УДК 004.056
ЗАЩИТА ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СИСТЕМЕ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
Гузаревич М.Е.
студентка группы БИ15-И1 «Сибирского государственного автомобильно-дорожного университета (СибАДИ)», г. Омск
Семенова З.В.
научный руководитель, док. пед. наук, профессор, зав. кафедрой информационной безопасности «Сибирского государственного автомобильно-дорожного университета (СибАДИ)», г. Омск
СибАДИдостаточно популярной в РФ платформы Docsvision, В. ндреева, 2018 год можно назвать годом насыщения первичного рынка СЭД. К началу 2019 года не осталось ни одной крупной компании, в которой все еще ыла бы не внедрена система автоматизации документооборота. Кроме того, важным трендом в развитии СЭД стало расширение функционала: кроме традиционных задач в области делопроизводства и согласования договоров современные СЭД включают в себя средства управления процессами, механизмы управления ЭП, обеспечивают поддержку мобильных рабочих мест и многое другое. Еще один важный тренд в развитии СЭД – это возможность масштабирования. В частности, по состоянию на июль 2018 года, такая СЭД, как Единая автоматизированная система документооборота (ЕАСД), характеризуется тем, что в ней зарегистрировано более 200 тысяч пользователей, которые трудятся не только в центральном аппарате компании N, но и более чем в пятидесяти филиалах и в 15 дочерних организациях, рассредоточенных по территории всей России. Количество записей, введенных в данную систему, превышает 170 миллионов, а количество хранимых файлов приближается к 160 миллионам. Еще один значимый показатель – это количество документов, которое регистрируется в системе ежедневно. Таких документов – более 189000.
Аннотац я. В настоящей статье рассматривается система электронного документооборота Ед ная автоматизированная система документооборота (СЭД ЕАСД) компании N, провод тся анал з ее защищенности согласно нормативным документам Ф ТЭК Росс , а так же анализ соответствия применяемых средств защиты
рекомендуемым.
Ключевые слова: документоо орот, информационная безопасность, защита информац , модель угроз, уровень защиты информации, электронный документооборот.
Введен е
Внедрен е СЭД в деятельность крупных компаний является неотъемлемой частью автоматизац . По мнен ю президента компании «ДоксВижн», являющейся разработчиком
Однако данные, хранящиеся в подобных системах, могут представлять интерес для злоумышленников, а значит, могут быть подвержены различным видам атак. С одной стороны, внедряя СЭД, упорядочивая консолидируя информацию, увеличиваются риски реализации угроз, но, с другой стороны, как это ни парадоксально, упорядочение документооборота позволяет выстроить более качественную систему защиты.
Назначение и основные возможности ЕАСД
Объектом информатизации является документооборот аппарата управления, филиалов и дочерних организаций компании N.
ЕАСД предназначена для повышения эффективности и оперативности управления компанией. Задачи ЕАСД:
формализация и упрощения работы со всеми видами документов;
своевременное и качественное предоставления необходимой информации;
43
построение единого информационного пространства документационного обеспечения
[1].
С 13.07.2007 вступило в силу внутреннее распоряжение, которое утверждает меры по вводу в эксплуатацию Единой автоматизированной системы электронного документооборота.
Для получения учетной записи в системе ЕАСД отвечает Департамент управления делами (ЦН) и Главный вычислительный центр (ГВЦ) – филиалы компании N. Автоматизированная регистрация документов и использование регистрационных данных производится в
СибАДИсоответствии с операционными инструкциями пользователя ЕАСД.
Инфраструктура СЭД ЕАСД (рис. 1) включает в себя три ЦОД, которые расположены в Москве, анкт-Петербурге Екатеринбурге.
Рисунок 1 – Топология сети
У каждого ЦОД есть свой сервер, не зависимый от остальных, обмен данными происходит посредством внутренней СПД, не связанной с глобальной сетью Интернет. В Омском отделе в данную сеть входит 4 персональных компьютера, подключенных к СПД, не имеющих выход в глобальную сеть Интернет и соответствующие всем требованиям Правил работы внутренних пользователей в сети передачи данных и информационных системах компании N и Распоряжению, регламентирующему работу по предотвращению записи, хранения, распространения информации и программных продуктов непроизводственного характера.
С СЭД ЕАСД работают все пользователи, зарегистрированные в СПД организации. Регистрация пользователя производится по заявке в ИВЦ на создание пользователя. Обслуживанием занимается ИВЦ сотрудничающая компания K.
Анализ уязвимостей ЕАСД
Исходя из проведенного анализа наличия зарегистрированных уязвимостей используемого ПО на основе Банка угроз ФСТЭК России [2], большинство выявленных уязвимостей ПО было устранено.
Однако, для СЭД ЕАСД в Банке угроз не было найдено записей. Это означает, что защищенности этого ПО необходимо уделить особенное внимание.
Кроме уязвимостей ПО в системе также существуют и организационные уязвимости, т.е. уязвимости, связанные с персоналом. Они могут быть вызваны:
дефицитом квалифицированных сотрудников в IT-сфере;
неэффективностью системы управления персоналом (планирование и маркетинг персонала, наём и учет персонала, мотивация персонала и т.д.);
физиологическими факторами (усталость, ухудшение здоровья или перевозбуждение персонала);
44
поведенческими факторами (действия руководства и персонала, связанные с преследованием собственных интересов во вред интересам компании, или же неконструктивные конфликты);
внешней средой организации (конкуренты).
На основе методического документа ФСТЭК России [3] данная ИС относится к типовой модели угроз безопасности информации, обрабатываемой в распределенных информационных системах, не имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена. Также на основе этого документа и результатов, полученных ранее, был составлен перечень возможных угроз безопасности.
Перечень возможных угроз |
и возможных последствий реализации этих угроз большей |
степени связан с намеренными |
ли непреднамеренными ошибками в работе персонала ИС и |
осуществлен ем техн ческого обслуживания ИВЦ и компании K.
В результате анал за было выделено 4 категории потенциальных нарушителей, из них 2 относятся к внутренн м наруш телям и 2 – к внешним; 2 категории нарушителей относятся к нарушителям с н зк м потенц алом, 2 – к нарушителям со средним потенциалом (согласно
Таблице 2 |
Метод ки |
определения |
угроз езопасности |
информации в |
информационных |
системах). Внутренн е наруш тели: все сотрудники, подключенные к СПД и СЭД ЕАС; |
|||||
сотрудники ИВЦ, УВЦ |
компании К, осуществляющие обслуживание СЭД ЕАСД. Внешние |
||||
нарушители: сотрудн ки компании-разра отчика СЭД, поставщики оборудования; бывшие |
|||||
сотрудники. |
|
|
|
|
|
Согласно |
проекту |
Метод ки |
определения угроз |
безопасности |
информации в |
информац онных с стемах (далее – Методика) ФСТЭК России было проведено определение уровня проектной защ щенности ИС. ИС имеет низкий уровень проектной защищенности.
После проведения оценки вероятности реализации угроз, был сделан вывод о том, что актуальными угрозами езопасности данных в ИС являются следующие угрозы:
1. |
Угроза внедрения вредоносного кода в BIOS; |
2. |
Угроза внедрения кода или данных; |
3. |
Угроза восстановления аутентификационной информации; |
4. |
Угроза искажения вводимой и выводимой на периферийные устройства информации; |
5. |
Угроза использования механизмов авторизации для повышения привилегий; |
6. |
Угроза использования поддельных цифровых подписей BIOS; |
7. |
Угроза некорректного использования функционала программного и аппаратного |
обеспечения; |
|
8. |
Угроза неправомерного ознакомления с защищаемой информацией; |
9. |
Угроза несанкционированного восстановления удалённой защищаемой информации; |
10. |
Угроза несанкционированного доступа к аутентификационной информации; |
11. |
Угроза несанкционированного создания учётной записи пользователя; |
12. |
Угроза несанкционированного изменения аутентификационной информации; |
13. |
Угроза несанкционированного копирования защищаемой информации; |
14. |
Угроза перехвата вводимой выводимой на периферийные устройства информации; |
15. |
Угроза преодоления физической защиты; |
СибАДИ |
|
16. |
Угроза утраты носителей информации; |
17.Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации;
18.Угроза несанкционированной модификации защищаемой информации;
19.Угроза подмены программного обеспечения;
20.Угроза утечки информации с неподключенных к сети Интернет компьютеров;
21.Угроза перехвата управления информационной системой.
Таким образом, выбираемые меры защиты должны быть направлены на противодействие выявленным угрозам.
45
Информации, обрабатываемой в данной СЭД, владельцем присвоен 2 уровень значимости информации. Рассматриваемый сегмент СЭД ЕАСД имеет региональный масштаб. Таким образом, согласно нормативным документам [4] класс защищенности СЭД должен соответствовать К1.
Защита информации в СЭД
Как известно, прежде всего, необходимо определить базовый набор мер защиты
информации для СЭД, затем провести его адаптацию, уточнение и дополнение в соответствии с рекомендациями ФСТЭК (Приказ №17 пункт 21). Для обеспечения комплексной защиты информации, все меры должны быть реализованы как программно-
СибАДИраспространения информации и программных продуктов непроизводственного характера. Таким образом, исходя из проведенного анализа соответствия используемых средств
аппаратными средствами, так |
организационными. |
|
||
Программно-аппаратные средства защиты информации: |
||||
1. |
истема |
дент ф кац |
аутентификации СЭД ЕАСД |
|
2. |
Идент ф кац я при помощи учетных записей Windows 10 |
|||
3. |
Встроенные службы Windows 10 |
|
||
4. |
пец ал з рованное о орудование |
|
||
5. |
Ант в рус KasperskyEndpoint Security (11.01.90) |
|
||
6. |
Встроенные серв сы СЭД ЕАСД |
|
||
7. |
VipNet Client 4.5 |
|
|
|
Организац онные средства защиты информации: |
|
|||
1. |
Прав ла |
работы внутренних пользователей |
в сети передачи данных и |
|
информац онных с стемах компании N. |
|
|||
2. |
Распоряжен е о реал зции мероприятий по профилактике кибербезопасности: |
|||
Матрица доступа (информационного о мена) к различным информационным ресурсам для |
||||
каждого из классов АРМ СПД Компании N |
|
|||
3. |
Должностная инструкция |
|
||
4. |
Журнал учета съемных электронных носителей |
|
||
5. |
Политика ИБ предприятия |
|
||
6. |
Регламент резервного копирования |
|
||
7. |
Организационно-распорядительные документы |
|
||
8. |
Распоряжение, регламентирующему работу по |
предотвращению записи, хранения, |
||
защиты информации в СЭД ЕАСД нормативным требованиям, можно сделать вывод о том, что уровень ИБ в рассматриваемом отделе РЦБ поддерживается на должном уровне.
Однако следует отметить, что необходимость использования электронной подписи является обоснованной не только в более крупных филиалах организации, но везде, где происходит создание документов для усиления защиты информации.
Заключение
В ходе проведенного исследования был выполнен анализ информационной безопасности в Омском отделе Западно-Сибирского Регионального центра безопасности, который был направлен на повышение информационной безопасности в единой автоматизированной системе документооборота.
Было проведено обследование объекта информатизации – СЭД ЕАСД, на основе которого был выполнен анализ уязвимостей используемого ПО. Данный анализ показал, что большая часть имеющихся уязвимостей устранена, но для ЕАСД в Банке угроз ФСТЭК уязвимости не были найдены.
Далее для определения требований по обеспечению информационной безопасности в СЭД ЕАСД была построена модель нарушители, выделены группы нарушителей, построена модель потенциальных угроз, которая составила 24 первоначальные угрозы, после адаптации, уточнения осталась 21 актуальная угроза.
46
На заключительном этапе исследования был проведен анализ соответствия используемых средств защиты информации в СЭД ЕАСД нормативным требованиям, который показал, что в Омском отделе РЦБ поддерживается должный уровень защиты информации.
Библиографический список
1. ТЕКОРА. Технологии корпоративного развития: сайт. Режим доступа: https://tekora.ru/ (дата обращения: 14.08.2019 г.). – Текст: электронный.
2. Банк данных угроз безопасности информации ФСТЭК России [Электронный реcурс].
СибАДИ |
|||
– Режим доступа: http://bdu.fstec.ru, свободный (дата обращения: 16.08.2019 г.). – Текст: |
|||
электронный. |
|
|
|
3. |
Метод ка определен я угроз безопасности информации в информационных системах: |
||
проект |
// |
ФСТЭК Росс |
– 2015. [Электронный реcурс]. – Режим доступа: |
https://fstec.ru/component/attachments/download/812, свободный (дата обращения: 25.08.2019 |
|||
г.). – Текст: электронный. |
|
||
4. |
Приказ ФСТЭК Росс |
от 11 февраля 2013 г. №17 «Об утверждении требований о |
|
защите информац , не составляющей государственную тайну, содержащейся в государственных нформац онных системах»: приказ // ФСТЭК России – 2015. [Электронный ресурс]. Реж м доступа: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/702- prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17, свободный (дата обращения: 25.08.2019 г.). – Текст: электронный.
47