View
759
Download
5
Tags:
Embed Size (px)
DESCRIPTION
"CompanyMedia" строим открыто. Бизнес-завтрак 28 июня 2012 "Строим вместе безопасную СЭД".
Citation preview
Горностаев Владимир, ктн,Директор центра компетенции
ЭДО и защиты информацииИнтерТраст
+7 (495) 956-7928, [email protected]
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Строим вместе безопасную СЭД
Москва, 28 июня 2012 г.
«CompanyMedia» строим открыто!
Термины и определения
Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функцийГОСТ 34.003-90 Автоматизированные системы. Термины и определения
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средствФЗ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средствФедеральный закон от 27.07.2012 г. № 152-ФЗ «О персональных данных»
Система электронного документооборота (СЭД)
Программное обеспечение
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
СЭД
Информация (данные)
1 2 3 4
«Простая» СЭД У
гроз
ы
Ц КД
СЗИС
ЗСЗ
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Информационная безопасность
ЦелостностьДоступность
КонфиденциальностьДоступ к информации только авторизованных пользователей
Достоверность и полнота информации и методов ее обработки
Доступ к информации и связанных с ней активам авторизованных пользователей по мере необходимости
Защищаемые свойства информации
СЭД – организационно-техническая система, представляющая собой совокупность программного, аппаратного, организационного и информационного обеспечения, реализующая электронный документооборот
Безопасность СЭД – состояние защищенности СЭД от внутренних и внешних угроз, которое обеспечивается оператором СЭД в соответствии с требованиями законодательства, нормативных актов или обладателя информации, обрабатываемой в СЭД
СЭД
Система обеспечения безопасности СЭД – система мер организационного, финансового, технического и иного характера, по выявлению угроз безопасности, предотвращению и нейтрализации их реализации, пресечению, локализации и отражению, а также ликвидации последствий реализации угроз
Безопасность ПО•технологии и используемые средства при создании ПО;•наличие механизмов защиты.
Общая модель безопасности
ОбъектЗащиты
Работники (РМ) Информация Средства и
системы обработкиФизические
поляИнтеллектуальная
собственность
Уязвимости
Угрозы
Источникиугроз
Риски
Ущерб(убытки)
Требования к защите
Методызащиты
Затраты
Объективные, субъективные и случайные
Исходят от субъектов, технических средств, стихийных источниковВнешние, внутренние, естественные, искусственные, случайные и преднамеренные
Субъекты, материальные объекты или явления различной природы (физической, химической, биологической…)
Допустимые, критические, катастрофическиеНичтожный, умеренный, серьезный, критический
Материальный. Нематериальный.Ничтожный, умеренный, серьезный, критический
Исключить воздействие факторов илиснизить их воздействие до допустимого ущерба
Предотвращение, снижение, ликвидация воздействия факторов и угроз. Правовые, морально-этические, технологические. организационные,
физические, аппаратные и программные, технические
Модельнарушителя
Модельугроз
Оценкарисков
Требования кПЗИ СЭД
Система безопасности
Ущерб
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Строим вместе
Регуляторы Разработчики Заказчики
НПА
СВТПО, СКЗИ
СЭД - АС ИСПДнСЭД - ПОАппаратные средства
ЛВС, УЦ, СРК …ЛНА
Система безопасности
ФСТЭКСертификация по требованиям
безопасностиСертификация, Аттестация
ФСБКонтроль встраивания
СКЗИКонтроль встраивания СКЗИ
Требования СВТНСД – 5 классНДВ – 4 уровень, Требования к ИСПДн
1 Г 1 класс
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Защита информации в «CompanyMedia»
Регистрации и учета
Управления доступом
Подсистема ЗИ от НСД
информации
Обеспечения целостности
программных средств
ИСПд 1 кл.
«CompanyMedia» должна соответствовать требованиям безопасности информации: отсутствие недекларированных возможностей - по 4 уровню;
защищенность от НСД к информации – по 5 классумандатный доступ – по 4 классу
АС 1Г
Крипто-графическая
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Система ЭДО
СЭДСМ 3.х
Locker 3.х
СКЗИ
Microsoft Crypto API 2.0
УЦ
TSP,OCSP
ПЗИ
Управление доступом
ОбъектыСубъекты
Полномочия
СЭД - ПО СЭД - АС ИСПДнУровень приложения
Уровень БД
ПРД ДиспетчерКлассификация
Мандатный доступ
Уровень документа
Уровень полей документа (реквизита)
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Идентификация, аутентификация, авторизация
СЭД - ПО СЭД - АС ИСПДн
Уровень приложения
…….
SSOБазовая аутентификация
…Аутентификация с использованием
сертификатов
REST: http, https
eToken
Уровень полей документа (реквизита)
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Учет и регистрация
СЭД - ПО СЭД - АС СЭД - ИСПДн
Регистрация событий в приложении
Параметры регистрации, настройка
Передача во внешние системы
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Конфиденциальность
СЭД - ПО СЭД - АС СЭД - ИСПДн
Разграничение прав доступа
Шифрование в рамках приложения
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Электронный документ
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
63-ФЗ от 6 апреля 2011 г.
Статья 6. Условия признания ЭД, подписанных ЭП1.Информация в электронной форме, подписанная квалифицированной ЭП, признается ЭД, 2. Информация в электронной форме, подписанная простой ЭП или неквалифицированной ЭП, признается ЭД, в случаях,а). установленных ФЗ, принимаемыми в соответствии с ними НПАб). соглашением между участниками электронного взаимодействия.
Целостность ЭД
СЭДСМ 4.хРМ-LN РМ-web РМ-iPad
Locker 4.х
Locker-LN Locker-web iLocker
СКЗИ (КриптоПро CSP)
Microsoft Crypto API 2.0 API
УЦ
TSP,OCSP
Locker-Citrix
ПЗИCitrix
© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012
Средства электронной подписи
Статья 122. При создании электронной подписи средства электронной подписи должны:1) показывать лицу, подписывающему электронный документ, содержание информации,
которую он подписывает;
3. При проверке электронной подписи средства электронной подписи должны:1) показывать содержание электронного документа, подписанного электронной подписью;
СМ х.х
СКЗИ
63-ФЗ от 6 апреля 2011 г.
СМ х.х
СКЗИ