Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Создание единой защищенной СЭД для конфиденциальной информации

Создание единой защищенной СЭД для конфиденциальной информации

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Создание единой защищенной СЭД для конфиденциальной информации

Актуальной задачей современных СЭД является обеспечение электронного взаимодействия хозяйствующих организаций и предприятий, а также удовлетворение потребностей заинтересованных субъектов при оказании услуг посредством СЭД
Евгений Романенко
ведущий инженер по АСУ и
телекоммуникационным системам ЗАО "ИВК"

Требования к СЭД в части защиты информации

Каждый производитель современных СЭД наделяет свою систему функциональностью, которая, по его мнению, является необходимой для решения круга обозначенных потенциальным заказчиком задач. Множество СЭД, представленных на рынке в России, отвечают требованиям большинства заказчиков с точки зрения автоматизации делопроизводственных функций. Но как быть, если в силу специфики деятельности организации к СЭД предъявляются повышенные требования по защите электронного документооборота и обеспечению юридической значимости электронного документа?

Для СЭД учреждений и организаций, осуществляющих обработку сведений, относящихся к государственной тайне, обеспечение безопасности информации является важнейшим элементом функциональности системы. Мы говорим о тех случаях, где даже удобство и эргономичность интерфейса пользователя СЭД играет меньшую роль, чем защита информации.

Говоря о построении защищенной системы электронного документооборота (СЭД), специалисты привыкли разделять требования к системам подобного рода на следующие группы:

  • обеспечение юридической значимости электронного документа;
  • обеспечение защиты электронного документа от стандартных угроз.

Учет специфики создаваемой защищенной АС

В настоящее время в учреждениях и организациях органов законодательной, исполнительной и муниципальной власти, а также хозяйствующих субъектов различных форм собственности нашей страны используется множество различных систем электронного документооборота (СЭД). Как правило, они представляют собой огромный подкласс территориально распределенных автоматизированных систем, основной целью которых является увеличение производительности и эффективности документооборота и делопроизводства в целом.

Идеальную картину построения защищенной СЭД усложняют факторы, связанные со спецификой функционирования автоматизированных систем в некоторых организациях. Среди таких факторов следует выделить:

  • территориальную распределенность информационных ресурсов и самих участников информационного взаимодействия;
  • обработку информации различных уровней конфиденциальности, в том числе относящейся к государственной тайне;
  • гетерогенность информационных ресурсов;
  • необходимость в гарантированном доведении и обработке информации при ненадежных каналах связи;
  • необходимость обеспечения гарантированной автономной работы отдельных узлов системы;
  • необходимость в постоянном мониторинге функционирования системы;
  • постоянное масштабирование системы и т.д.

В настоящее время существуют механизмы, позволяющие строить автоматизированные системы (в том числе СЭД), учитывающие все эти факторы в комплексе.

Подходы к решению проблемы обработки информации

Традиционным подходом к решению проблемы обработки информации, различной по уровню конфиденциальности, является создание нескольких контуров обработки информации, каждый из которых обрабатывает информацию "не выше" определенного грифа секретности или только информацию конкретного грифа.

Перспективный подход в решении проблемы обработки информации, различной по уровню конфиденциальности, следующий: информация различных грифов должна обрабатываться в едином защищенном контуре.

Среди важнейших задач, которые позволяет решить данный подход, необходимо выделить:

  • снижение общей стоимости поставляемого оборудования и программного обеспечения;
  • повышение производительности работы персонала организации;
  • снижение сложности и стоимости сопровождения системы.

Технология промежуточного ПО

В настоящее время функциональные задачи автоматизации документооборота и делопроизводства успешно решаются различными производителями СЭД. Однако анализ показал, что у стандартных решений отсутствует универсальный подход к решению общих инфраструктурных задач, учитывающих сформулированные выше специфические факторы, влияющие на построение защищенных АС, в частности СЭД.

Для того чтобы электронные документы имели юридическую силу, требуется сохранение их аутентичности и целостности. Аутентичность электронного документа может быть доказана путем применения к нему электронной подписи. Надежность современных криптографических систем защиты (в том числе электронной цифровой подписи) достаточна и превосходит надежность экспертных оценок аутентичности (почерка или печати). Набор угроз для СЭД является стандартным, как и для любой другой защищенной автоматизированной системы, и в основе обеспечения безопасности информации лежит обеспечение ее целостности, конфиденциальности и доступности.

Одним из наиболее перспективных с этой точки зрения вариантов построения защищенной СЭД является использование в качестве основы технологии middleware (ППО – промежуточное программное обеспечение). Как средство интеграции, ППО призвано решать проблемы взаимодействия между распределенными прикладными и системными программными компонентами. ППО позиционируется как интерфейсный слой между прикладными программами и операционными системами.

Общепринятый в мировой практике подход к интеграции заключается в уходе от создания прямых интерфейсов приложений и в использовании интеграционного связующего программного обеспечения (ПО), которое способно обеспечить выполнение всех функций, необходимых крупной корпорации (см. рис. 1).

За счет применения данной технологии как платформы для построения защищенной СЭД обеспечивается связность субъектов и прикладных процессов, гарантированное доведение информации между участниками информационного обмена, возможно использование внутриплатформенных средств хранения информации.

ППО со встроенными средствами обеспечения защиты информации имеет множество преимуществ перед другими вариантами решения вышеописанных задач обеспечения безопасности информации, так как в рамках единого защищенного информационного пространства распределенной гетерогенной информационной системы может использоваться единая политика безопасности. Кроме того, АС (в частности СЭД), обрабатывающая сведения, составляющие государственную тайну, должна иметь сертификат соответствия определенному классу защищенности по требованиям соответствующего руководящего документа ФСТЭК РФ, при этом все средства защиты информации, используемые в данной системе, также должны быть сертифицированы. Решения, построенные на базе технологии middleware, позволяют инкапсулировать набор средств вычислительной техники в единую среду защиты информации, что исключит необходимость осуществлять в отдельности сертификацию всех средств защиты информации.


Технология электронной цифровой подписи (ЭЦП) должна быть реализована на основе средств криптографической защиты, интегрируемых в среду ППО, или механизмами, реализованными непосредственно в среде ППО.

Применение технологии интеграции в интересах создания СЭД

Более детально технология интеграции при создании СЭД на базе ППО заключается в том, что между уровнем исполнения (прикладные процессы и задачи, в том числе набор задач СЭД) и системным появляется промежуточный слой (см. рис. 2), который состоит из ядра, обеспечивающего базовый функционал, защищенного хранилища, взаимодействующего с системой обеспечения безопасности информации, средств коммуникации (передачи данных).


Прикладные процессы через очередь запросов к ядру используют его функционал, универсальный для всех ОС. Управление задачами, в том числе их инициализацией, контролируется внутренними средствами платформы. Средства хранения информации позволяют использовать внутриплатформенное сертифицированное хранилище. Средства доставки обеспечивают гарантированное доведение информации, а средства управления данными – работу с распространенными СУБД, которые также можно при необходимости интегрировать в систему.
К функциональным подсистемам подобной транспортной магистрали должны относиться:

СЭД как набор прикладных задач для платформы ППО

При использовании ППО для построения защищенной СЭД логика функционирования СЭД выносится на прикладной уровень в соответствии с ранее рассмотренной трехуровневой моделью интеграции. В этом случае все базовые механизмы защиты информации и обеспечения юридической значимости просто используются и не являются вновь разрабатываемыми.

  • подсистема передачи данных, обеспечивающая асинхронные средства гарантированного доведения произвольных инкапсулированных сообщений в неоднородной территориально распределенной АС;
  • подсистема интеграции, реализующая средства обеспечения логической связности различных программно-технических средств (ПТС), в том числе: S Windows NT/2000/ XP/CE, Linux, Mac OS, IBM OS/2, VM/ESA, Sun Solaris, а также обеспечивающая управление вычислительным процессом в разнородных АС;
  • подсистема хранения, предоставляющая средства гарантированного защищенного хранения информации в хранилище ("личный сейф") на каждой вычислительной установке;
  • подсистема безопасности, обеспечивающая интеграцию со средствами защиты периметра и средствами криптографической защиты информации;
  • подсистема представления данных (Web-ориентированное распределенное хранилище данных, средства поиска и доступа к разнородной информации АС);
  • подсистема распределенного мониторинга и контроля функционирования клиентов АС на основе обеспечения удаленных воздействий;
  • универсальный API-набор, являющийся средством быстрой разработки приложений.

Таким образом, все вышеперечисленные факторы, влияющие на построение защищенной СЭД, будут учтены на уровне ППО. Остается только запрограммировать логику функционирования СЭД на прикладном уровне.

С точки зрения перспективы дальнейшей комплексной автоматизации деятельности организации применение интеграционной платформы в качестве защищенной транспортной магистрали для других систем автоматизации позволит сэкономить значительную часть бюджетных средств, которые пошли бы на создание новых каналов/средств передачи данных для этих систем.

В настоящее время существует возможность построения безопасной полнофункциональной СЭД на основе технологии middleware за счет создания единого безопасного информационного пространства в рамках информационной инфраструктуры организации.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2011

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"