Обеспечение конфиденциальности электронного документооборота

Евгений
Шевела

Руководитель проектов информационной безопасности, ПАО “Сбербанк"

Александр
Башкиров

Руководитель разработки АБС АО “Сбербанк-Технологии"

Например, в системе электронного документооборота (далее – ЭДО) могут быть размещены документы по сделкам, приказы о выплатах, информация о контрактах и контрагентах. Хотя даже просто информация о контрагентах – уже лакомый кусок для конкурентов. А если вспомнить, что современные системы документооборота управляют и поручениями, то получается некий готовый цифровой слепок части корпоративной жизни.

Соответственно, возникает вопрос, как обеспечить безопасность чувствительного для компании документооборота. Традиционно документы в любой современной системе ЭДО можно подписать ЭП. Таким образом, в рамках системы гарантируется неизменность документа, но не конфиденциальность. В какой-то мере защиту конфиденциальности документа от утечек технического характера (т.е. утечек, имеющих в своей основе шпионские программы) можно обеспечить путем соответствующей настройки компьютера пользователя, установки средств выявления и предотвращения утечек (система класса DLP в связке с антивирусом и файрволом). В конце концов, есть радикальный способ – использовать систему ЭДО внутри локальной корпоративной сети, не имеющей выход в Интернет и с ограничениями по подключению периферийных устройств (внешних дисков и карт памяти). В этом случае получается высокая степень защиты, но низкий уровень гибкости системы ЭДО. Пользователи "привязаны" к своим рабочим местам в организации и не могут работать с документами удаленно (на встречах, в командировке).

Внимание, уделяемое защите ЭДО, сильно зависит от отрасли. Есть области, традиционно относящиеся к высокорискованным: государственные органы, силовые структуры, банковский сектор. В этих областях защите ЭДО уделяется большое внимание – именно в силу масштаба последствий при возможных нарушениях конфиденциальности документов. Рассмотрим одну из возможных схем защиты ЭДО на примере того, что было сделано в Сбербанке.

Построение защиты ЭДО

Перед Службой кибербезопасности банка стояла цель – перевести конфиденциальный документооборот из бумажного в электронный вид и при этом сохранить должный уровень защиты конфиденциальных документов в условиях требований к мобильности доступа сотрудников Сбербанка к информации.

Вместе с тем, реализовать защиту документов необходимо было в уже используемой в Сбербанке системе ЭДО и при этом сохранить прозрачность обработки конфиденциальных документов, не меняя текущей логики работы пользователей и самой системы ЭДО, обеспечивающей доступ к документам для более 100 тыс. сотрудников Сбербанка по всей стране. Построить безопасность документов на базе простого шифрования было недостаточно: пользователь, получив документ и расшифровав его для работы, оставлял конфиденциальный документ фактически без защиты. В таком виде критичный документ мог быть похищен удаленно посредством возможно установленной шпионской программы на компьютере сотрудника, кражей его ноутбука, демонтажем жесткого диска, а также по неосторожности самого сотрудника – при отправке документа во вложении на ошибочно набранный адрес или при утере флешки с документом.

Снизить подобные риски конфиденциальности и перевести бумажный конфиденциальный документооборот банка в электронный вид позволила интеграция системы ЭДО Сбербанка с системой класса IRM (Information Rights Management). Система IRM, являясь внешней по отношению к системе ЭДО, хорошо дополняет ее, решая, помимо шифрования, задачи разделения прав доступа к документу.

Как работает защита документа в связке систем ЭДО и IRM?

Документ помещается в контейнер IRM, где шифруется. Важным аспектом является то, что в системе ЭДО документ затем хранится и передается в виде зашифрованного контейнера. При открытии документа получателем происходит обращение к системе IRM для проверки прав получателя на документ: просмотр, изменение, печать, копирование текста, снятие защиты. В случае минимальных прав у пользователя документ выводится на экран, оставаясь в защищенном контейнере. Такую конфигурацию защиты можно с меньшим риском эксплуатировать в не изолированной от внешнего мира сети, поскольку в данном случае даже при успешной атаке злоумышленник получит лишь зашифрованный контейнер, а не его содержимое.

Внедрение защиты IRM в Сбербанке практически не повлияло на работу сотрудников в системе ЭДО: при загрузке конфиденциального документа в систему, кроме привычных действий, присущих работе с неконфиденциальными документами, требуется лишь выбрать гриф документа "Конфиденциально". Простановка грифа в системе ЭДО запускает механизм шифрования документа и расчета списка доступа. По выработанной ролевой модели автору документа, согласующим лицам, регистратору, подписанту и получателям назначаются определенные права доступа к документу на разных этапах его жизненного цикла.

Права к конфиденциальным документам назначаются по принципу их минимизации у пользователя. К примеру, автор, согласующие и подписант документа имеют право на просмотр и редактирование, но только на этапе создания и согласования документа в системе ЭДО, затем право на редактирование изымается. Получатели конфиденциального документа имеют минимальные права – только на его просмотр. Полными правами на документ, в т.ч. правом на снятие защиты IRM, пользователи не обладают, что исключает возможность нарушения конфиденциальности документа.

В настоящее время функционал защиты IRM тиражируется в банке на корпоративные iOS-приложения, включая приложение системы ЭДО для iPad. Представленная парадигма работы сотрудников с конфиденциальными документами сохранится и на iPad, при этом защита будет усилена посредством корпоративной системы MDM (Mobile Device Management). Так в Сбербанке реализована эффективная, прозрачная для пользователя и надежная защита конфиденциальных электронных документов без внедрения иной специализированной системы ЭДО, дополнительных средств защиты для Endpoint-устройств и без потери мобильности доступа сотрудников к документам банка.