КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи ╧ 04'2002 || Новости СПб || Новости России || Новости мира
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Системы электронного документооборота (СЭД) являются важной составной частью интегрированной информационной среды любого предприятия или организации, решая широкий спектр задач, необходимых для обеспечения их эффективной деятельности. Решение многих из этих задач часто становится просто бессмысленным, если в СЭД не обеспечен надлежащий уровень информационной безопасности. Некоторым вопросам защиты информации в СЭД и посвящена данная статья.
Дмитрий Романов, к.ф.-м.н.,
директор департамента систем документационного обеспечения управления
компании ╚АйТи╩
Kак государственным, так и коммерческим организациям часто приходится обрабатывать
в своих СЭД различную конфиденциальную информацию (в ряде случаев, и информацию, представляющую собой государственную тайну). Для защиты информации в СЭД обычно используются следующие типы программно-аппаратных систем и средств:
"═системы защиты информации от несанкционированного доступа;
"═системы защиты от атак из внешних сетей (в том числе, из Интернет) ≈ брандмауэры;
"═средства криптографической защиты информации (СКЗИ)═≈ электронная цифровая подпись и шифрование (с использованием алгоритмов с симметричными и несимметричными ключами);
"═системы анализа защищенности и обнаружения вторжений в реальном времени;
"═средства защиты от ╚компьютерных╩ вирусов.
Разработкой этих средств занимаются специализированные компании, продукция которых сертифицируется соответствующими госорганами (ФСБ, ФАПСИ, Гостехкомиссией при Президенте РФ) и в готовом виде встраивается в СЭД. Наличие такого сертификата свидетельствует, что в ПО отсутствуют недекларируемые возможности (программные мины, ловушки, вставки и др.). Примером подобных сертифицированных средств защиты информации являются СКЗИ ╚Верба╩ (от МО ПНИЭИ), ╚Криптон╩ (от ╚Анкад╩) и ╚КриптоПро CSP╩ (от ╚Крипто-ПРО╩).
Мировой опыт показывает, что надежная защита информации в СЭД обеспечивается только комплексным применением программных и аппаратных систем и средств, с учетом всех необходимых организационно-технических и режимных мероприятий.
На практике комплексный подход к защите информации в СЭД представляет собой комбинацию нескольких таких решений, интегрированных с используемым на предприятии ПО и телекоммуникационными средствами. Эффективно реализовать такой подход могут только опытные компании-системные интеграторы.
Важным фактором для развития электронного документооборота в России является недавно принятый ╚Закон об электронно-цифровой подписи╩ (о необходимости которого так долго говорили все российские ИТ-специалисты). Наконец-то появилась соответствующая законодательная база, позволяющая перевести распространение ИТ в России на качественно новый уровень. Фактически, электронный документооборот в России выходит сейчас за границы одной организации (холдинга, предприятия, госструктуры), т.═к. появляется возможность организовать законодательно правомочное взаимодействие (в рамках одной СЭД) между двумя ранее не сотрудничавшими юридическими лицами.
Что же такое представляет собой так называемая электронная цифровая подпись (ЭЦП)? Так как любой документ, обрабатываемый в СЭД, обязательно должен иметь автора (атрибут, кто и когда его создал), то необходимы соответствующие средства, позволяющие подтвердить авторство документа. Для этого в СЭД и применяется ЭЦП. Фактически, ЭЦП представляет собой контрольную сумму электронного документа, формируемую с использованием цифрового ключа его автора. ЭЦП проверяется путем сравнения контрольной суммы документа с суммой, построенной с помощью открытой части цифрового ключа. В ходе этой процедуры можно проконтролировать факт подписи документа конкретным сотрудником предприятия и отсутствие каких-либо последующих изменений в нем. ЭЦП обеспечивает целостность информации и подтверждение авторства документа.
Одной из наиболее известных и распространенных на российском рынке СЭД является система защищенного документооборота и делопроизводства ╚БОСС-Референт╩ (http://www.boss.ru) разработки компании ╚АйТи╩. Итак, каким же образом решены проблемы защиты информации в этой СЭД (и в проектах с ее использованием)? Здесь можно отметить следующие основные моменты:
"═Проекты компании ╚АйТи╩ по обеспечению информационной безопасности объектов и систем заказчиков основаны на законодательстве РФ, директивных и нормативных документах ФСБ РФ, Гостехкомиссии при Президенте РФ, ФАПСИ (╚АйТи╩ имеет соответствующие лицензии всех этих госорганов).
"═В этих проектах компания ╚АйТи╩ использует комплексный подход, современные системы и средства защиты информации отечественной разработки (НТЦ ╚Атлас╩ ФАПСИ, НИП ╚Информзащита╩, МО ПНИЭИ, ╚ТехИнформКонсалтинг╩, ╚Анкад╩, НПП ╚Фактор-ТС╩ и др.).
"═В СЭД ╚БОСС-Референт╩ встроены СКЗИ ╚Верба╩, ╚Криптон╩, ╚КриптоПро CSP╩ (по желанию заказчика возможно использование любого из этих сертифицированных ФАПСИ средств криптозащиты, также финансовыми возможностями и пожеланиями заказчика определяются средства хранения цифрового ключа и достигается разумный компромисс между аппаратными и программными средствами защиты).
"═ПО Lotus Notes (среда разработки СЭД ╚БОСС-Референт╩) содержит встроенные средства защиты информации (обеспечивающие работу с ЭЦП и шифрованием), не сертифицированные ФАПСИ. Эти средства используются, когда нет необходимости устанавливать сертифицированные средства криптозащиты.
Преимущества применения СЭД ╚БОСС-Референт╩ со встроенными средствами защиты информации уже оценили по достоинству такие предприятия и организации, как Министерство РФ по налогам и сборам, Тюменская нефтяная компания, АК ╚АЛРОСА╩, МВД РФ, пивоваренная компания ╚Балтика╩, Магнитогорский металлургический комбинат, Минатом РФ, ОАО ╚Мечел╩, международный аэропорт ╚Шереметьево╩, Главное управление по обслуживанию Дипкорпуса, Металлинвестбанк, ОАО ╚Роснефть-Сахалинморнефтегаз╩, Укрпочта и др. Всего компания ╚АйТи╩ и сертифицированные партнеры выполнили более 100 проектов внедрения системы ╚БОСС-Референт╩.
198097, С.-Петербург, ул. Возрождения, 4 Бизнес-центр ╚Прин╩, офис 904
Тел (812) 324-4988, факс 184-4297
E-mail: , http://www.it.spb.ru
КОМПЬЮТЕР-ИНФОРМ Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей