Публикации по сигурността

Алексей Сабанов
Д-р, АД "Aladdin R.D."

През последните 2-3 години практически се е увеличил практическият интерес към електронното управление на документите като цяло и по-специално към неговата сигурна версия. Доскоро концепцията за сигурно електронно управление на документи (ZED) беше неясна и непълна. Тази концепция не е разкрита в нормативни документи. На уебсайтовете на разработчиците на системи за електронно управление на документи (EDMS) все още можете да намерите редица определения, от които следва, че за да се защити EDMS, е достатъчно да се използва електронен цифров подпис (EDS). Често не се разкрива и как правилно да се използва цифровият подпис, каква инфраструктура е необходима в този случай и какви защитени услуги трябва да бъдат разположени на негова основа. На уебсайтовете на интеграторите по правило се дават конкретни внедрения на ZED системи на определени доставчици - тези, с които интеграторите вече имат определени бизнес отношения и имат специалисти, обучени за изпълнение.
Концепцията на ZED е трудна за дефиниране, особено в контекста на динамично променящо се правно поле пред очите ни, липса на стандарти и бързо развиващи се технологии. При тези условия ще се опитаме да засегнем някои от най-противоречивите и актуални въпроси на защитата на EDMS, като по този начин ще развием и разкрием самата концепция за EDMS и нейните компоненти.

Защо задачата за защита на документооборота става особено спешна?

Накратко, просто е време. Има няколко основни причини, поради които развитието на ZED сега е във фокуса на вниманието:

Промяна на парадигмата на отбраната

Ако по-рано самите електронни документи или информационни ресурси, съдържащи документи, са били защитени, сега основният вектор на атака се променя и защитеният обект се променя съответно. В допълнение към традиционните атаки срещу информационни ресурси, все по-често обектът на защита става взаимодействие „Лицето е електронен документ“, „лицето е информационен ресурс“. Основната теза: не трябва да се защитават документите, а самите системи за предаване, обработка и съхранение на електронни документи, когато законните потребители на системите имат достъп до работа с електронни документи.
Ясно е, че взаимодействието е процес и, както всеки процес, се проточва с времето. Задачата за защита на взаимодействието, също като самия процес, е разделена на етапи. Един от най-важните етапи е процедурата за споделяне на достъп между различни групи потребители (например група администратори, привилегировани потребители, потребители) и между потребители в група. Също така е важна пряката организация на достъпа на потребителя до системата, до инструменти за обработка и директно до документи. Например, системата за контрол на достъпа при обработка на поверителна информация (например лични данни) трябва да предвижда свеждане до минимум на правата за достъп на всеки потребител поради съображения за достатъчност да изпълнява преки официални функции.
В същото време много важен фактор е предоставянето на сигурен достъп, използвайки усъвършенствани услуги за сигурност като цифрови подписи като двупосочни двуфакторни механизми за удостоверяване. За целта е необходимо да се изгради инфраструктура с публичен ключ, система за управление на частен ключ, да се използват защитени носители (за тези компоненти ще говорим по-долу), но това ще позволи използването на технологии, които осигуряват, първо, взаимно удостоверяване в раздел „сървър-потребител“ и второ, защита на взаимодействието на потребителя с информационните ресурси и документите, които те съдържат.

Какво е сигурно управление на електронни документи?

Основната идея на ZED е, че към задачата за защита на системата за електронно управление на документи трябва да се подходи класически от гледна точка на защитата на информационната система. А именно, в допълнение към вече известните сред разработчиците на EDMS задачи за защита на електронните документи, като:

за организацията на ZED е необходимо да се използват механизми, които осигуряват:

  • контрол на целостта на използвания софтуер,
  • регистрация на събития в информационни системи,
  • криптографска защита,
  • защитна стена,
  • изграждане на виртуални частни мрежи,
  • антивирусна защита,
  • одит на информационната сигурност, -

добре познати на специалистите по информационна сигурност.
Ще разгледаме накратко същите аспекти на защитата на EDMS, които предизвикват дискусии и въпроси на конференции и семинари.

Удостоверяване на потребителя

Фигура: 1 Класификация на технологиите за идентификация и удостоверяване

По принцип процесът на идентификация в някои случаи не позволява да се постигне идентична недвусмисленост. Един прост и разбираем пример за всички: Вие представихте паспорта си. Това е идентификация на лице по документ. Снимката обаче може да бъде заменена (има много такива случаи) или някой успешно е наваксал вместо вас. Но ако по време на проверката на паспорта са ви зададени въпроси, на които само вие можете да отговорите, и сте отговорили правилно на всички въпроси, това вече е пълно удостоверяване, т.е. потвърждение за автентичността на извършената идентификация.