Строим вместе безопасную СЭД

Горностаев Владимир, ктн,Директор центра компетенции

ЭДО и защиты информацииИнтерТраст

+7 (495) 956-7928, [email protected]

© В.П.Горностаев, ЗАО "Компания "ИнтерТраст", 2012

Строим вместе безопасную СЭД

Москва, 28 июня 2012 г.

«CompanyMedia» строим открыто!

Термины и определения

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функцийГОСТ 34.003-90 Автоматизированные системы. Термины и определения

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средствФЗ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средствФедеральный закон от 27.07.2012 г. № 152-ФЗ «О персональных данных»

Система электронного документооборота (СЭД)

Программное обеспечение


СЭД

Информация (данные)

1 2 3 4

«Простая» СЭД У

гроз

ы

Ц КД

СЗИС

ЗСЗ


Информационная безопасность

ЦелостностьДоступность

КонфиденциальностьДоступ к информации только авторизованных пользователей

Достоверность и полнота информации и методов ее обработки

Доступ к информации и связанных с ней активам авторизованных пользователей по мере необходимости

Защищаемые свойства информации

СЭД – организационно-техническая система, представляющая собой совокупность программного, аппаратного, организационного и информационного обеспечения, реализующая электронный документооборот

Безопасность СЭД – состояние защищенности СЭД от внутренних и внешних угроз, которое обеспечивается оператором СЭД в соответствии с требованиями законодательства, нормативных актов или обладателя информации, обрабатываемой в СЭД

СЭД

Система обеспечения безопасности СЭД – система мер организационного, финансового, технического и иного характера, по выявлению угроз безопасности, предотвращению и нейтрализации их реализации, пресечению, локализации и отражению, а также ликвидации последствий реализации угроз

Безопасность ПО•технологии и используемые средства при создании ПО;•наличие механизмов защиты.

Общая модель безопасности

ОбъектЗащиты

Работники (РМ) Информация Средства и

системы обработкиФизические

поляИнтеллектуальная

собственность

Уязвимости

Угрозы

Источникиугроз

Риски

Ущерб(убытки)

Требования к защите

Методызащиты

Затраты

Объективные, субъективные и случайные

Исходят от субъектов, технических средств, стихийных источниковВнешние, внутренние, естественные, искусственные, случайные и преднамеренные

Субъекты, материальные объекты или явления различной природы (физической, химической, биологической…)

Допустимые, критические, катастрофическиеНичтожный, умеренный, серьезный, критический

Материальный. Нематериальный.Ничтожный, умеренный, серьезный, критический

Исключить воздействие факторов илиснизить их воздействие до допустимого ущерба

Предотвращение, снижение, ликвидация воздействия факторов и угроз. Правовые, морально-этические, технологические. организационные,

физические, аппаратные и программные, технические

Модельнарушителя

Модельугроз

Оценкарисков

Требования кПЗИ СЭД

Система безопасности

Ущерб


Строим вместе

Регуляторы Разработчики Заказчики

НПА

СВТПО, СКЗИ

СЭД - АС ИСПДнСЭД - ПОАппаратные средства

ЛВС, УЦ, СРК …ЛНА

Система безопасности

ФСТЭКСертификация по требованиям

безопасностиСертификация, Аттестация

ФСБКонтроль встраивания

СКЗИКонтроль встраивания СКЗИ

Требования СВТНСД – 5 классНДВ – 4 уровень, Требования к ИСПДн

1 Г 1 класс


Защита информации в «CompanyMedia»

Регистрации и учета

Управления доступом

Подсистема ЗИ от НСД

информации

Обеспечения целостности

программных средств

ИСПд 1 кл.

«CompanyMedia» должна соответствовать требованиям безопасности информации: отсутствие недекларированных возможностей - по 4 уровню;

защищенность от НСД к информации – по 5 классумандатный доступ – по 4 классу

АС 1Г

Крипто-графическая



Система ЭДО

СЭДСМ 3.х

Locker 3.х

СКЗИ

Microsoft Crypto API 2.0

УЦ

TSP,OCSP

ПЗИ

Управление доступом

ОбъектыСубъекты

Полномочия

СЭД - ПО СЭД - АС ИСПДнУровень приложения

Уровень БД

ПРД ДиспетчерКлассификация

Мандатный доступ

Уровень документа

Уровень полей документа (реквизита)


Идентификация, аутентификация, авторизация

СЭД - ПО СЭД - АС ИСПДн

Уровень приложения

…….

SSOБазовая аутентификация

…Аутентификация с использованием

сертификатов

REST: http, https

eToken

Уровень полей документа (реквизита)


Учет и регистрация

СЭД - ПО СЭД - АС СЭД - ИСПДн

Регистрация событий в приложении

Параметры регистрации, настройка

Передача во внешние системы


Конфиденциальность

СЭД - ПО СЭД - АС СЭД - ИСПДн

Разграничение прав доступа

Шифрование в рамках приложения


Электронный документ

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

63-ФЗ от 6 апреля 2011 г.

Статья 6. Условия признания ЭД, подписанных ЭП1.Информация в электронной форме, подписанная квалифицированной ЭП, признается ЭД, 2. Информация в электронной форме, подписанная простой ЭП или неквалифицированной ЭП, признается ЭД, в случаях,а). установленных ФЗ, принимаемыми в соответствии с ними НПАб). соглашением между участниками электронного взаимодействия.

Целостность ЭД

СЭДСМ 4.хРМ-LN РМ-web РМ-iPad

Locker 4.х

Locker-LN Locker-web iLocker

СКЗИ (КриптоПро CSP)

Microsoft Crypto API 2.0 API

УЦ

TSP,OCSP

Locker-Citrix

ПЗИCitrix


Средства электронной подписи

Статья 122. При создании электронной подписи средства электронной подписи должны:1) показывать лицу, подписывающему электронный документ, содержание информации,

которую он подписывает;

3. При проверке электронной подписи средства электронной подписи должны:1) показывать содержание электронного документа, подписанного электронной подписью;

СМ х.х

СКЗИ

63-ФЗ от 6 апреля 2011 г.

СМ х.х

СКЗИ

Documents

Строим вместе безопасную СЭД