Разделы

Документооборот

Российские эксперты оценили безопасность современных СЭД

В мире появился первый поставщик услуг по хранению и обработке патентных документов, деятельность которого сертифицирована по стандарту SAS 70 Type II. В США интерес к сертификации фирм-провайдеров услуг документооборота в аспектах безопасности и надежности управления информацией подогревается соответствующим законодательством, в то время, как в России очевидных стимулов к этому нет.

В США прошла проверку по аудиторскому стандарту SAS 70 Type II First To File - компания-поставщик решений в области управления документами, относящимся к патентному праву. Это означает, что процедуры контроля за информационными системами (в том числе, и СЭД-решением, которое использует вендор) выявили, что предоставляемые ей сервисы соответствуют стандартам. Как сообщается в официально релизе вендора, важность аудитов по SAS 70 увеличилась вследствие принятия ряда официальных законов, регулирующих аспекты безопасности хранения, доступа и представления данных в компаниях, обрабатывающих документы. Российские вендоры СЭД по просьбе CNews оценили, насколько востребованными на рынке электронного документооборота с точки зрения заказчика являются требования к безопасности систем.

В ходе опроса выяснилось, что специальные стандарты в области ИБ для СЭД не существуют. Эксперты приводят в пример несколько ГОСТов (в основном - ГОСТ Р ИСО 15489-1-2007, ГОСТ Р ИСО/МЭК 27001-2006, ГОСТ Р ИСО/МЭК 17799-2005, соотносящиеся с западными стандартами ISO), а также несколько западных стандартов (DoD 5015.2, MoReq), относящихся в целом к работе с информацией. Законодательная же база связана с федеральными законами (об ЭЦП и персональных данных). "СЭД – один из элементов корпоративной информационной инфраструктуры, и она защищается в рамках единой политики обеспечения информационной безопасности организации, которая может опираться на один или несколько распространенных в мире стандартов. Защищенность СЭД в значительной степени определяется защищенностью всей инфраструктуры", - объясняет Наталья Храмцовская, ведущий специалист компании ЭОС по управлению документацией. Эксперт отмечает, что практически все современные СЭД имеют развитые функциональные возможности для управления доступом, для протоколирования событий в системе и в них могут быть встроены средства шифрования и ЭЦП. "В техническом плане современные СЭД обычно достаточно хорошо защищены. Однако далеко не все организации принимают надлежащие кадровые и организационные меры, и в результате становятся возможными как действия инсайдеров, так и неумышленные нарушения системы информационной безопасности. Ситуация в России примерно такая же, как и в остальном мире: системы и средства защиты совершенствуются по мере роста угроз; постепенно осознается, что одними техническими средствами безопасность не обеспечить – необходим подбор кадров и работа с ними, а также комплекс организационных мер", - отметила она. Аналогичного мнению придерживается Алексей Барковский, технический директор департамента систем электронного документооборота компании "Рексофт", говоря о том, что стандарты безопасности СЭД на российском рынке в настоящий момент практически не востребованы, а в целом информационная безопасность зависит не от СЭД, а от общей ИТ-инфраструктуры предприятия и от того, смог ли ИТ-директор ликвидировать в ней все бреши. Вопросы контроля информационных системы, которые затрагивает проверка по требованиям SAS 70, по мнению Владимира Горностаева, специалиста по информационной безопасности "Интертраст", в той или иной постановке рассматриваются и в требованиях руководящих документов ФСТЭК России, а по некоторым вопросам детальнее и жестче.

Говоря о популярности и востребованности соответствия стандартам безопасности при выборе СЭД, российские игроки рынка электронного документооборота отмечают, что в целом эти требования не сильно развиты. "Заказчики часто предъявляют требования к протоколам, по которым СЭД взаимодействует с внешними системами, а также к наличию возможности в будущем использовать ЭЦП и криптозащиту. Стандартов же в вопросах защиты от внешнего проникновения, организации защищенного доступа к данным и прочего не требует на нашем рынке практически никто", - заявляет Сергей Якимчук, руководитель центра компетенции Microsoft SharePoint компании Terralink. Он считает, что в подавляющем большинстве СЭД развертываются внутри компаний и именно это позволяет проектным командам концентрироваться на реализации функциональности, не занимаясь повышением степени защиты данных. Спикер приводит в пример свой опыт, что до выбора решения по критерию стандартизации функционала, связанного с безопасностью СЭД, не добирается ни одна тендерная комиссия. В "Корус Консалтинг" корреспонденту CNews рассказали, что по степени востребованности мер по безопасности всех клиентов компании можно разделить на 2 группы. "Первая – это крупные клиенты, которые внедряют дорогостоящие системы, например, Documentum. Для этой группы клиентов безопасность, разумеется, стоит на первом месте. В таких компаниях, как правило, есть свои разработанные регламенты, модели угроз, методики, которым необходимо следовать при внедрении новых информационных систем. К этой же группе относится и госсектор: в государственных структурах в принципе нельзя работать с данными в системе, если не предприняты обусловленные законом меры безопасности", - рассказывает Александр Аксельрод, директор департамента Documentum "Корус Консалтинг". Во вторую группу он отнес средние и небольшие компании, которым гораздо важнее получить быстрый и значимый результат от внедрения СЭД, повысить эффективность бизнеса, свою управляемость и мобильность, а безопасность в этом случае не играет ключевой роли. Поэтому, по мнению господина Аксельрода, за исключением стандартных мер по защите ИТ-инфраструктуры, такие клиенты редко прибегают к серьезным мерам безопасности, таким, как ЭЦП, шифрование, мониторинг. Эксперт замечает, что в целом по России случаи утраты, кражи и "утечки" данных из СЭД единичны.

Востребованность различных сертификатов по безопасности в проектах СЭД

Не знаю Обычно не влияет на выбор Часто влияет на выбор Часто является обязательным требованием
Сертификат соответствия требованиям по защите персональных данных (ФСТЭК) 13% 13% 60% 13%
Сертификат соответствия классу безопасности АС по классу 1Д (ФСТЭК) 13% 13% 60% 13%
Сертификат соответствия классу безопасности АС по классу 1Г (ФСТЭК) 43% 29% 14% 14%
Андрей Никитин, T1 Облако: Наличие новейших видеокарт NVIDIA H100 — одно из ключевых преимуществ использования GPU в облаке T1 Облако
Маркет

Источник: DocsVision, 2009

"Если говорить о СЭД, то самым актуальным (если не единственным по-настоящему востребованным) на широком рынке сертификатом сегодня является сертификат на соответствие требованиям, предъявляемым к средствам защиты информации, входящих в состав ИСПДН по обработке персональных данных. Но с ним пока много путаницы: его получение опосредовано, оно неоднозначно зависит от сертификации по другим нормативным документам. Не до конца понятно, как это все будет работать, поскольку процедуры в некоторых нынешних толкованиях выглядят не очень реалистично для реального рынка. В ходу есть явно дублирующиеся нормативы, по сути свидетельствующие одно и то же, но процедурно разные, что позволяет превращать их в страшилки, в кормушки, в оружие тендерной борьбы, не имеющие мало общего с реальными потребностями безопасности", - констатирует Виктор Сущев, директор по консалтингу компании DocsVision. "Вторым по востребованности на широком рынке является сертификация на возможность использование в АС класса 1Д-1Г, которая производится на основании тех же документов: РД "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" и РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», - продолжает он. Эксперт отмечает, что у массового потребителя есть мнение (которое является заблуждением), что использование сертифицированных программно-аппаратных средств автоматически является гарантией безопасности и соответствия требованиям законов: "Между конкретной автоматизированной системой, построенной у пользователя, и набором программно-аппаратных средств, входящих в ее состав, существует огромный зазор, где, как правило, и находится большинство угроз безопасности. И аттестации подлежат в первую очередь автоматизированные системы, из чего могут проистекать уже требования к программным и аппаратным средствам". Виктор Сущев отмечает также, что сейчас начата работа по подготовке отечественных стандартов в области СЭД. Они будут базироваться на MoReq2 и, с его точки зрения, станут реально востребованными и действующими стандартами для СЭД, в том числе и по вопросам безопасности СЭД. Александр Родионов, директор департамента систем управления документами "Ланит" полагает, что, говоря о специфике СЭД, можно утверждать, что защищенные решения нашим рынком, как говорится, "архивостребованы", и особенно это ощущается в сегменте крупномасштабных проектов. "Но вопрос о защищенности СЭД чрезвычайно конкретен. Требования серьезного заказчика к ИБ, как и функциональные требования к СЭД, могут оказаться достаточно специфическими, а по важности первые вторым точно не уступают", - прибавляет специалист. В качестве примера он приводит системы с несколькими контурами документооборота, каждый со своими требованиями к безопасности, а также тот факт, что в таких СЭД обрабатывается несколько видов информации – метаданные, данные о бизнес-процессах и собственно контент, которые нужно по-разному защищать. По его мнению, сложившихся стандартов здесь нет.

Михаил Демидов