documentolog
logo

All articles

Documentolog: безопасность данных на трех уровнях

13.06.2024



Сейчас на платформе Documentolog автоматизируются кадровые, финансовые процессы, процессы коллегиальных органов, службы технической поддержки и др. С удобством и повышением производительности, закономерно встает вопрос об обеспечении информационной безопасности. Ведь, чем больше процессов компании автоматизировано, тем больше будет потенциальный ущерб в случае взлома. Поэтому надежная защита данных в системе является приоритетом для Documentolog. 

В статье мы постарались подробно ответить на все вопросы.

Какие меры информационной безопасности реализованы в ЭДО Documentolog?

Во-первых, система Documentolog имеет сертификат соответствия требованиям безопасности, установленным в СТ РК/ISO – 15408 с 4 уровнем доверия. Это означает, что программное обеспечение было проверено анализатором кода и специалистами на соответствие международным требованиям по обеспечению информационной безопасности. Простыми словами, это официальный документ, который гарантирует, что доверять нам автоматизацию своих процессов можно и это безопасно.


Во-вторых, система функционирует в дата-центре уровня Tier III. Данный уровень обеспечивает высокий уровень доступности и бесперебойную работу сервисов.

В-третьих, в сервисах Documentolog реализована трехступенчатая система информационной безопасности на разных уровнях: инфраструктурный уровень, уровень программного обеспечения, и человеческий, которые в совокупности формируют целостную систему обеспечения безопасности в компании. Расскажем подробнее о каждом из них. 

1. Инфраструктурный уровень: 

Благодаря самому современному и эффективному оборудованию Documentolog уже на уровне инфраструктуры гарантирует надежное хранение пользовательской информации.

- Внедрено распределенное файловое хранилище.  Это означает, что даже если файловые сервера выйдут из строя, никакие данные не будут потеряны, осуществляется бекапирование информации.  

- Разграничение пользовательских данных. Данные каждого клиента разделены и не доступны сторонним лицам ни при каких обстоятельствах.

- Контейнеризация облака. Преднастроенная политика безопасности, которая включая защиту от кражи или перехвата http-сессии и защиту от доступа к файловой системе контейнеров.

- Централизованная система анализа и мониторинга событий (SIEM). Она позволяет собирать и анализировать все логи со всех инстанций. Настроены правила, на которые в обязательном порядке реагируют администраторы.




2. Уровень программного обеспечения:

Также вопросы кибербезопасности продуманы и реализованы на уровне продукта и функционала сервиса электронного документооборота. 

- Распределение полномочий согласно ролям. Каждый пользователь имеет доступ только к той информации и документам, которые ему разрешено видеть согласно структуре или предоставленной роли.

- У сотрудников Documentolog нет доступа к данным клиента. Администратор имеет доступ к журналам клиентской системы, но не имеет возможности прочитать содержимое документов.

- Двухфакторная аутентификация и логирование действий. Система запоминает каждую сессию и ее метаданные. Все данные о входе в систему собираются и хранятся в профиле пользователя. Даже если ваш пароль "подсмотрели", вы увидите уведомление о подозрительном входе в почте. Для защиты вашего аккаунта, при входе с нового устройства, система в обязательном порядке потребует код доступа по Email/SMS.



3. Человеческий уровень:

И самый последний уровень безопасности реализован именно на уровне обслуживания сервиса со стороны администраторов системы. На этом уровне мы реализовали:

- Контроль изменений. Любое вмешательство в систему клиента возможно только через заявку через личный кабинет клиента. Без данной заявки любые изменения будут считаться «исключительным» случаем и «нарушением» трудового договора.

- Персональная ответственность по каждому клиенту за сотрудниками компании. Ответственность за клиентов закреплена приказами и прописана в трудовом договоре. 

- Тренинги по основам кибербезопасности:  как сохранить пароли, как защитить свой рабочий и личный компьютер и т.д.  Утверждена карта рисков и инструкции по администрированию системы. Каждый сотрудник в компании теперь четко знает свою зону ответственности и зону ответственности другого сотрудника.


 

Важно отметить, что подобные меры снижают гибкость компании по отношению к клиентам. Многие вопросы не могут решаться “по звонку” от клиента или на честном слове. Любые операции с системой клиента осуществляются только через заявку в личном кабинете с обязательной фиксацией времени и ответственных сотрудников. Такие изменения не всегда легко и с восторгом принимаются в коллективе, но, в конечном счете, все понимают, что это необходимые меры, а последствия несоблюдения могут быть очень печальными.
Также, все принятые меры требуют значительных финансовых и временных инвестиций, которые, по-большому счету, незаметны для наших клиентов. Поэтому, на момент принятия решений по выбору СЭД, необходимо принимать во внимание вопрос обеспечения информационной безопасности. Часто недорогая цена самой услуги СЭД становится решающим фактором, принося в жертву ИБ и качество.

Достигнуть идеального обеспечения ИБ для компании и системы, находящейся в постоянном развитии, очень сложная задача, с которой не всегда успешно справляются даже мировые гиганты программного обеспечения, такие как Microsoft, Facebook или Google. Тем не менее, наша компания на постоянной основе работает над повышением уровня информационной безопасности нашей инфраструктуры и системы Documentolog в интересах наших клиентов. На сегодняшний день, мы инвестируем не менее 10% дохода в развитие технологий искусственного интеллекта и информационной безопасности своих систем. 
Last publications