All articles
Documentolog: безопасность данных на трех уровнях
13.06.2024
Сейчас на платформе Documentolog автоматизируются кадровые, финансовые процессы, процессы коллегиальных органов, службы технической поддержки и др. С удобством и повышением производительности, закономерно встает вопрос об обеспечении информационной безопасности. Ведь, чем больше процессов компании автоматизировано, тем больше будет потенциальный ущерб в случае взлома. Поэтому надежная защита данных в системе является приоритетом для Documentolog.
В статье мы постарались подробно ответить на все вопросы.
Какие меры информационной безопасности реализованы в ЭДО Documentolog?
Во-первых, система Documentolog имеет сертификат соответствия требованиям безопасности, установленным в СТ РК/ISO – 15408 с 4 уровнем доверия. Это означает, что программное обеспечение было проверено анализатором кода и специалистами на соответствие международным требованиям по обеспечению информационной безопасности. Простыми словами, это официальный документ, который гарантирует, что доверять нам автоматизацию своих процессов можно и это безопасно.
Во-вторых, система функционирует в дата-центре уровня Tier III. Данный уровень обеспечивает высокий уровень доступности и бесперебойную работу сервисов.
В-третьих, в сервисах Documentolog реализована трехступенчатая система информационной безопасности на разных уровнях: инфраструктурный уровень, уровень программного обеспечения, и человеческий, которые в совокупности формируют целостную систему обеспечения безопасности в компании. Расскажем подробнее о каждом из них.
1. Инфраструктурный уровень:
Благодаря самому современному и эффективному оборудованию Documentolog уже на уровне инфраструктуры гарантирует надежное хранение пользовательской информации.
- Внедрено распределенное файловое хранилище. Это означает, что даже если файловые сервера выйдут из строя, никакие данные не будут потеряны, осуществляется бекапирование информации.
- Разграничение пользовательских данных. Данные каждого клиента разделены и не доступны сторонним лицам ни при каких обстоятельствах.
- Контейнеризация облака. Преднастроенная политика безопасности, которая включая защиту от кражи или перехвата http-сессии и защиту от доступа к файловой системе контейнеров.
- Централизованная система анализа и мониторинга событий (SIEM). Она позволяет собирать и анализировать все логи со всех инстанций. Настроены правила, на которые в обязательном порядке реагируют администраторы.2. Уровень программного обеспечения:
Также вопросы кибербезопасности продуманы и реализованы на уровне продукта и функционала сервиса электронного документооборота.
- Распределение полномочий согласно ролям. Каждый пользователь имеет доступ только к той информации и документам, которые ему разрешено видеть согласно структуре или предоставленной роли.
- У сотрудников Documentolog нет доступа к данным клиента. Администратор имеет доступ к журналам клиентской системы, но не имеет возможности прочитать содержимое документов.
- Двухфакторная аутентификация и логирование действий. Система запоминает каждую сессию и ее метаданные. Все данные о входе в систему собираются и хранятся в профиле пользователя. Даже если ваш пароль "подсмотрели", вы увидите уведомление о подозрительном входе в почте. Для защиты вашего аккаунта, при входе с нового устройства, система в обязательном порядке потребует код доступа по Email/SMS.
3. Человеческий уровень:
И самый последний уровень безопасности реализован именно на уровне обслуживания сервиса со стороны администраторов системы. На этом уровне мы реализовали:
- Контроль изменений. Любое вмешательство в систему клиента возможно только через заявку через личный кабинет клиента. Без данной заявки любые изменения будут считаться «исключительным» случаем и «нарушением» трудового договора.
- Персональная ответственность по каждому клиенту за сотрудниками компании. Ответственность за клиентов закреплена приказами и прописана в трудовом договоре.
- Тренинги по основам кибербезопасности: как сохранить пароли, как защитить свой рабочий и личный компьютер и т.д. Утверждена карта рисков и инструкции по администрированию системы. Каждый сотрудник в компании теперь четко знает свою зону ответственности и зону ответственности другого сотрудника.