В условиях информатизации общества задача обеспечения безопасности хранилищ электронных документов становится всё более важной. На основе анализа мирового опыта защиты информационных систем автор данной статьи формулирует и обсуждает принципы создания и эксплуатации доверенных электронных хранилищ.
Новые угрозы электронным хранилищам
Электронные документы все шире используются в корпоративной среде и в государственном управлении, вытесняя бумажные аналоги. Традиционные бумажные технологии делопроизводства и архивирования постепенно уходят в прошлое. Однако сегодня, в условиях глобализации, роста объема информации, активизации информационного обмена, электронные документы подвергаются серьезным угрозам безопасности. Так, развитие технологий Web, XML, мобильной и беспроводной связи, стандартизация форматов данных и протоколов их обмена делают информационную среду организаций всё более открытой и беззащитной перед криминализирующимся Интернетом.
В распространившихся системах автоматизированного управления накапливается и обрабатывается огромный объём внутренней корпоративной информации, а в системах CRM — персональных данных клиентов. В то же время рост емкости и миниатюризация носителей памяти, увеличение мощности каналов связи предоставляют широкие технические возможности для краж данных недобросовестными сотрудниками.
В таких условиях всё большее значение приобретают технологии защиты систем электронных документов как от внешних, так и от внутренних угроз. Следует учитывать, что электронные документы являются, по сути говоря, наборами единиц и нулей, и к ним невозможно применять такие традиционные методы защиты, как оттиск печати, собственноручная подпись и водяные знаки на бумаге. Вместо указанных средств используются электронная цифровая подпись, цифровые отпечатки и другие технические и организационные методы, учитывающие специфику жизненного цикла электронных документов и их носителей.
В настоящей статье мы рассмотрим принципы создания и эксплуатации доверенных хранилищ электронных документов, т. е. хранилищ, предусматривающих защиту от основных классов угроз. Мы не будем касаться вопросов актуальности документов хранилища, сохранения их логических взаимосвязей, глубины ретроспективы и других аналитических возможностей. Наше внимание будет направлено только на аспекты безопасности.
Принципы системности и равнопрочности
Доверенное хранилище (ДХ), как правило, представляет собой сложную систему, включающую логически единую базу данных, находящуюся в сети, где над ней производится многопользовательская обработка. По мнению экспертов компании Perimetrix, российского разработчика систем защиты корпоративных секретов от внутренних нарушителей, одним из важнейших принципов построения и эксплуатации ДХ является принцип системности.
Он подразумевает необходимость защиты электронных документов на всех этапах их жизненного цикла — от создания, обработки и хранения до передачи по каналам связи и уничтожения. Такая защита включает как технические средства, так и меры организационного характера, и должна быть направлена и на сами документы, и на программный комплекс электронного документооборота.
Система защиты ДХ должна обеспечивать конфиденциальность (гарантию доступа к данным только определенных лиц), целостность (защиту от случайных и преднамеренных искажений и подмен) и готовность (возможность в любое время пользоваться документами в соответствии с установленной политикой безопасности) объектов ДХ. Надо отметить, что обеспечение аутентичности и конфиденциальности электронных документов необходимо не только для защиты от утечек и потерь, но и для придания документам юридической силы.
Также при построении ДХ большое значение имеет принцип равнопрочности всех звеньев цепи защиты. Он означает, что следует учитывать все виды рисков, включая вирусное заражение, SQL-инъекции, незаконное копирование, непреднамеренные ошибки, ведущие к искажениям, отказы аппаратных и программных средств и т. д. Защита только от части угроз делает систему безопасности неэффективной, а инвестиции в неё бесполезными. “Для понимания достаточности предпринимаемых мер защиты наилучшим способом, несомненно, является проведение оценки рисков. Методика такой оценки и уровень принятия риска в каждом случае являются предметом обсуждения с подразделениями — владельцами обрабатываемых в доверенном хранилище информационных активов”, — говорит Алена Фомина, исполнительный директор и партнёр компании Milestone.
Принцип разграничения прав доступа
Конфиденциальность данных ДХ обеспечивается путем реализации принципа разграничения доступа. Этот принцип, заключающийся в предоставлении разным пользователям различных полномочий на выполнение конкретных операций над документами, может быть реализован в виде дискреционной, ролевой либо мандатной модели.
В дискреционной (избирательной) модели используется матрица, устанавливающая связь между каждым пользователем, разрешенной операцией и объектом базы данных. Такой подход обеспечивает широкую вариативность доступа, но, к сожалению, он достаточно громоздок. В мандатной модели объектам ДХ, его пользователям и процессам приписываются метки, определяющие уровень секретности. Если метки объекта и субъекта совпадают, то последнему разрешается проводить определенные действия над объектом ДХ. Эта модель является весьма жёсткой и подходит для строгой иерархической организации.
В ролевой модели каждому пользователю и процессу назначается роль, имеющая те или иные права доступа, причем у одного пользователя может быть несколько ролей. Этот подход по жёсткости представляет собой нечто среднее между дискреционной и мандатной моделями. “Зачастую выбор модели разграничения доступа зависит от внедряемого продукта. В случае недостаточности предлагаемых вариантов могут придти на помощь дополнительные средства контроля доступа. Эти продукты, как правило, используют принципы электронных меток, контентной фильтрации или цифровых отпечатков. В продуктах нового поколения иногда применяется несколько перечисленных подходов”, — утверждает Александр Юрков, менеджер Департамента информационной безопасности компании “УСП КомпьюЛинк”.
Принцип многоуровневой и многокомпонентной аутентификации
При построении и эксплуатации ДХ важно соблюдать и принцип многоуровневой и многокомпонентной аутентификации. При многоуровневой аутентификации для доступа к защищённой информации используются дополнительные средства защиты, кроме пароля, — например, USB-ключ или биометрические данные. Многокомпонентность же означает, что для доступа к критически важным документам требуется аутентификация в системе сразу нескольких человек. По принципу действия данный подход можно сравнить с банковской практикой хранения ключей от различных замков особо важного сейфа у разных сотрудников. Для открытия сейфа требуется их совместная деятельность, а значит, обеспечивается взаимный контроль.
Принцип открытости криптографических алгоритмов
В последнее время в связи с увеличением вычислительной мощности компьютеров, стало возможным шифрование объектов ДХ, которое используется для обеспечения конфиденциальности и целостности данных. Применяются как протоколы симметричного шифрования, требующие управления большим количеством ключей, так и ассиметричные схемы, обладающие повышенной ресурсоемкостью. Довольно часто используются гибридные схемы, позволяющие максимально использовать достоинства обоих подходов.
Для рядового пользователя наиболее удобно так называемое “прозрачное” шифрование, выполняющееся в автоматическом режиме, когда управление ключами осуществляется системными средствами. Другим вариантом является задание ключа самим пользователем, что требует от системы безопасности контроля выполнения всех необходимых протоколов. В отношении шифрования важнейшим принципом создания ДХ, по мнению специалистов, является принцип открытости криптографических алгоритмов. Он обеспечивает стойкость применяемых протоколов шифрования объектов ДХ, поскольку говорит о том, что они прошли многократную публичную проверку.
Принцип экономической оправданности
Также необходимо отметить, что при проектировании ДХ большое значение имеет и принцип экономической оправданности. Данный принцип заключается в необходимости соблюдения разумного баланса между эффективностью системы защиты, затратами ресурсов на ее создание и поддержание, удобством и психологическим комфортом пользователей. По мнению Тараса Пономарёва, партнера консалтингового бюро “Практика безопасности”, соотношение между эффективностью защиты и ее стоимостью зачастую является камнем преткновения при внедрении ДХ: “Хорошей практикой, — считает он, — могут стать разработка и формализация всеми заинтересованными подразделениями критериев принятия механизмов защиты, включающих в себя помимо эффективности и стоимости еще и степень влияния на бизнес-процессы”.
Преимущества реализации указанных принципов
В наше время информация становится все более ценным экономическим активом. Желанной целью злоумышленников является несанкционированный доступ к электронным документам как из-за пределов корпоративной сети, так и внутри ее периметра. Открытость информационной среды и современные технические средства дают дополнительные возможности для осуществления утечек и порчи документов.
Однако растут возможности и средств защиты. По нашим оценкам, реализация сформулированных в данной статье принципов при проектировании ДХ позволяет создать максимально защищенное хранилище электронных документов, не снижая при этом продуктивность других бизнес-процессов, благодаря чему инвестиции в систему безопасности оправдываются.