О соответствии систем автоматизации электронного документооборота требованиям ФСТЭК России

А. В. Киселев, Аспирант ВНИИПВТИ

Одной из важнейших задач единой государственной системы управления и передачи данных (ЕГСУ и ПД) является организация электронного документооборота в стране. Именно эта функция дает возможность создать не просто систему передачи данных, осуществляющую информационное взаимодействие участников системы, а улучшить качество системы управления на всех уровнях с использованием электронных документов.

Применение электронных документов в государственном документообороте означает их использование в качестве юридического факта - предусмотренные в законе основания для возникновения, изменения, прекращения конкретных правоотношений между участниками информационного взаимодействия. [5]

В настоящее время обмен информацией в электронном виде технически и технологически не представляет принципиальных трудностей. На рынке предлагается множество сопоставимых по качеству инструментальных и программных средств, позволяющих реализовать электронное взаимодействие между удаленными пользователями как в режиме "on-line", так и в режиме "off-line". Однако ситуация кардинально меняется, как только выдвигается требование документированности электронного взаимодействия. Необходимо придать юридический статус некоторому виртуальному объекту. Это может быть обеспечено комплексом взаимоувязанных нормативных правовых, организационных, технических и инфраструктурных мер.

Реализованный в корпоративных системах информационный обмен не означает признание передаваемых электронных сообщений документом, юридическим фактом. Это всего лишь информационная база для деловых отношений, закрепленных юридически значимым соглашением. Только в социальной среде электронное сообщение превращается в электронный документ. Но для этого необходима адекватная инфраструктура взаимодействия, гарантирующая соблюдение требований среды к технологиям создания, подписания и передачи сообщений (электронных документов), протоколам среды взаимодействия сторон, хранения электронного сообщения. [6, 7, 9]

Инфраструктура электронного документооборота есть взаимоувязанная совокупность нормативных, законодательных, методических положений, организационных решений и механизмов, технических, программных и технологических объектов. Эта совокупность обеспечивает поддержку и гарантирует достаточность применения выбранной технологии электронного взаимодействия для признания электронного документа юридическим фактом, а также обеспечивает защиту документа и разрешение конфликтов между участниками электронного документооборота.

В настоящее время на многих предприятиях внедряются системы электронного документооборота (СЭД), позволяющие сократить время обработки различных документов, создать единое хранилище документов с удобной системой поиска. Как правило, предприятия или организации имеют документы, содержащие конфиденциальную информацию. Такие документы согласно Российскому законодательству [1, 2, 3, 4] необходимо защищать от несанкционированного доступа. Для этого необходимо, чтобы СЭД, внедряемые на предприятии, удовлетворяли некоторым требованиям. Исследования показали, что такие требования можно разделить на 2 группы: минимальные и дополнительные требования.

Минимальными требованиями можно считать те, которые сформулированы в различных руководящих документах и ГОСТах [8, 10, 11]. Выполнение этих требований, при определенных условиях, может обеспечить необходимый уровень защиты конфиденциального электронного документооборота.

Дополнительные требования обусловлены статистикой современных и перспективных угроз СЭД. Практика показала, что дооборудование систем до уровня дополнительных требований позволяет в достаточной степени защитить электронный документооборот от всех существующих ныне видов угроз.

Анализ, результаты которого приведены ниже, проводился с целью определения соответствия СЭД, из числа предлагаемых сегодня на ИТ-рынке, минимальным требованиям по защите электронного документооборота, содержащего конфиденциальные документы, требующих наименьшего числа доработок. Для исследования были взяты 13 наиболее распространенных в России автоматизированных систем в том числе на основе которых строятся другие продукты по автоматизации электронного документооборота. Эти системы исследовались в том виде в котором их выпускает компания-владелец данного продукта без дополнительных доработок со стороны сторонних компаний (подробнее о каждом из продуктов можно узнать на сайте их разработчиков или на сайте конференции DOCFLOW (www.docflow.ru).

Минимальные требования к автоматизированной системе для защиты конфиденциальной информации от НСД сформулированы в руководящем документе Федеральной службы по техническому и экспортному контролю (ФСТЭК России) [8] и выражаются в классе защищенности 1Г.

В таблице 1 сведены результаты, полученные в ходе исследований. Знак "+" означает полное выполнение данного требования ФСТЭК России, знак "-" означает невыполнение требования, знак "+/-" означает частичное выполнение требования.

Как видно из таблицы, ни одна из приведенных СЭД не выполняет в полном объеме требования по защите электронных документов, содержащих конфиденциальную информацию. Это значит, что для данных СЭД необходимо провести дополнительную доработку до уровня соответствия требованиям ФСТЭК России.

Основные доработки по минимальным требованиям необходимо делать в областях, связанных с подсистемой обеспечения целостности и подсистемой регистрации и учета. Следует отметить, что ни одна из приведенных в таблице СЭД не имеет механизмов по очистке освобождаемых областей памяти ЭВМ и внешних накопителей, полностью полагаясь, в данном требовании, на операционные системы, которые данную функцию не выполняют. В подсистеме обеспечения целостности не выполняются такие требования как: обеспечение целостности программных средств СЗИ НСД, проверка целостности СЗИ НСД при загрузке системы, тестирование функций СЗИ НСД с помощью тестпрограмм, имитирующих попытки НСД, наличие средств восстановления СЗИ НСД.

Среди представленных в таблице СЭД можно выделить Documentum, IIG Intravert, SitexTM - для этих систем автоматизации электронного документооборота последующая доработка до уровня требований ФСТЭК России по хранению и обработке конфиденциальной информации минимальна.

Наличие выше перечисленных недостатков СЭД по минимальным требованиям, повлекло за собой разработку различных производных программных продуктов, ряд которых был сертифицирован под хранение и обработку электронных документов, содержащих конфиденциальную информацию. Это такие СЭД как eToken для Lotus Notes, Locker, SmartLogon, Эффект Офис.

Исследования показали, современные виды угроз постоянно обновляются и механизмы их действий совершенствуются. Минимальные требования различных руководящих документов и ГОСТов к системам защиты электронного документооборота быстро теряют свою актуальность. Поэтому, не отрицая значимость последних, можно утверждать о том, что в каждом предприятии и организации необходимо постоянно проводить оценку существующих и перспективных видов угроз, на основе которой определять перечень дополнительных требований к СЭД, разрабатывать и внедрять средства, позволяющие в достаточной степени защищать электронный документооборот.

Литература:

  1. Конституция Российской Федерации.
  2. Доктрина информационной безопасности Российской Федерации.
  3. Указ Президента РФ № 188 от 6 марта 1997 г. "Об утверждении перечня сведений конфиденциального характера"
  4. Федеральный закон "О коммерческой тайне" №98-ФЗ от 29 июля 2004 г.
  5. Федеральный закон Российской Федерации "Об информации, информатизации и защите информации" № 24-ФЗ от 20 февраля 1995 г.
  6. ГОСТ Р 51583-2000 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении".
  7. Руководящий документ "Положение по аттестации объектов информатизации по требованиям безопасности информации" (Утверждено Председателем Гостехкомиссии России 25 ноября 1994 г.).
  8. Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации" (Гостехкомиссия России, 1997 г.).
  9. Руководящий документ "Защита от НСД к информации. Термины и определения" (Гостехкомиссия России, 1992 г.).
  10. Руководящий документ "Специальные требования и рекомендации по технической защите конфиденциальной информации" (Гостехкомиссия России, 2001г.).
  11. ГОСТ Р ИСО/МЭК 15408-2001 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".

Данный текст взят с сайта http://www.okbsapr.ru