аутентификацией понимается весь комплекс мероприятий, проводимых как на входе пользователя в систему, так и постоянно в течение его дальнейшей работы. Самый распространенный из них — парольный. Основные проблемы, которые сильно снижают надежность данного способа — это человеческий фактор.

Самый старый из известных миру способов аутентификации — имущественный. Существует множество решений для имущественной аутентификации пользователя: это всевозможные USB-ключи, смарт-карты, «таблетки» магнитные карты, в том числе используются и дискеты, и CD.

Максимально надежный для проведения идентификации и последующей аутентификации способ — биометрический, при котором пользователь идентифицируется по своим биометрическим данным (это может быть отпечаток пальца, сканирования сетчатки глаза, голос).

Еще один важный параметр аутентификации — количество учитываемых факторов. Процесс аутентификации может быть однофакторным, двухфакторным и т.д. Также возможно комбинирование различных методов: парольного, имущественного и биометрического. Так, например, аутентификация может проходить при помощи пароля и отпечатка пальца (двухфакторный способ).

В любой системе обязательно должно быть предусмотрено разграничение прав пользователя. Разграничение прав внутри системы технически устраивают по-разному: это может быть полностью своя подсистема, созданная разработчиками СЭД, или подсистема безопасности СУБД, которую использует СЭД. Иногда их разработки комбинируют, используя свои разработки и подсистемы СУБД. Такая комбинация предпочтительнее, она позволяет закрыть минусы подсистем безопасности СУБД.

Огромным преимуществом для конфиденциальности информации обладают криптографические методы защиты данных. Их применение позволят не нарушить конфиденциальность документа даже в случае его попадания в руки стороннего лица.

Сегодня основным и практически единственным предлагаемым на рынке решением для обеспечения подлинности документа является электронно-цифровой подписи (ЭЦП). Основной принцип работы ЭЦП основан на технологиях шифрования с ассиметричным ключом, т.е. ключи для шифрования и расшифровки данных различны. Имеется «закрытый» ключ, который позволяет зашифровать информацию, и имеется «открытый» ключ, при помощи которого можно эту информацию расшифровать, но с его помощью невозможно «зашифровать» эту информацию. Таким образом, владелец «подписи» должен владеть «закрытым» ключом и не допускать его передачу другим лицам, а «открытый» ключ может распространяться публично для проверки подлинности подписи, полученной при помощи «закрытого» ключа. Таким образом, подписать электронный документ с использованием ЭЦП может только обладатель «закрытого ключа», а проверить наличие ЭЦП — любой участник электронного документооборота, получивший «открытый ключ», соответствующий «закрытому ключу» отправителя. Подтверждение принадлежности «открытых ключей» конкретным лицам осуществляет удостоверяющий центр — специальная организация или сторона, которой доверяют все участники информационного обмена.

Основное отличие в системах защиты — это алгоритмы, применяемые в шифровании и ЭЦП. Практически все системы обладают парольной аутентификацией и разграничением доступа пользователей. Некоторые из них имеют также возможности интеграции с Windows-аутентификацией, что дает возможность пользоваться дополнительными средствами аутентификации, поддерживаемыми Windows. Не все из перечисленных решений имеют свою криптографическую защиту — шифрование документов или ЭЦП.

Подход к защите электронного документооборота должен быть комплексным. Защита СЭД не сводится только лишь к защите документов и разграничению доступа к ним. Остаются вопросы защиты аппаратных средств системы, персональных компьютеров, принтеров и прочих устройств; защиты сетевой среды, в которой функционирует система, защита каналов передачи данных и сетевого оборудования, возможно выделение СЭД в особый сегмент сети. Комплекс организационных мер играют роль на каждом уровне защиты.

Электронное периодическое издание зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), свидетельство о регистрации СМИ — ЭЛ № ФС77-41429 от 23.07.2010 г.

Соучредители СМИ: Долганов А.А., Майоров Е.В.

Организация правового режима защиты систем электронного документооборота.

Задача перехода от бумажного к электронному документообороту стоит сегодня перед многими организациями, как коммерческими, так и государственными. Внедрение электронного документооборота позволяет улучшить контроль над движением и исполнением документов, значительно упростить и ускорить доступ к информации и, как следствие, повысить эффективность управления. Это важно для бизнеса и не менее важно для государства. Поэтому Правительством РФ предусмотрены работы по обеспечению электронного документооборота в органах государственной власти всех уровней. Электронный документооборот в нашей стране регулируется такими законами, как ФЗ от 27.07.06 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ФЗ «Об электронной цифровой подписи». Косвенно электронного документооборота также касается закон «О лицензировании отдельных видов деятельности», устанавливающий обязательность лицензирования деятельности по выдаче сертификатов ключей ЭЦП, регистрации владельцев ЭЦП, оказанию услуг, связанных с использованием ЭЦП, и подтверждению подлинности ЭЦП. Кроме того, есть целый ряд ГОСТов. ГОСТ 6.10.4-84 «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники», определяющий требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинных носителях, информации, создаваемым средствами вычислительной техники, а также порядок внесения изменений в указанные документы; ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования»; ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».
Сегодня основным и практически единственным предлагаемым на рынке решением для обеспечения подлинности документа является электронно-цифровой подписи (ЭЦП).

Читать еще:  Этапы создания систем защиты информации

Введение…………………………………………………………………………..3
1. Регламентация использования систем и средств электронной цифровой подписи…………………………………………………………………………….5
2. Защита систем и средств электронного документооборота…………………9
3. Правовые основы применения средств аутентификации, авторизации и администрирования……………………………………………………………. 12
4. Анализ законодательства России о правовой защите информации с использованием ТС……………………………………………………………. 14
Заключение……………………………………………………………………. 18
Список использованной литературы………………………………………..20

Список использованной литературы:

1. Гражданский кодекс Российской Федерации от 30.11.1994 N 51-ФЗ.
2. Федеральный закон от 10 января 2002 «Об электронной цифровой подписи».
3. Александр Самодуров «Средства защиты информации и бизнеса», Журнал «Сnews», №6, 2006, 18-24с.
4. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных /П.Ю.Белкин, О.О.Михальский, А.С. Першаков и др.-М.: Радио и связь, 2009.- с.385
5. Хисамов Ф.Г. Макаров Ю.П. Оптимизация аппаратных средств криптографической защиты информации //Системы безопасности. -2004. — февраль-март №1 (55) — 108-115с.

Правовой режим электронного документа и документооборота

Правовое регулирование отношений в области использования электронных документов осуществляется в соответствии с Конституцией Российской Федерации, Федеральным законом «Об электронной цифровой подписи», Федеральным законом «Об информации, информационных технологиях и о защите информации», другими Федеральными законами, принимаемыми в соответствии с ними, иными нормативными правовыми актами Российской Федерации, а также не противоречащими им соглашениями сторон.

Федеральные законы и нормативные правовые акты регулируют отношения, связанные с формированием и использованием электронных документов, определяют основные требования, предъявляемые к электронным документам в электронном документообороте. Действие Российского законодательства об электронном документе распространяется на отношения, возникающие в связи с использованием электронных документов физическими и юридическими лицами, государственными органами и органами местного самоуправления.

В целях внедрения новых информационных технологий в работу органов государственного управления, экономики и бизнеса, а значит, поддержки электронного документооборота, принят и осуществляется ряд правительственных программ и решений. На протяжении нескольких последних лет в стране выполняется Федеральная целевая государственная программа «Информационное общество» (2011-2020 годы)». Таким образом, государство намерено поддерживать создание и развитие государственных и межведомственных информационно-управляющих систем и межведомственного взаимодействия. Это важно не только для государственного управления, но и для всего общества в целом. Опираясь на единые правила, гражданам и бизнесу будет легче взаимодействовать друг с другом и государством, особенно в сфере исполнения государственных услуг, налоговой, финансовой, экономической и социальной сферах.

Назовем основные действующие документы федерального значения, содержащие определенные нормы применения электронных документов:

· Гражданский кодекс Российской Федерации;

· Федеральный закон от 27.07.2010-ФЗ «Об организации предоставления государственных и муниципальных услуг»;

· Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — Федеральный закон об информации);

· Федеральный закон от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

· Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;

· Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации».

· Федеральный закон от 10.01.2002 №1-ФЗ «Об электронной цифровой подписи» (далее — Федеральный закон об электронной подписи);

· Федеральный закон от 27.12.02 г. №184-ФЗ «О техническом регулировании»;

· Федеральный закон от 21.11.1996 №129-ФЗ «О бухгалтерском учете»;

· Постановление Госкомстата России от05.01.2004 №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»

Одним из основных нормативных документов, регламентирующих вопросы электронного документооборота в России, является Федеральный закон от 10.01.02 г. №1-ФЗ «Об электронной цифровой подписи». В этом Федеральном законе провозглашаются общие положения «правил игры» на электронных рынках в части вопросов признания электронной цифровой подписи (ЭЦП) в электронном документе равнозначной собственноручной подписи в документе на бумажном носителе. Президент РФ подписал Федеральный закон от 29 июля 2010 г. №227-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» в связи с принятием Федерального закона «Об организации предоставления государственных и муниципальных услуг». Документ устанавливает единую терминологию в отношении электронного документооборота как в сфере связи и телекоммуникаций, так и в сфере государственных услуг. В частности, теперь в российском законодательстве дано определение термина «электронный документ». Это документированная информация, представленная в электронном виде, т.е. пригодном для восприятия человеком с использованием ЭВМ, а также для передачи по информационно телекоммуникационным сетям или обработки в информационных системах. Ранее в связи со вступлением в силу в течение первой половины 2010 года Федеральных законов от 9 февраля 2009 г. №8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» и от 22 декабря 2008 г. №262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» госорганы и органы местного самоуправления стали обязаны обеспечивать доступ к информации с использованием информационно-телекоммуникационных сетей, в том числе Интернета. Основные принципы взаимодействия граждан и организаций с госорганами через Интернет закреплены в постановлении Правительства РФ от 15.06.2009 №478.

Законодательство об ЭЦП является правовой основой использования, эксплуатации и развития Государственной автоматизированной системы Российской Федерации «Выборы», что закреплено в ст. 3 Федерального закона от 10.01.03 г. №20-ФЗ. В частности, в ст. 12 данного Закона предусмотрено, что электронные документы, подготовленные с использованием ГАС «Выборы», приобретают юридическую силу после его подписания ЭЦП соответствующих должностных лиц. Протокол, сводная таблица о голосовании и иные сводные документы, подготовленные в электронном виде, приобретают юридическую силу только после обязательной проверки с помощью открытых ключей ЭЦП подлинности всех исходных электронных документов, на основе которых готовится сводный электронный документ.

Читать еще:  Технология защиты баз данных

Электронный документооборот используется и в органах судебной власти. Причем действующее законодательство предусматривает не только решение глобальных проблем информатизации судебных органов, но и внедрение систем электронного документооборота на уровне обычных районных судов.

Электронный документооборот «проникает» и в сферу налоговых отношений. Вступили в силу поправки в Налоговый кодекс Российской Федерации (НК РФ), касающиеся соответствующих форм отчетности в электронной форме. Изменения предусматривают то, что налоговая декларация может быть направлена налогоплательщиком в налоговый орган по телекоммуникационным каналам связи. В этом случае налоговый орган обязан передать налогоплательщику квитанцию о приемке в электронном виде. Причем днем представления декларации по телекоммуникационным каналам связи считается день представления отчетности в электронном виде. В частности, в документе раскрываются такие вопросы, как: требования к программно-аппаратным средствам представления налоговых деклараций и бухгалтерской отчетности в электронном виде по телекоммуникационным каналам связи; процедура сопровождения налоговой и бухгалтерской отчетности в электронном виде; требования к специализированным операторам связи; правила использования средств ЭЦП и средств шифрования; порядок электронного документооборота при представлении налоговых деклараций и бухгалтерской отчетности в электронном виде.

В частности, налогоплательщик обязан придерживаться следующих требований к обороту сведений в интерактивном режиме с налоговыми органами:

после подготовки информации, содержащей данные налоговой декларации, налогоплательщик подписывает ее ЭЦП уполномоченного лица налогоплательщика и отправляет в зашифрованном виде в налоговый орган по месту учета;

в течение суток в адрес налогоплательщика налоговый орган высылает квитанцию о приеме декларации в электронном виде. После проверки подлинности ЭЦП уполномоченного лица налоговым органом налогоплательщик сохраняет документ в своем архиве.

В заключение следует остановиться на вопросах, связанных с дальнейшим развитием электронного документооборота на корпоративном уровне.

Федеральный закон от 27.12.02 г. №184-ФЗ «О техническом регулировании» позволяет организациям легитимизировать методологию и технологию электронного документооборота, которые они фактически используют. Это осуществляется посредством утверждения стандартов организаций. Стандарты организаций в соответствии со ст. 17 Закона №184-ФЗ могут разрабатываться и утверждаться организациями самостоятельно исходя из необходимости их применения в целях совершенствования производства и повышения качества продукции, выполнения работ, оказания услуг. Стандарты организаций могут утверждаться и в целях распространения и использования полученных в различных областях знаний результатов исследований (испытаний), измерений и разработок.

Организация правового режима защиты систем электронного документооборота

Пример готовой курсовой работы по предмету: Информационные технологии

Содержание

1. Регламентация использования систем и средств электронной цифровой подписи…5

2. Защита систем и средств электронного документооборота… 9

3. Правовые основы применения средств аутентификации, авторизации и администрирования…12

4. Анализ законодательства России о правовой защите информации с использованием ТС…14

Список использованной литературы…20

Выдержка из текста

Задача перехода от бумажного к электронному документообороту стоит сегодня перед многими организациями, как коммерческими, так и государственными. Внедрение электронного документооборота позволяет улучшить контроль над движением и исполнением документов, значительно упростить и ускорить доступ к информации и, как следствие, повысить эффективность управления. Это важно для бизнеса и не менее важно для государства. Поэтому Правительством РФ предусмотрены работы по обеспечению электронного документооборота в органах государственной власти всех уровней. Электронный документооборот в нашей стране регулируется такими законами, как ФЗ от 27.07.06 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ФЗ «Об электронной цифровой подписи». Косвенно электронного документооборота также касается закон «О лицензировании отдельных видов деятельности», устанавливающий обязательность лицензирования деятельности по выдаче сертификатов ключей ЭЦП, регистрации владельцев ЭЦП, оказанию услуг, связанных с использованием ЭЦП, и подтверждению подлинности ЭЦП.

Кроме того, есть целый ряд ГОСТов. ГОСТ 6 .10.4−84 «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники», определяющий требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинных носителях, информации, создаваемым средствами вычислительной техники, а также порядок внесения изменений в указанные документы; ГОСТ 28 147–89 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования»; ГОСТ Р 34.10−94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

Сегодня основным и практически единственным предлагаемым на рынке решением для обеспечения подлинности документа является электронно-цифровой подписи (ЭЦП).

Список использованной литературы

Список использованной литературы:

  • 1.Гражданский кодекс Российской Федерации от 30.11.1994 N 51-ФЗ.

2.Федеральный закон от

1. января 2002 «Об электронной цифровой подписи».

3.Александр Самодуров «Средства защиты информации и бизнеса», Журнал «Сnews», № 6, 2006, 18−24с.

4.Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных /П.Ю.Белкин, О.О.Михальский, А.С. Першаков и др.-М.: Радио и связь, 2009.- с.385

5.Хисамов Ф.Г. Макаров Ю.П. Оптимизация аппаратных средств криптографической защиты информации //Системы безопасности. -2004. — февраль-март № 1 (55) — 108−115с.

СЭД и безопасность

Необходимость оптимизации огромных объемов документооборота в банках вызывает большой интерес к системам электронного документооборота (СЭД). Неслучайно именно банки — одни из первых, кто начал внедрять у себя такие системы. Кроме того, в силу специфики информации, которой обладают кредитные институты, для них особо остро при разработке, внедрении и эксплуатации СЭД стоит вопрос обеспечения информационной безопасности и защиты данных, особенно персональных.

Особенности СЭД в банках

В банках по сравнению с другими коммерческими организациями, как правило, значительно больше объем официальной документации — организационно-распорядительной, платежной, входящей и исходящей корреспонденции и т.п. С одной стороны, это связано со спецификой банковской деятельности, большим количеством бухгалтерских проводок, которые должны быть надлежащим образом оформлены. С другой стороны — с жесткими требованиями регулятора, которому необходимо официальное документированное подтверждение (в виде приказов, внутренних документов и т.п.) всех аспектов банковской деятельности.

В случае, если банк имеет территориально распределенную структуру, проблема обмена документами между подразделениями и документооборота в целом становится особенно актуальной. Банки, внедряя СЭД, решают ряд важных задач. Во-первых, организуется единая автоматизированная централизованная регистрация и хранение входящей, исходящей, внутренней организационно-распорядительной и иной документации, в том числе в удаленных офисах. Во-вторых, обеспечивается однократная регистрация документов в организации по единым правилам, установленным для всех офисов банка. В-третьих, автоматизируется и ускоряется процесс оперативной доставки документов получателям в структурных подразделениях, автоматизируется процесс отслеживания и контроля соблюдения сроков согласования и исполнения документов. В-четвертых, создается единая корпоративная база нормативных и распорядительных документов банка с разграничением прав доступа к ним между пользователями (при этом в базе хранятся как данные документа, так и его сканированный образ). Организуется информационно-справочная работа по документам и их оперативный поиск. Наконец, автоматизируется учет архивного фонда документов.

Читать еще:  Контроль технической защиты информации

Безопасность — ключевой вопрос

В рамках эксплуатации СЭД и сокращения объемов бумажного документооборота вопрос обеспечения информационной безопасности и защиты данных играет одну из ключевых ролей. В частности, с учетом специфики банковской индустрии ситуация с сохранением коммерческои тайны, защитой персональных данных приводит к тому, что этот вопрос должен быть серьезно проработан на двух уровнях, считает главный исполнительный директор информационных технологий БАНКа УРАЛСИБ Алексей Широких. Во-первых, на уровне организационно-регламентной работы. Во-вторых, на уровне программного обеспечения с учетом всех необходимых требований по защите информации и данных.

Существует ряд мер, позволяющих решить вопросы информационной безопасности при эксплуатации СЭД: использование ЭЦП и двухфакторной аутентификации, шифрование документов, защита внутреннего периметра, если СЭД используется в защищенном пространстве (LAN — Local Area Network). Алексей Широких отмечает, что «поточные шифраторы, установленные в сетевой инфраструктуре, могут поднять производительность информационных систем, в частности СЭД, за счет правильно построенной архитектуры и переноса существенной нагрузки на аппаратный уровень».

С приходом современных технологий, как аппаратных, так и программных (а также с появлением соответствующих решений российских и зарубежных вендоров), механизмы шифрования отдельных документов ключами пользователей и электронной цифровой подписью (ЭЦП) при правильной реализации позволяют достаточно гибко и оперативно защищать электронный документооборот. «Основной вопрос состоит в том, какие документы необходимо шифровать, но это определяет правильно разработанный и утвержденный регламент по доку-ментационному обеспечению организации», — рассказывает Алексей Широких.

Закон «об электронной подписи»

Использование ЭЦП в России регламентируется объемной нормативно-законодательной базой: Гражданским кодексом РФ, Федеральным законом «Об информации, информатизации и защите информации», государственными стандартами и многими другими документами.

Почти год назад вступил в силу новый Федеральный закон РФ «Об электронной подписи», который в значительной степени расширил практическую возможность применения электронной подписи. Образцом для нового закона стала директива Евросоюза «Об общих принципах электронных подписей».

При этом прежний Федеральный закон от ю января 2002 года «Об электронной цифровой подписи» признается утратившим силу лишь с 10 июля 2012 года. Сертификаты ключей подписи, выданные в соответствии с этим законом, будут действовать до истечения установленного в них срока.

До вступления в силу закона № 63 ФЗ «Об электронной подписи» для подписания договоров, проведения банковских транзакций, для подачи налоговой отчетности и налоговой декларации нужно было стоять в огромных очередях в налоговых органах, чтобы лично подписать необходимые документы. С принятием нового закона все бумаги, требующие личной подписи руководителя организации, чиновника или обычного гражданина, можно отправлять по Интернету. Сейчас квалифицированная электронная подпись законом приравнена к собственноручной подписи.

По мнению Алексея Широких, нормативно-законодательная база, регламентирующая использование ЭЦП, достаточно сложна для реализации и, возможно, требует пересмотра отдельных положений по использованию ЭЦП. Правда, компании-разработчики предлагают различные решения, которые помогают банкам выполнять обязательные требования закона и достаточно оперативно внедрять защищенные системы документооборота. «К сожалению, этого нельзя сказать о системах собственной разработки, а также о решениях, морально устаревших, которые достаточно широко распространены в банковской среде», — добавляет эксперт БАНКа УРАЛСИБ.

Защита каналов связи

Системы электронного документооборота развиваются стремительными темпами, что приводит к появлению новых требований к информационной безопасности в СЭД. В частности, возникает необходимость защиты каналов связи на сетевом уровне.

При межсетевом взаимодействии между территориально распределенными филиалами, отделениями банка возникает задача обеспечения безопасности информационного обмена между клиентами и серверами различных сетевых служб. Такие же проблемы встречаются и в беспроводных локальных сетях (WLAN — Wireless Local Area Network), а также при доступе удаленных абонентов к ресурсам корпоративной информационной системы. В данном случае основной угрозой является несанкционированное подключение к каналам связи, осуществление перехвата информации и подмена передаваемых по каналам данных (почтовых сообщений, файлов). «Новые технологии, такие как поточные шифраторы и сетевые аплаенсы, позволяют поднять внедряемые решения СЭД на новый уровень как с точки зрения безопасности, так и с точки зрения производительности», — считает Алексей Широких. А именно эти два аспекта, являющиеся ключевыми для СЭД, — безопасность и производительность — до последнего времени практически взаимно исключали друг друга.

По мнению эксперта БАНКа УРАЛСИБ, рынок средств защиты каналов связи, по которым проходит информация из СЭД, является достаточно зрелым, и на нем представлено немало решений и продуктов. Поэтому любая кредитная организация может выбрать необходимые ей средства защиты.

Николай СМИРНОВ, начальник отдела научных исследований и развития продуктов ОАО ИнфоТеКС

Для направления СЭД критичны все стандартные проблемы обеспечения ИБ:

  • целостность;
  • аутентичность;
  • доступность;
  • неотказуемость.

В настоящее время решение данных вопросов в рамках системы СЭД традиционными криптографическими и регламентными методами не является технически сложной задачей. Использования ЭП, средств надежной идентификации и авторизации пользователей, разграничения доступа, регламентов и иногда шифрования данных или трафика выделенных приложений — всего этого более чем достаточно для обеспечения ИБ в корпоративных СЭД.

Однако направление СЭД в последние несколько лет переживает бурное развитие. Появляются задачи обеспечения СЭД на мобильных устройствах, центральные звенья архитектуры СЭД переезжают в ЦОД и превращаются в портальные решения с общедоступными каналами связи. Появляются решения СЭД по модели SaaS. Расширение предметной области ИБ в СЭД приводит к появлению новых требований:

  • защиты каналов связи на сетевом уровне;
  • конфиденциальности;
  • защиты периметра файерволами прикладного уровня с функционалом глубокого анализа.

Вторым немаловажным фактором развития рынка СЭД стоит назвать развитие нормативной базы в отношении юридически значимого документооборота. Требования регламентирующих документов отражаются не только на регламентах СЭД, но и на требованиях к системам обеспечения ИБ. Компания ИнфоТеКС, лидер отечественного рынка VPN-решений, предлагает:

  • продукты по обеспечению безопасности каналов передачи данных через сети общего пользования;
  • продукты, осуществляющие работу с квалифицированной ЭП, шифрованием файлов на алгоритмах ГОСТ;
  • продукты, ориентированные на обеспечение безопасности документооборота на прикладном уровне.
Ссылка на основную публикацию
Adblock
detector