Механизмы обеспечения защиты информации в электронных архивах Андреев Владимир DocsVision, Президент

Слайд: 2 Что такое управление записями

Слайд: 3 План Аспекты информационной безопасности. Аутентификация. Интегрированная безопасность Разграничение доступа к данным: Дискреционная и мандатная безопасность Разграничение доступа к данным: Ролевая и контекстная безопасность Использования механизмов криптографической защиты Соответствие системы безопасности требованиям законодательства

Слайд: 4 Для чего используются средства безопасности в ECM Обеспечить идентификацию пользователя выполняющего те или иные действия в системе Разграничить права доступа к объектам системы Обеспечить возможность контроля доступности документов в специальных случаях (особые типы документов) Обеспечить идентификацию исполнителя операции и неизменность объекта в ходе бизнес процесса Средство упрощения создания приложений Идентифицировать подлинность и неизменность документа при передачи за границы системы Обеспечить защиту от администратора Создать технологическую базу: В соответствии с требованиями законодательства Для юридически значимого документооборота

Слайд: 5 Для чего используются средства безопасности Обеспечить идентификацию пользователя выполняющего те или иные действия в системе Разграничить права доступа к объектам системы Обеспечить возможность контроля доступности документов в специальных случаях (особые типы документов) Обеспечить идентификацию исполнителя операции и неизменность объекта в ходе бизнес процесса Средство упрощения создания приложений Идентифицировать подлинность и неизменность документа при передачи за границы системы Обеспечить защиту от администратора Создать технологическую базу: В соответствии с требованиями законодательства Для юридически значимого документооборота

Слайд: 6 Аутентификация. Интегрированная безопасность

Слайд: 7 Аутентификация Аутентифика́ция (англ. Authentication) проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.англ.идентификатора Авториза́ция (англ. authorization) - Процесс предоставления и проверки прав определённого лица на выполнение некоторых действий.англ. Компоненты системы аутентификации База данных учетных записей (Active Directory, SAM …) Механизм аутентификации Пароль Сертификат Пластиковая карта Отпечаток пальцев… Протокол аутентификации (NTLM, Kerberos…)

Слайд: 8 Интегрированная безопасность Интеграция средств аутентификации и авторизации ECM и операционной системы Единая база учётных записей Возможность назначать права на доступ в терминах AD Возможность оперировать группами AD Единая система аутентификации при использовании системы вне Домена - Single Sign On Open ID Windows Live ID …

Слайд: 9 Разграничение доступа к данным: Дискреционная и мандатная безопасность

Слайд: 10 Дискреционная безопасность Избирательное управление доступом (англ. Discretionary access control, DAC) управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.)англ.субъектовобъектамсписков управления доступом Для каждой пары субъект объект задается явное перечисление допустимых типов доступа (чтение, изменение и т. д.). Назначение прав на объект Для пользователей из БД учетных записей Групп пользователей Авторизация Разрешение групп Контроль за выполнением действий

Слайд: 11 Какие объекты защищают Содержимое (экземпляр документ) Папка (база данных) Метаданные (карточка) Версии Тип документа Тип для папки Справочник Запись справочника Представление (тип отчета) Представление для папки (конкретный отчет) Поисковый фильтр Виртуальная папка Поля метаданных ???? (как правило реализуются другими средствами)

Слайд: 12 Мандатная безопасность Мандатное управление доступом (англ. Mandatory access control, MAC) разграничение доступа суб ъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности.англ.доступаобъектах

Слайд: 13 Мандатная безопасность

Слайд: 14 Предназначение мандатной безопасности Доступ к содержимому специального типа (ДСП, Секретные документы) Самый высокой приоритет Специальные средства управления Специальный права доступа на управление (Администратор безопасности)

Слайд: 15 Разграничение доступа к данным: Ролевая и контекстная безопасность безопасность

Слайд: 16 Контекстная безопасность Контекстная безопасность - управление доступом к объекту в зависимости от состояния объекта, изменяется в ходе жизненного цикла Пример Жизненный цикл входящего документа: На регистрации На ознакомлении На исполнении Исполнен В архиве Жизненный цикл документа Данные документа Другие данные Механизм разрешения Контекстная безопасность Механизмы

Слайд: 17 Ролевая безопасность – управление доступом к объекту на основании роли пользователя в системе Пример Роль пользователя в документе: Делопроизводитель Автор Исполнитель Контролер Ролевая безопасность Жизненный цикл документа Данные документа Другие данные Механизм разрешения Ролевая безопасность Механизмы

Слайд: 18 Применение Изменение контекста обработки документа в жизненном цикле Упрощение создания приложений Сложные сценарии маршрутизации Замещения Делегирования …

Слайд: 19 Использования механизмов криптографической защиты в ECM

Слайд: 20 Цели криптографической защиты Основа любой системы информационной защиты Обеспечить сохранность секретной информации Обеспечить целостность и подлинность авторства несекретной информации Особенно важно для систем автоматизации документооборота

Слайд: 21 Средства криптозащиты Шифрование симметричным ключом Шифрование открытым ключом Электронная подпись public private Priv Key

Слайд: 22 Применение криптографии Подпись электронного документа Файла Версии Метаданных Заверение выполнение ЭЦП операции Согласование Утверждение…. Подписывается факт исполнения операции и версия документа Экспорт документа с подписями для кросс - организационного Документооборота Шифрование данных – защита от администратора

Слайд: 23 Соответствие системы безопасности требованиям законодательства

Слайд: 24 Текущие требования законодательства ФЗ N152 «об использовании персональных данных….» ФЗ N63 «Об электронной подписи» …. Приказ Минкомсвязи России от 2 сентября 2011 г. N 221 "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти …

Слайд: 25 Классификация ИСПДн

Слайд: 26 Требования ФЗ N152 Ф.З. 152 требует сертификации ФСТЭК программного обеспечения для соответствия требованиям Закона !!! Аттестация информационной системы на соответствие требованиям закона Регистрация в качестве оператора по обработке перс.данных Классификация информационной системы Разработка модели угроз и комплекса мер по защите ПД (как правило с привлечением сторонней компании) Реализация мер по защите (именно здесь рассматривается вопрос о применении сертифицированных средств) Аттестация информационной системы на соответствие Закону

Слайд: 27 Закон об ЭЦП Три вида подписи: Простая ЭЦП Не требует сертификата Необходимы средства идентификации пользователя Может быть использовано в рамках конкретной ИС Приравнивается к бумажному документу по договоренности сторон Может использоваться в сервисах Гос. органов Может быть использована нерезидентами

Слайд: 28 Закон об ЭЦП Три вида подписи: расширенная ЭЦП = простой + требует подтверждения неизменности документа + приравнивается к печати на бумажном документе

Слайд: 29 Закон об ЭЦП Три вида подписи: квалифицированная ЭЦП = Расширенная + требует сертификата от удостоверяющего центра сертифицированного ФСБ + всегда приравнивается к бумажному документу

Слайд: 30 Поддержка требований ФЗ N63 в ECM Использование 3 видов ЭЦП Идентификация пользователя в документе Гарантии неизменности текста Поддержка механизма ЭЦП (с использованием Сертификата) Хранение сертификатов пользователей в базе данных учетных записей Возможность Экспорта – импорта документов с ЭЦП

Слайд: 31 Приказ Минкомсвязи N122 Организация хранения информации

«Докс Вижн» , Санкт-Петербург, наб. р. Смоленки, д (812) (812) Спасибо за внимание!