Заказать рекламу Отключить рекламу
ЭДО

СЭД и безопасность

Защита целостности документа и его контента - первоочередная задача.

Необходимость оптимизации огромных объемов документооборота в банках вызывает большой интерес к системам электронного документооборота (СЭД). Неслучайно именно банки - одни из первых, кто начал внедрять у себя такие системы. Кроме того, в силу специфики информации, которой обладают кредитные институты, для них особо остро при разработке, внедрении и эксплуатации СЭД стоит вопрос обеспечения информационной безопасности и защиты данных, особенно персональных.

Особенности СЭД в банках

В банках по сравнению с другими коммерческими организациями, как правило, значительно больше объем официальной документации - организационно-распорядительной, платежной, входящей и исходящей корреспонденции и т.п. С одной стороны, это связано со спецификой банковской деятельности, большим количеством бухгалтерских проводок, которые должны быть надлежащим образом оформлены. С другой стороны - с жесткими требованиями регулятора, которому необходимо официальное документированное подтверждение (в виде приказов, внутренних документов и т.п.) всех аспектов банковской деятельности.

В случае, если банк имеет территориально распределенную структуру, проблема обмена документами между подразделениями и документооборота в целом становится особенно актуальной. Банки, внедряя СЭД, решают ряд важных задач. Во-первых, организуется единая автоматизированная централизованная регистрация и хранение входящей, исходящей, внутренней организационно-распорядительной и иной документации, в том числе в удаленных офисах. Во-вторых, обеспечивается однократная регистрация документов в организации по единым правилам, установленным для всех офисов банка. В-третьих, автоматизируется и ускоряется процесс оперативной доставки документов получателям в структурных подразделениях, автоматизируется процесс отслеживания и контроля соблюдения сроков согласования и исполнения документов. В-четвертых, создается единая корпоративная база нормативных и распорядительных документов банка с разграничением прав доступа к ним между пользователями (при этом в базе хранятся как данные документа, так и его сканированный образ). Организуется информационно-справочная работа по документам и их оперативный поиск. Наконец, автоматизируется учет архивного фонда документов.

Безопасность - ключевой вопрос

В рамках эксплуатации СЭД и сокращения объемов бумажного документооборота вопрос обеспечения информационной безопасности и защиты данных играет одну из ключевых ролей. В частности, с учетом специфики банковской индустрии ситуация с сохранением коммерческои тайны, защитой персональных данных приводит к тому, что этот вопрос должен быть серьезно проработан на двух уровнях, считает главный исполнительный директор информационных технологий БАНКа УРАЛСИБ Алексей Широких. Во-первых, на уровне организационно-регламентной работы. Во-вторых, на уровне программного обеспечения с учетом всех необходимых требований по защите информации и данных.

Существует ряд мер, позволяющих решить вопросы информационной безопасности при эксплуатации СЭД: использование ЭЦП и двухфакторной аутентификации, шифрование документов, защита внутреннего периметра, если СЭД используется в защищенном пространстве (LAN - Local Area Network). Алексей Широких отмечает, что «поточные шифраторы, установленные в сетевой инфраструктуре, могут поднять производительность информационных систем, в частности СЭД, за счет правильно построенной архитектуры и переноса существенной нагрузки на аппаратный уровень».

С приходом современных технологий, как аппаратных, так и программных (а также с появлением соответствующих решений российских и зарубежных вендоров), механизмы шифрования отдельных документов ключами пользователей и электронной цифровой подписью (ЭЦП) при правильной реализации позволяют достаточно гибко и оперативно защищать электронный документооборот. «Основной вопрос состоит в том, какие документы необходимо шифровать, но это определяет правильно разработанный и утвержденный регламент по доку-ментационному обеспечению организации», - рассказывает Алексей Широких.

Закон "об электронной подписи"

Использование ЭЦП в России регламентируется объемной нормативно-законодательной базой: Гражданским кодексом РФ, Федеральным законом «Об информации, информатизации и защите информации», государственными стандартами и многими другими документами.

Почти год назад вступил в силу новый Федеральный закон РФ «Об электронной подписи», который в значительной степени расширил практическую возможность применения электронной подписи. Образцом для нового закона стала директива Евросоюза «Об общих принципах электронных подписей».

При этом прежний Федеральный закон от ю января 2002 года «Об электронной цифровой подписи» признается утратившим силу лишь с 10 июля 2012 года. Сертификаты ключей подписи, выданные в соответствии с этим законом, будут действовать до истечения установленного в них срока.

До вступления в силу закона № 63 ФЗ «Об электронной подписи» для подписания договоров, проведения банковских транзакций, для подачи налоговой отчетности и налоговой декларации нужно было стоять в огромных очередях в налоговых органах, чтобы лично подписать необходимые документы. С принятием нового закона все бумаги, требующие личной подписи руководителя организации, чиновника или обычного гражданина, можно отправлять по Интернету. Сейчас квалифицированная электронная подпись законом приравнена к собственноручной подписи.

По мнению Алексея Широких, нормативно-законодательная база, регламентирующая использование ЭЦП, достаточно сложна для реализации и, возможно, требует пересмотра отдельных положений по использованию ЭЦП. Правда, компании-разработчики предлагают различные решения, которые помогают банкам выполнять обязательные требования закона и достаточно оперативно внедрять защищенные системы документооборота. «К сожалению, этого нельзя сказать о системах собственной разработки, а также о решениях, морально устаревших, которые достаточно широко распространены в банковской среде», - добавляет эксперт БАНКа УРАЛСИБ.

Защита каналов связи

Системы электронного документооборота развиваются стремительными темпами, что приводит к появлению новых требований к информационной безопасности в СЭД. В частности, возникает необходимость защиты каналов связи на сетевом уровне.

При межсетевом взаимодействии между территориально распределенными филиалами, отделениями банка возникает задача обеспечения безопасности информационного обмена между клиентами и серверами различных сетевых служб. Такие же проблемы встречаются и в беспроводных локальных сетях (WLAN - Wireless Local Area Network), а также при доступе удаленных абонентов к ресурсам корпоративной информационной системы. В данном случае основной угрозой является несанкционированное подключение к каналам связи, осуществление перехвата информации и подмена передаваемых по каналам данных (почтовых сообщений, файлов). «Новые технологии, такие как поточные шифраторы и сетевые аплаенсы, позволяют поднять внедряемые решения СЭД на новый уровень как с точки зрения безопасности, так и с точки зрения производительности», - считает Алексей Широких. А именно эти два аспекта, являющиеся ключевыми для СЭД, - безопасность и производительность - до последнего времени практически взаимно исключали друг друга.

По мнению эксперта БАНКа УРАЛСИБ, рынок средств защиты каналов связи, по которым проходит информация из СЭД, является достаточно зрелым, и на нем представлено немало решений и продуктов. Поэтому любая кредитная организация может выбрать необходимые ей средства защиты.

Николай СМИРНОВ, начальник отдела научных исследований и развития продуктов ОАО ИнфоТеКС

Для направления СЭД критичны все стандартные проблемы обеспечения ИБ:

  • целостность; 
  • аутентичность;
  • доступность;
  • неотказуемость.

В настоящее время решение данных вопросов в рамках системы СЭД традиционными криптографическими и регламентными методами не является технически сложной задачей. Использования ЭП, средств надежной идентификации и авторизации пользователей, разграничения доступа, регламентов и иногда шифрования данных или трафика выделенных приложений - всего этого более чем достаточно для обеспечения ИБ в корпоративных СЭД.

Однако направление СЭД в последние несколько лет переживает бурное развитие. Появляются задачи обеспечения СЭД на мобильных устройствах, центральные звенья архитектуры СЭД переезжают в ЦОД и превращаются в портальные решения с общедоступными каналами связи. Появляются решения СЭД по модели SaaS. Расширение предметной области ИБ в СЭД приводит к появлению новых требований:

  • защиты каналов связи на сетевом уровне;
  • конфиденциальности;
  • защиты периметра файерволами прикладного уровня с функционалом глубокого анализа.

Вторым немаловажным фактором развития рынка СЭД стоит назвать развитие нормативной базы в отношении юридически значимого документооборота. Требования регламентирующих документов отражаются не только на регламентах СЭД, но и на требованиях к системам обеспечения ИБ. Компания ИнфоТеКС, лидер отечественного рынка VPN-решений, предлагает:

  • продукты по обеспечению безопасности каналов передачи данных через сети общего пользования;
  • продукты, осуществляющие работу с квалифицированной ЭП, шифрованием файлов на алгоритмах ГОСТ;
  • продукты, ориентированные на обеспечение безопасности документооборота на прикладном уровне.

Начать дискуссию