Разработка защищенной от НСД системы учета документов

Торосян А.Г.
группа CISO-04
Школы IT менеджмента
РАНХиГС при Президенте РФ

Введение

Повсеместное внедрение информационных технологий диктует повышенные требования к организации рабочих мест сотрудников, а также позволяет повысить объемы создаваемой каждым сотрудником полезной информации. Именно в этих двух факторах состоит основная польза от информатизации деятельности организации.

Одной из областей деятельности, где информационные технологии наиболее востребованы, является работа с документами. Замена традиционной бумажной схемы работы с документами в любой организации сопровождается рядом сложностей, связанных прежде всего со спецификой организации, её размерами и видом деятельности.

Информационная система работы с документами – это комплекс решений, который помимо подсистемы работы с документами содержит прочие служебные подсистемы, такие как подсистема обеспечения безопасности. Требования безопасности при внедрении систем автоматизации, как правило, диктуются политикой информационной безопасности организации и регуляторами. Точно так же, как система работы с документами должна тесно интегрироваться с другими системами предприятия, система защиты информации такой системы должна быть логичным продолжением комплексной системы защиты на предприятии, сформированной по требованиям от тех же источников.

Основными проблемами безопасности автоматизированной системы является несанкционированный доступ (НСД) к информации и утечка информации по техническим каналам. И хотя проблемы утечки по техническим каналам не менее важны, в данной работе мы будем рассматривать только проблему защиты от НСД.

Сегодня на рынке существует множество настраиваемых решений для автоматизации работы с документами, однако в ряде случаев ограничения и требования к информационной системе вынуждают разрабатывать частные решения для конкретных организаций.

Задача

В рамках данной работы была поставлена задача разработать защищенную от несанкционированного доступа (НСД) систему контроля учета документов в соответствии со следующими стандартами и законодательными актами:

• ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования;
• Приказ ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
• Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К).

В рамках выполнения поставленной задачи должны быть выполнены следующие работы:

• Разработка ИС. Работа над проектом должна вестись в соответствии со стандартом ГОСТ 34.601-90 "Автоматизированные системы. Стадии создания";
• Классификация информационной системы (ИС);
• Определение модели угроз информационной безопасности;
• Формулирование требований к системе защиты информации ИС;
• Разработка СЗИ ИС. В рамках данного этапа необходимо проанализировать существующие средства защиты информации, выбрать подходящее решение и реализовать систему защиты информации с помощью данного решения.

Результат

Была создана система, позволяющая заказчику решать задачи учета и контроля документов с требуемым уровнем защиты информации. С учетом функциональных возможностей используемого СЗИ и разработанного прикладного ПО, данная система может быть использована широким кругом потребителей, предъявляющих к процессу работы с документами высокие требования по защите информации.