Российские эксперты оценили безопасность современных СЭД

В мире появился первый поставщик услуг по хранению и обработке патентных документов, деятельность которого сертифицирована по стандарту SAS 70 Type II. В США интерес к сертификации фирм-провайдеров услуг документооборота в аспектах безопасности и надежности управления информацией подогревается соответствующим законодательством, в то время, как в России очевидных стимулов к этому нет.

В США прошла проверку по аудиторскому стандарту SAS 70 Type II First To File - компания-поставщик решений в области управления документами, относящимся к патентному праву. Это означает, что процедуры контроля за информационными системами (в том числе, и СЭД-решением, которое использует вендор) выявили, что предоставляемые ей сервисы соответствуют стандартам. Как сообщается в официально релизе вендора, важность аудитов по SAS 70 увеличилась вследствие принятия ряда официальных законов, регулирующих аспекты безопасности хранения, доступа и представления данных в компаниях, обрабатывающих документы. Российские вендоры СЭД по просьбе CNews оценили, насколько востребованными на рынке электронного документооборота с точки зрения заказчика являются требования к безопасности систем.

В ходе опроса выяснилось, что специальные стандарты в области ИБ для СЭД не существуют. Эксперты приводят в пример несколько ГОСТов (в основном - ГОСТ Р ИСО 15489-1-2007, ГОСТ Р ИСО/МЭК 27001-2006, ГОСТ Р ИСО/МЭК 17799-2005, соотносящиеся с западными стандартами ISO), а также несколько западных стандартов (DoD 5015.2, MoReq), относящихся в целом к работе с информацией. Законодательная же база связана с федеральными законами (об ЭЦП и персональных данных).

"СЭД – один из элементов корпоративной информационной инфраструктуры, и она защищается в рамках единой политики обеспечения информационной безопасности организации, которая может опираться на один или несколько распространенных в мире стандартов. Защищенность СЭД в значительной степени определяется защищенностью всей инфраструктуры", - объясняет Наталья Храмцовская, ведущий специалист компании ЭОС по управлению документацией. Эксперт отмечает, что практически все современные СЭД имеют развитые функциональные возможности для управления доступом, для протоколирования событий в системе и в них могут быть встроены средства шифрования и ЭЦП. "В техническом плане современные СЭД обычно достаточно хорошо защищены. Однако далеко не все организации принимают надлежащие кадровые и организационные меры, и в результате становятся возможными как действия инсайдеров, так и неумышленные нарушения системы информационной безопасности. Ситуация в России примерно такая же, как и в остальном мире: системы и средства защиты совершенствуются по мере роста угроз; постепенно осознается, что одними техническими средствами безопасность не обеспечить – необходим подбор кадров и работа с ними, а также комплекс организационных мер", - отметила она.

Аналогичного мнению придерживается Алексей Барковский, технический директор департамента систем электронного документооборота компании "Рексофт", говоря о том, что стандарты безопасности СЭД на российском рынке в настоящий момент практически не востребованы, а в целом информационная безопасность зависит не от СЭД, а от общей ИТ-инфраструктуры предприятия и от того, смог ли ИТ-директор ликвидировать в ней все бреши. Вопросы контроля информационных системы, которые затрагивает проверка по требованиям SAS 70, по мнению Владимира Горностаева, специалиста по информационной безопасности "Интертраст", в той или иной постановке рассматриваются и в требованиях руководящих документов ФСТЭК России, а по некоторым вопросам детальнее и жестче.

Говоря о популярности и востребованности соответствия стандартам безопасности при выборе СЭД, российские игроки рынка электронного документооборота отмечают, что в целом эти требования не сильно развиты. "Заказчики часто предъявляют требования к протоколам, по которым СЭД взаимодействует с внешними системами, а также к наличию возможности в будущем использовать ЭЦП и криптозащиту. Стандартов же в вопросах защиты от внешнего проникновения, организации защищенного доступа к данным и прочего не требует на нашем рынке практически никто", - заявляет Сергей Якимчук, руководитель центра компетенции Microsoft SharePoint компании Terralink. Он считает, что в подавляющем большинстве СЭД развертываются внутри компаний и именно это позволяет проектным командам концентрироваться на реализации функциональности, не занимаясь повышением степени защиты данных. Спикер приводит в пример свой опыт, что до выбора решения по критерию стандартизации функционала, связанного с безопасностью СЭД, не добирается ни одна тендерная комиссия. В "Корус Консалтинг" корреспонденту CNews рассказали, что по степени востребованности мер по безопасности всех клиентов компании можно разделить на 2 группы. "Первая – это крупные клиенты, которые внедряют дорогостоящие системы, например, Documentum. Для этой группы клиентов безопасность, разумеется, стоит на первом месте. В таких компаниях, как правило, есть свои разработанные регламенты, модели угроз, методики, которым необходимо следовать при внедрении новых информационных систем. К этой же группе относится и госсектор: в государственных структурах в принципе нельзя работать с данными в системе, если не предприняты обусловленные законом меры безопасности", - рассказывает Александр Аксельрод, директор департамента Documentum "Корус Консалтинг". Во вторую группу он отнес средние и небольшие компании, которым гораздо важнее получить быстрый и значимый результат от внедрения СЭД, повысить эффективность бизнеса, свою управляемость и мобильность, а безопасность в этом случае не играет ключевой роли. Поэтому, по мнению господина Аксельрода, за исключением стандартных мер по защите ИТ-инфраструктуры, такие клиенты редко прибегают к серьезным мерам безопасности, таким, как ЭЦП, шифрование, мониторинг. Эксперт замечает, что в целом по России случаи утраты, кражи и "утечки" данных из СЭД единичны.