Как сделать документооборот защищенным
Статья отвечает на вопросы:
Почему важно интегрировать систему защиты в документооборот
Как перенести принципы классического секретного бумажного делопроизводства в современные электронные системы
С помощью каких продуктов можно организовать систему защищенного электронного документооборота
Почему важно интегрировать систему защиты в документооборот
Как перенести принципы классического секретного бумажного делопроизводства в современные электронные системы
С помощью каких продуктов можно организовать систему защищенного электронного документооборота
Почему важно интегрировать систему защиты в документооборот
При организации защищенного электронного документооборота распространенной ошибкой является применение абстрактных средств безопасности, напрямую не связанных с основным процессом обмена документами. Такие изолированные инструменты безопасности, как аутентификация пользователей или шифрование данных, способны обеспечить определенный уровень защиты, но в отрыве от основных процессов документооборота этот уровень всегда ограничен. Механизмы защиты нужно полностью интегрировать в документооборот организации.
В пользу этого метода выступает высокий в последнее время рост внутренних угроз, связанных с хищениями информации персоналом компании. Рост внутренних угроз приводит к тому, что пользователям недостаточно предоставить средства защиты — необходимо тщательно контролировать использование этих средств. Приматом внутренней безопасности является конфиденциальный документ, а значит должны контролироваться и действия пользователей с ним. Объединяя два последних тезиса, легко прийти к выводу, что идеальная система защиты должна контролировать все действия пользователей с документами и предоставлять конкретные механизмы безопасности в случае каждого конкретного действия. То есть, она должна быть ориентированной на документы.
Чтобы представить эту концепцию на практике, уместно вспомнить исторический опыт, в частности — секретное бумажное делопроизводство. Основные подходы секретного делопроизводства с успехом могут быть перенесены в цифровую среду, которая способна обеспечить большую гибкость, практически не влияя на нормальную работу организации.
Как перенести принципы классического секретного бумажного делопроизводства в современные электронные системы
Представим себе секретную силовую структуру. Ее сотрудники ежедневно сталкиваются с информацией, которая составляет государственную тайну. И уровень защиты такой информации должен быть соответствующим. Любой документ, проходящий через данную структуру, имеет собственный жизненный цикл, который начинается созданием и заканчивается уничтожением или рассекречиванием. Задача службы безопасности — предоставить инструменты защиты информации на каждом этапе ее жизненного цикла. Перечислим эти инструменты, начиная с этапа создания (или получения) документа.
Этап 1 — создание или получение документа
Чтобы создать секретный документ, служащий силовой структуры подает заявку по установленной форме и проходит процесс одобрения и утверждения этой заявки. В результате данной процедуры создается бланк документа с присвоением ему уровня секретности и инвентарного номера. Другими словами, еще до того, как в документе появится какая-либо информация, он уже приобретает уровень секретности (регулирующий права доступа к документу) и инвентарный номер (указывающий на местоположение документа). Лишь после этого происходит наполнение документа информацией и передача в рабочее использование или на хранение. Некоторые документы, обрабатываемые в рамках процесса делопроизводства, являются входящими. Процесс обработки таких документов аналогичен процессу создания новых документов — входящей корреспонденции также присваивается уровень секретности и инвентарный номер, которые в дальнейшем используются в процессе ее защиты.
Этап 2 — использование документа
В каждой режимной организации есть отдел, куда приходит человек, желающий получить доступ к секретному документу. Он расписывается в журнале, где указывается, кто, когда, с какой целью и какой документ получил на руки. Далее другой служащий — своего рода библиотекарь — отыскивает нужный документ при помощи инвентарного номера и выдает его на руки. Получив документ на руки, человек не имеет права забрать его. Он может работать с секретными бумагами только в специально отведенном для этого месте. То есть в распоряжении сотрудника есть читальный зал при секретной части, где можно сесть и прочитать документ. При таком подходе процесс использования документа полностью контролируется. После работы с документом допущенный сотрудник возвращает его в защищенное хранилище (архив), о чем офицером безопасности делается отметка в журнале. То есть реализуется процесс возврата документа, который также можно считать одним из этапов его жизненного цикла.
Этап 3 — отправка конфиденциальных документов
В рамках секретного делопроизводства отправка конфиденциальных документов производится только заказным или ценным письмом по каналам специальной связи. В качестве альтернативного метода доставка может осуществляться вручную сотрудниками, допущенными к работе с такими документами. Курьерская доставка осуществляется в опечатанном виде («портфеле»), гарантирующем целостность и конфиденциальность вложенных документов.
Этап 4 — архивирование или уничтожение документа
Любой секретный документ в конце его использования подлежит уничтожению, архивированию либо передаче в другое место хранения. Как и при создании документа, сначала необходимо составить заявку на его уничтожение, архивирование или передачу. Лишь после утверждения заявки происходит сам процесс безопасного уничтожения документа или его защищенной передачи в другое хранилище. Не следует забывать и о стандартном документообороте: все действия должны быть отражены в соответствующих журналах. Например, кто, когда и какой документ уничтожил по отведенной для этого процедуре.
Таким образом, методы секретного делопроизводства обеспечивают не только защиту документов в реальном времени, но и ретроспективный аудит действий с ними. Подняв журналы каждого архивариуса, можно проследить историю документа, и при необходимости вычислить виновного. Жизненный цикл документа может закончиться также понижением или повышением его уровня секретности. В этом случае появляется новый документ с определенными правами доступа и использования.
Описанная концепция вряд ли может быть напрямую адаптирована к действительности российских компаний, поскольку предполагает существенные расходы на обеспечение высочайшего уровня безопасности. Причина проста — для подавляющего числа документов такие меры защиты просто не являются необходимыми. Как следствие, реализация документоориентированной безопасности должна предполагать использование различных механизмов защиты для документов различного уровня секретности. И чтобы система определила уровень секретности конкретного документа, необходимо провести формальную классификацию документов.
Идеальная система защищенного документооборота должна обладать двумя основными функциями. Она должна поддерживать все механизмы секретного делопроизводства для защиты максимально конфиденциальных документов. И в то же время должна обладать избирательностью, то есть использовать настраиваемые подмножества защитных механизмов для всех остальных файлов компании.
Чтобы представить себе такую систему, достаточно описать все механизмы цифровой защиты, которые соответствуют подходам секретного делопроизводства на каждом этапе жизненного цикла документа.
Создание или получение документа
Выше мы говорили, что в рамках создания бумажного документа он получает уровень секретности и инвентарный номер. В электронном документообороте прямым аналогом этих номеров можно считать цифровую метку, определяющую уровень конфиденциальности документа и права доступа сотрудников к нему.
С технической точки зрения существуют два основных способа расстановки меток. В первом случае каждый защищаемый файл запаковывается в контейнер (как правило, зашифрованный), имеющий специализированный формат. Доступ к содержимому такого файла может получить только пользователь, работающий под контролем системы и имеющий соответствующие права доступа. Основным недостатком данной модели (реализованной в системах Oracle IRM, Microsoft RMS и частично в Perimetrix SafeSpace) является интеграционные требования к ПО — система защиты должна уметь кооперироваться с прикладными программами, чтобы те могли работать с размеченными документами.
Альтернативный подход, встречающийся в некоторых DLP-системах (McAfee Host DLP, Perimetrix SafeSpace), предусматривает отделение файлов от меток, как правило, хранящихся в специальных разделах файловой системы (например NTFS streams). В этом случае исчезают интеграционные проблемы, но снижается уровень защищенности, поскольку при отсутствии контроля доступ к файлу может получить кто угодно. Поэтому подобная реализация меток выдвигает повышенные требования к непрерывности работы и самозащищенности системы безопасности.
Каким образом определяются метки? Теоретически они могут вручную расставляться авторами документов (обычно именно такой подход предполагают IRM-системы), однако на практике подобная расстановка слишком трудоемка и сложна. Разумнее использовать неявную расстановку меток, используя атрибуты создания документа.
В большинстве случаев новые электронные документы создаются из старых документов или используют информацию, скопированную из них. Тогда уровень конфиденциальности нового документа может быть автоматически унаследован системой, а производный документ начинает контролироваться ею точно так же, как и первоисточник. Информация о создании документа и присвоенной ему метке, в свою очередь, попадает в базу аудита.
Второй способ разметки новых документов подразумевает использование подготовленных бланков и шаблонов, на базе которых пользователь может создавать производные документы с наследуемым (предопределенным) уровнем конфиденциальности. И наконец, документы, создаваемые из корреспондирующих источников — информационных систем (например ERP-систем или баз данных), — также автоматически маркируются системой защиты.
Пожалуй, наибольшую сложность представляют входящие документы, которые в том числе нуждаются в маркировке и дальнейшей защите. Метки на такие документы могут быть проставлены вручную или автоматически определяться системой на базе инструментов контентной фильтрации.
Контентная фильтрация считается одним из способов защиты от внутренних угроз. Однако в случае защищенного документооборота контентная фильтрация не может стать основным механизмом защиты, поскольку система должна «знать» конфиденциальность документа в момент каждого действия с ним. А постоянный анализ содержания каждого документа — слишком дорогое удовольствие и вычислительно сложное, которое еще не по силам современным DLP-системам.
Использование документа
Секретный бумажный документ может обрабатываться в импровизированном читальном зале. После того, как обработка завершена, он отправляется в архив. В цифровом случае система защиты одновременно обеспечивает функции и читального зала, и архивариуса, и защищенного хранилища.
С технической точки зрения данный функционал обеспечивается правами доступа, связанными с меткой конфиденциальности. Если пользователь работает без контроля или не обладает достаточными правами, он просто не сумеет попасть в «читальный зал» и получить доступ к содержимому документа. Функции архива, или хранилища, обеспечивают средства шифрования, которые автоматически применяются к документам с определенным уровнем секретности. При этом все действия пользователей логгируются и протоколируются, что позволяет проводить ретроспективные расследования при возникновении инцидентов.
Данный подход практически не зависит от конкретного типа системы защиты — все продукты, обеспечивающие контроль доступа к документам, работают именно таким образом. Тем не менее, при выборе конкретного продукта важно оценить избирательность доступа: плоский доступ (предполагающий, что в случае наличия прав доступа к документу пользователь может делать все, что угодно) не способен обеспечить должного уровня защиты.
Отправка конфиденциальных документов
Использование документа по умолчанию не предполагает его передачу во внешнюю среду. Если передача необходима, применяются соответствующие методы защиты, в зависимости от уровня конфиденциальности документа.
В частности, система способна заблокировать отправку сообщения, если пользователь не обладает правами для отправки или его получатель не является авторизованным. Если метка на документе не проставлена, могут использоваться упоминавшиеся механизмы контентной фильтрации. Наконец, прямым аналогом «портфеля», в котором транспортируются бумажные документы, являются средства шифрования.
Интересно, что в некоторых случаях отправка конфиденциальных документов может не контролироваться в принципе. Так, если на стадии расстановки меток каждый документ помещается в шифрованный контейнер, то его отправка во внешнюю среду не приведет к утечке, поскольку контент хранится в зашифрованном виде и для его распаковки требуются соответствующие права доступа.
Архивирование или уничтожение документа
Архивирование и уничтожение документа можно считать самым простым действием системы защищенного документооборота. Здесь могут применяться два инструмента — криптографическая защита (в случае архивирования) либо физическое уничтожение (затирание данных). Естественно, все действия на этом этапе также отражаются в системе.
С помощью каких продуктов можно организовать систему защищенного электронного документооборота
Описанную концепцию можно реализовать как с помощью различных продуктов, так и посредством единой интегрированной системы. В теории второй вариант предпочтительнее, однако на практике все зависит от особенностей инфраструктуры компании. Возможно, конкретному заказчику понадобится только часть из перечисленных механизмов защиты, а значит комплексная система может оказаться избыточной.
Практически полную реализацию концепции секретного делопроизводства можно встретить в решениях компании Perimetrix, а также в продуктах класса IRM (например Oracle IRM). DLP-системы, предназначенные для защиты от утечек информации, как правило, реализуют только часть концепции, связанную с передачей информации наружу. Наконец, средства шифрования и ЭЦП в отрыве от других продуктов обеспечивают лишь безопасное хранение документов и не способны противодействовать спланированной внутренней краже информации.
Сергей Кораблев
Весь номер IT Expert № 7-8 2009
Скачать pdf статьи
При организации защищенного электронного документооборота распространенной ошибкой является применение абстрактных средств безопасности, напрямую не связанных с основным процессом обмена документами. Такие изолированные инструменты безопасности, как аутентификация пользователей или шифрование данных, способны обеспечить определенный уровень защиты, но в отрыве от основных процессов документооборота этот уровень всегда ограничен. Механизмы защиты нужно полностью интегрировать в документооборот организации.
В пользу этого метода выступает высокий в последнее время рост внутренних угроз, связанных с хищениями информации персоналом компании. Рост внутренних угроз приводит к тому, что пользователям недостаточно предоставить средства защиты — необходимо тщательно контролировать использование этих средств. Приматом внутренней безопасности является конфиденциальный документ, а значит должны контролироваться и действия пользователей с ним. Объединяя два последних тезиса, легко прийти к выводу, что идеальная система защиты должна контролировать все действия пользователей с документами и предоставлять конкретные механизмы безопасности в случае каждого конкретного действия. То есть, она должна быть ориентированной на документы.
Чтобы представить эту концепцию на практике, уместно вспомнить исторический опыт, в частности — секретное бумажное делопроизводство. Основные подходы секретного делопроизводства с успехом могут быть перенесены в цифровую среду, которая способна обеспечить большую гибкость, практически не влияя на нормальную работу организации.
Как перенести принципы классического секретного бумажного делопроизводства в современные электронные системы
Представим себе секретную силовую структуру. Ее сотрудники ежедневно сталкиваются с информацией, которая составляет государственную тайну. И уровень защиты такой информации должен быть соответствующим. Любой документ, проходящий через данную структуру, имеет собственный жизненный цикл, который начинается созданием и заканчивается уничтожением или рассекречиванием. Задача службы безопасности — предоставить инструменты защиты информации на каждом этапе ее жизненного цикла. Перечислим эти инструменты, начиная с этапа создания (или получения) документа.
Этап 1 — создание или получение документа
Чтобы создать секретный документ, служащий силовой структуры подает заявку по установленной форме и проходит процесс одобрения и утверждения этой заявки. В результате данной процедуры создается бланк документа с присвоением ему уровня секретности и инвентарного номера. Другими словами, еще до того, как в документе появится какая-либо информация, он уже приобретает уровень секретности (регулирующий права доступа к документу) и инвентарный номер (указывающий на местоположение документа). Лишь после этого происходит наполнение документа информацией и передача в рабочее использование или на хранение. Некоторые документы, обрабатываемые в рамках процесса делопроизводства, являются входящими. Процесс обработки таких документов аналогичен процессу создания новых документов — входящей корреспонденции также присваивается уровень секретности и инвентарный номер, которые в дальнейшем используются в процессе ее защиты.
Этап 2 — использование документа
В каждой режимной организации есть отдел, куда приходит человек, желающий получить доступ к секретному документу. Он расписывается в журнале, где указывается, кто, когда, с какой целью и какой документ получил на руки. Далее другой служащий — своего рода библиотекарь — отыскивает нужный документ при помощи инвентарного номера и выдает его на руки. Получив документ на руки, человек не имеет права забрать его. Он может работать с секретными бумагами только в специально отведенном для этого месте. То есть в распоряжении сотрудника есть читальный зал при секретной части, где можно сесть и прочитать документ. При таком подходе процесс использования документа полностью контролируется. После работы с документом допущенный сотрудник возвращает его в защищенное хранилище (архив), о чем офицером безопасности делается отметка в журнале. То есть реализуется процесс возврата документа, который также можно считать одним из этапов его жизненного цикла.
Этап 3 — отправка конфиденциальных документов
В рамках секретного делопроизводства отправка конфиденциальных документов производится только заказным или ценным письмом по каналам специальной связи. В качестве альтернативного метода доставка может осуществляться вручную сотрудниками, допущенными к работе с такими документами. Курьерская доставка осуществляется в опечатанном виде («портфеле»), гарантирующем целостность и конфиденциальность вложенных документов.
Этап 4 — архивирование или уничтожение документа
Любой секретный документ в конце его использования подлежит уничтожению, архивированию либо передаче в другое место хранения. Как и при создании документа, сначала необходимо составить заявку на его уничтожение, архивирование или передачу. Лишь после утверждения заявки происходит сам процесс безопасного уничтожения документа или его защищенной передачи в другое хранилище. Не следует забывать и о стандартном документообороте: все действия должны быть отражены в соответствующих журналах. Например, кто, когда и какой документ уничтожил по отведенной для этого процедуре.
Таким образом, методы секретного делопроизводства обеспечивают не только защиту документов в реальном времени, но и ретроспективный аудит действий с ними. Подняв журналы каждого архивариуса, можно проследить историю документа, и при необходимости вычислить виновного. Жизненный цикл документа может закончиться также понижением или повышением его уровня секретности. В этом случае появляется новый документ с определенными правами доступа и использования.
Описанная концепция вряд ли может быть напрямую адаптирована к действительности российских компаний, поскольку предполагает существенные расходы на обеспечение высочайшего уровня безопасности. Причина проста — для подавляющего числа документов такие меры защиты просто не являются необходимыми. Как следствие, реализация документоориентированной безопасности должна предполагать использование различных механизмов защиты для документов различного уровня секретности. И чтобы система определила уровень секретности конкретного документа, необходимо провести формальную классификацию документов.
Идеальная система защищенного документооборота должна обладать двумя основными функциями. Она должна поддерживать все механизмы секретного делопроизводства для защиты максимально конфиденциальных документов. И в то же время должна обладать избирательностью, то есть использовать настраиваемые подмножества защитных механизмов для всех остальных файлов компании.
Чтобы представить себе такую систему, достаточно описать все механизмы цифровой защиты, которые соответствуют подходам секретного делопроизводства на каждом этапе жизненного цикла документа.
Создание или получение документа
Выше мы говорили, что в рамках создания бумажного документа он получает уровень секретности и инвентарный номер. В электронном документообороте прямым аналогом этих номеров можно считать цифровую метку, определяющую уровень конфиденциальности документа и права доступа сотрудников к нему.
С технической точки зрения существуют два основных способа расстановки меток. В первом случае каждый защищаемый файл запаковывается в контейнер (как правило, зашифрованный), имеющий специализированный формат. Доступ к содержимому такого файла может получить только пользователь, работающий под контролем системы и имеющий соответствующие права доступа. Основным недостатком данной модели (реализованной в системах Oracle IRM, Microsoft RMS и частично в Perimetrix SafeSpace) является интеграционные требования к ПО — система защиты должна уметь кооперироваться с прикладными программами, чтобы те могли работать с размеченными документами.
Альтернативный подход, встречающийся в некоторых DLP-системах (McAfee Host DLP, Perimetrix SafeSpace), предусматривает отделение файлов от меток, как правило, хранящихся в специальных разделах файловой системы (например NTFS streams). В этом случае исчезают интеграционные проблемы, но снижается уровень защищенности, поскольку при отсутствии контроля доступ к файлу может получить кто угодно. Поэтому подобная реализация меток выдвигает повышенные требования к непрерывности работы и самозащищенности системы безопасности.
Каким образом определяются метки? Теоретически они могут вручную расставляться авторами документов (обычно именно такой подход предполагают IRM-системы), однако на практике подобная расстановка слишком трудоемка и сложна. Разумнее использовать неявную расстановку меток, используя атрибуты создания документа.
В большинстве случаев новые электронные документы создаются из старых документов или используют информацию, скопированную из них. Тогда уровень конфиденциальности нового документа может быть автоматически унаследован системой, а производный документ начинает контролироваться ею точно так же, как и первоисточник. Информация о создании документа и присвоенной ему метке, в свою очередь, попадает в базу аудита.
Второй способ разметки новых документов подразумевает использование подготовленных бланков и шаблонов, на базе которых пользователь может создавать производные документы с наследуемым (предопределенным) уровнем конфиденциальности. И наконец, документы, создаваемые из корреспондирующих источников — информационных систем (например ERP-систем или баз данных), — также автоматически маркируются системой защиты.
Пожалуй, наибольшую сложность представляют входящие документы, которые в том числе нуждаются в маркировке и дальнейшей защите. Метки на такие документы могут быть проставлены вручную или автоматически определяться системой на базе инструментов контентной фильтрации.
Контентная фильтрация считается одним из способов защиты от внутренних угроз. Однако в случае защищенного документооборота контентная фильтрация не может стать основным механизмом защиты, поскольку система должна «знать» конфиденциальность документа в момент каждого действия с ним. А постоянный анализ содержания каждого документа — слишком дорогое удовольствие и вычислительно сложное, которое еще не по силам современным DLP-системам.
Использование документа
Секретный бумажный документ может обрабатываться в импровизированном читальном зале. После того, как обработка завершена, он отправляется в архив. В цифровом случае система защиты одновременно обеспечивает функции и читального зала, и архивариуса, и защищенного хранилища.
С технической точки зрения данный функционал обеспечивается правами доступа, связанными с меткой конфиденциальности. Если пользователь работает без контроля или не обладает достаточными правами, он просто не сумеет попасть в «читальный зал» и получить доступ к содержимому документа. Функции архива, или хранилища, обеспечивают средства шифрования, которые автоматически применяются к документам с определенным уровнем секретности. При этом все действия пользователей логгируются и протоколируются, что позволяет проводить ретроспективные расследования при возникновении инцидентов.
Данный подход практически не зависит от конкретного типа системы защиты — все продукты, обеспечивающие контроль доступа к документам, работают именно таким образом. Тем не менее, при выборе конкретного продукта важно оценить избирательность доступа: плоский доступ (предполагающий, что в случае наличия прав доступа к документу пользователь может делать все, что угодно) не способен обеспечить должного уровня защиты.
Отправка конфиденциальных документов
Использование документа по умолчанию не предполагает его передачу во внешнюю среду. Если передача необходима, применяются соответствующие методы защиты, в зависимости от уровня конфиденциальности документа.
В частности, система способна заблокировать отправку сообщения, если пользователь не обладает правами для отправки или его получатель не является авторизованным. Если метка на документе не проставлена, могут использоваться упоминавшиеся механизмы контентной фильтрации. Наконец, прямым аналогом «портфеля», в котором транспортируются бумажные документы, являются средства шифрования.
Интересно, что в некоторых случаях отправка конфиденциальных документов может не контролироваться в принципе. Так, если на стадии расстановки меток каждый документ помещается в шифрованный контейнер, то его отправка во внешнюю среду не приведет к утечке, поскольку контент хранится в зашифрованном виде и для его распаковки требуются соответствующие права доступа.
Архивирование или уничтожение документа
Архивирование и уничтожение документа можно считать самым простым действием системы защищенного документооборота. Здесь могут применяться два инструмента — криптографическая защита (в случае архивирования) либо физическое уничтожение (затирание данных). Естественно, все действия на этом этапе также отражаются в системе.
С помощью каких продуктов можно организовать систему защищенного электронного документооборота
Описанную концепцию можно реализовать как с помощью различных продуктов, так и посредством единой интегрированной системы. В теории второй вариант предпочтительнее, однако на практике все зависит от особенностей инфраструктуры компании. Возможно, конкретному заказчику понадобится только часть из перечисленных механизмов защиты, а значит комплексная система может оказаться избыточной.
Практически полную реализацию концепции секретного делопроизводства можно встретить в решениях компании Perimetrix, а также в продуктах класса IRM (например Oracle IRM). DLP-системы, предназначенные для защиты от утечек информации, как правило, реализуют только часть концепции, связанную с передачей информации наружу. Наконец, средства шифрования и ЭЦП в отрыве от других продуктов обеспечивают лишь безопасное хранение документов и не способны противодействовать спланированной внутренней краже информации.
Сергей Кораблев
Весь номер IT Expert № 7-8 2009
Скачать pdf статьи
Опубликовано 10.09.2009