1 / 32

Механизмы обеспечения защиты информации в электронных архивах

Механизмы обеспечения защиты информации в электронных архивах. Андреев Владимир DocsVision , Президент. 09 . 12 .2011. Что такое управление записями. План. Аспекты информационной безопасности. Аутентификация. Интегрированная безопасность

gasha
Download Presentation

Механизмы обеспечения защиты информации в электронных архивах

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Механизмы обеспечения защиты информации в электронных архивах Андреев Владимир DocsVision, Президент 09.12.2011

  2. Что такое управление записями

  3. План • Аспекты информационной безопасности. • Аутентификация. Интегрированная безопасность • Разграничение доступа к данным: Дискреционная и мандатная безопасность • Разграничение доступа к данным: Ролевая и контекстная безопасность • Использования механизмов криптографической защиты • Соответствие системы безопасности требованиям законодательства

  4. Для чего используются средства безопасности в ECM • Обеспечить идентификацию пользователя выполняющего те или иные действия в системе • Разграничить права доступа к объектам системы • Обеспечить возможность контроля доступности документов в специальных случаях (особые типы документов) • Обеспечить идентификацию исполнителя операции и неизменность объекта в ходе бизнес процесса • Средство упрощения создания приложений • Идентифицировать подлинность и неизменность документа при передачи за границы системы • Обеспечить защиту от администратора • Создать технологическую базу: • В соответствии с требованиями законодательства • Для юридически значимого документооборота

  5. Для чего используются средства безопасности • Обеспечить идентификацию пользователя выполняющего те или иные действия в системе • Разграничить права доступа к объектам системы • Обеспечить возможность контроля доступности документов в специальных случаях (особые типы документов) • Обеспечить идентификацию исполнителя операции и неизменность объекта в ходе бизнес процесса • Средство упрощения создания приложений • Идентифицировать подлинность и неизменность документа при передачи за границы системы • Обеспечить защиту от администратора • Создать технологическую базу: • В соответствии с требованиями законодательства • Для юридически значимого документооборота

  6. Аутентификация. Интегрированная безопасность

  7. Аутентификация • Аутентифика́ция (англ.Authentication) — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. • Авториза́ция (англ.authorization) - Процесс предоставленияи проверки прав определённого лица на выполнение некоторых действий. • Компоненты системы аутентификации • База данных учетных записей (Active Directory, SAM …) • Механизм аутентификации • Пароль • Сертификат • Пластиковая карта • Отпечаток пальцев… • Протокол аутентификации (NTLM, Kerberos…)

  8. Интегрированная безопасность • Интеграция средств аутентификации и авторизации ECM и операционной системы • Единая база учётных записей • Возможность назначать права на доступ в терминах AD • Возможность оперировать группами AD • Единая система аутентификации при использовании системы вне Домена - Single Sign On • Open ID • Windows Live ID • …

  9. Разграничение доступа к данным: Дискреционная и мандатная безопасность

  10. Дискреционная безопасность • Избирательное управление доступом (англ.Discretionaryaccesscontrol, DAC) — управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.) • Для каждой пары субъект — объект задается явное перечисление допустимых типов доступа (чтение, изменение и т. д.). • Назначение прав на объект • Для пользователей из БД учетных • записей • Групп пользователей • Авторизация • Разрешение групп • Контроль за выполнением действий

  11. Какие объекты защищают • Содержимое (экземпляр документ) • Папка (база данных) • Метаданные (карточка) • Версии • Тип документа • Тип для папки • Справочник • Запись справочника • Представление (тип отчета) • Представление для папки (конкретный отчет) • Поисковый фильтр • Виртуальная папка • Поля метаданных ???? (как правило реализуются другими средствами)

  12. Мандатная безопасность • Мандатное управление доступом (англ.Mandatory access control, MAC) — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности.

  13. Мандатная безопасность

  14. Предназначение мандатной безопасности • Доступ к содержимому специального типа (ДСП, Секретные документы) • Самый высокой приоритет • Специальные средства управления • Специальный права доступа на управление (Администратор безопасности)

  15. Разграничение доступа к данным: Ролевая и контекстная безопасность безопасность

  16. Контекстная безопасность • Контекстная безопасность - управление доступом к объекту в зависимости от состояния объекта, изменяется в ходе жизненного цикла • Пример • Жизненный цикл • входящего документа: • На регистрации • На ознакомлении • На исполнении • Исполнен • В архиве Механизмы Жизненный цикл документа Контекстная безопасность Данные документа Механизм разрешения Другие данные

  17. Ролевая безопасность • Ролевая безопасность – управление доступом к объекту на основании роли пользователя в системе • Пример • Роль пользователя в документе: • Делопроизводитель • Автор • Исполнитель • Контролер Механизмы Жизненный цикл документа Ролевая безопасность Данные документа Механизм разрешения Другие данные

  18. Применение • Изменение контекста обработки документа в жизненном цикле • Упрощение создания приложений • Сложные сценарии маршрутизации • Замещения • Делегирования • … • …

  19. Использования механизмов криптографической защиты в ECM

  20. Цели криптографической защиты • Основа любой системы информационной защиты • Обеспечить сохранность секретной информации • Обеспечить целостность и подлинность авторства несекретной информации • Особенно важно для систем автоматизации документооборота

  21. public private Priv Key Средства криптозащиты • Шифрование симметричным ключом • Шифрование открытым ключом • Электронная подпись

  22. Применение криптографии • Подпись электронного документа • Файла • Версии • Метаданных • Заверение выполнение ЭЦП операции • Согласование • Утверждение…. • Подписывается факт исполнения операции и версия документа • Экспорт документа с подписями для кросс - организационного Документооборота • Шифрование данных – защита от администратора

  23. Соответствие системы безопасности требованиям законодательства

  24. Текущие требования законодательства • ФЗ N152 «об использовании персональных данных….» • ФЗ N63 «Об электронной подписи» • …. • Приказ Минкомсвязи России от 2 сентября 2011 г. N 221 "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти • …

  25. Классификация ИСПДн

  26. Требования ФЗ N152 • Ф.З. 152 требует сертификации ФСТЭК программного обеспечения для соответствия требованиям Закона !!! • Аттестация информационной системы на соответствие требованиям закона • Регистрация в качестве оператора по обработке перс.данных • Классификация информационной системы • Разработка модели угроз и комплекса мер по защите ПД (как правило с привлечением сторонней компании) • Реализация мер по защите (именно здесь рассматривается вопрос о применении сертифицированных средств) • Аттестация информационной системы на соответствие Закону

  27. Закон об ЭЦП • Три вида подписи: Простая ЭЦП • Не требует сертификата • Необходимы средства идентификации пользователя • Может быть использовано в рамках конкретной ИС • Приравнивается к бумажному документу по договоренности сторон • Может использоваться в сервисах Гос. органов • Может быть использована нерезидентами

  28. Закон об ЭЦП • Три вида подписи: расширенная ЭЦП • = простой • + требует подтверждения неизменности документа • + приравнивается к печати на бумажном документе

  29. Закон об ЭЦП • Три вида подписи: квалифицированная ЭЦП • = Расширенная • + требует сертификата от удостоверяющего центра сертифицированного ФСБ • + всегда приравнивается к бумажному документу

  30. Поддержка требований ФЗ N63 в ECM • Использование 3 видов ЭЦП • Идентификация пользователя в документе • Гарантии неизменности текста • Поддержка механизма ЭЦП (с использованием Сертификата) • Хранение сертификатов пользователей в базе данных учетных записей • Возможность Экспорта – импорта документов с ЭЦП

  31. Приказ Минкомсвязи N122 • Организация хранения информации

  32. «ДоксВижн» 199155, Санкт-Петербург, наб. р. Смоленки, д. 33  +7 (812) 335-35-15 +7 (812) 335-35-32 andreev@docsvision.com www.docsvision.com Спасибо за внимание!

More Related