Хотите быть в курсе событий компании Documentolog и IT-рынка в целом?
Telegram
Присоединяйтесь к нашему Telegram-каналу , где мы делимся последними новостями компании, информацией о новых решениях и релизах систем Documentolog и Doculite, а также рассказываем об интересных IT-новостях со всего мира.

FAQ

Все ответы на самые часто задаваемые вопросы Вы найдете на этой странице.

Как обеспечивается безопасность документов по модели SAAS?

Компания Documentolog серьезно подходит к обеспечению безопасности и сохранности данных своих клиентов. Мы определили три основных уровня защиты: инфраструктурный уровень, уровень программного обеспечения, и человеческий, которые в совокупности формируют целостную систему обеспечения информационной безопасности в компании.

Обеспечение информационной безопасности на инфраструктурном уровне подразумевает:

  • Обеспечение защиты от потери информации. Ввели дополнительные бэкапы системы и обеспечили её работоспособность в случае физической поломки серверного оборудования. Поместили файловые данные клиентов в распределенное файловое хранилище (физически в нескольких экземплярах). В случае выхода из строя файловых серверов данные не будут потеряны.
  • Разграничение периметра инстанции системы клиента. Данные каждого клиента разделены и не доступны для друг друга ни при каких кейсах.
  • Контейнеризация облака. Перевели все наши облачные системы на Docker - программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации. Благодаря этому теперь все клиентские инстанции Documentolog развертываются автоматически с преднастроенной политикой безопасности: включая защиту от кражи или перехвата http-сессии и защиту от доступа к файловой системе контейнеров. Системные администраторы полностью сконцентрированы на повышении уровня безопасности контейнеров. Это существенно минимизирует человеческий фактор, при разворачивании новой инстанции.
  • Централизованная система анализа и мониторинга событий (SIEM). Развернули систему, в которую собираются и анализируются логи со всех инстанций. Настроены правила, на которые в обязательном порядке, реагируют администраторы. 

На уровне программного обеспечения Documentolog:

  • Распределение полномочий на просмотр документов согласно ролям. Каждый сотрудник клиента имеет доступ только к той информации и документам, которые ему разрешено видеть согласно структуре или предоставленной роли. 
  • Разделение панели администрирования СЭД на простого и суперадминистратора.  Данное разделение позволило предоставить администраторам СЭД клиента все необходимые для сопровождения системы функции без расширенных возможностей с доступом к базе данных и операционной системе. Функции супер-администраторов для каждого клиента закреплены за выделенным сотрудником Documentolog отдельным приказом. В случае необходимости выполнения каких-либо действий, они осуществляются только через заявку в личном кабинете с фиксацией времени и требуемых действий.  
  • Ограничение на чтение документов администраторами СЭД. Теперь администратор СЭД имеет доступ к журналам клиентской системы, но не имеет возможности прочитать содержимое документов. 
  • Авторизация суперадминистратора через токен. Реализовали дополнительную авторизацию в панель администрирования Системы для наших сотрудников. Помимо логина и пароля, теперь требуется авторизация через эцп на физическом носителе – токене. 
  • Двухфакторная аутентификация. Система начала запоминать каждую сессию и ее метаданные. При входе с нового устройства или браузера, система запросит код доступа, который высылается на привязанный к аккаунту пользователя, емайл. Все данные о входе в систему собираются и отображаются  в профиле пользователя. Таким образом, даже если ваш пароль к системе "подсмотрели", то в случае использования его третьим лицом, вы увидите уведомление об этом в почте. Остается только иметь разные пароли к системе и почте… )
  • Контроль одновременных сессий пользователя. Дополнительная защита для случаев, когда пользователь залогинился с одного авторизованного места, затем забыв выйти из системы, зашел с другого. Система, автоматически закончит первую сессию. 
  • Защита от перебора паролей пользователя. В случае 3х кратного ввода неправильного пароля, учетная запись пользователя автоматически блокируется.
  • Логирование всех действий пользователя. Все действия пользователей сохраняются в специальный защищенный файл и никогда не удаляются. 
  • Сохранение всех созданных документов. В системе реализован механизм, при котором вся созданная информация сохраняется и не может быть удалена. При этом, реализована политика, когда ни один администратор не должен иметь неограниченных прав и абсолютного доступа к информации.
  • Антивирусная защита всех загружаемых файлов. В системе реализован механизм, позволяющий автоматически сканировать любой загружаемый файл на наличие вирусов. Механизм пока доступен в бета версии. В ближайшее время будет доступен для клиентов официально.

Человеческий уровень самый сложный для контроля и автоматизации, поскольку требует не только разовое выстраивание политик, контролей рисков, но и постоянный мониторинг и анализ. И в тоже время, он самый важный с точки зрения ИБ. Поэтому, относимся к нему очень ответственно. На этом уровне нами реализовано:

  • Пересмотрели процесс внесения каких-либо изменений или действий с инстанцией клиента. Любые действия с инстанцией клиента теперь возможны только через заявку через личный кабинет клиента. Без данной заявки любые изменения будут считаться «исключительным» случаем и «нарушением» трудового договора. 
  • Пересмотрели и актуализировали роли и уровни доступа по каждому сотруднику в нашей системе. Прошлый взлом оказался возможен из-за того, что у сотрудника службы поддержки оказался доступ к документу, к которым у него не должно было быть доступа. После кражи сессии, злоумышленники получили доступ к этому документу. 
  • Закрепление персональной ответственности по каждому клиенту за сотрудниками компании. Ответственность за все действия по клиенту закреплена приказом, что позволяет формализовать юридическую ответственность сотрудников компании.
  • Утвердили и переподписали новый трудовой договор. Конкретизировали ответственность каждого сотрудника за выполнение обязанностей и сохранность данных клиентов. Значительно повысили ответственность сотрудников компании за халатность и возможный ущерб. Таким образом, в компании выстроили вертикальное распределение ответственности – в любой момент времени известно какой сотрудник за какого клиента отвечает.
  • Разграничили права и обязанности между администратором системы и администратором серверов и инфраструктуры. Теперь глобальные действия с инстанцией клиента возможны только при согласовании действий нескольких сотрудников компании из разных подразделений.
  • Разработали и утвердили карту рисков и инструкции. Каждый сотрудник в компании теперь четко знает свою зону ответственности, и зону ответственности другого сотрудника. Что можно делать, а что делать нельзя. Что делать в случае возникновения нештатной ситуации.  
  • Постоянное обучение и профилактика сотрудников основам кибербезопасности: как сохранить пароли, как защитить свой рабочий и личный компьютер и т.д.
Перейти к разделу