Безопасность
- Как осуществляется доступ к приложению?
- Доступ к выделенному для Вас сервису Web–приложения «РосЭксп» (далее - Приложение) осуществляется путем аутентификации по специально предоставленным логину и паролю, что гарантирует защиту от несанкционированного доступа.
- Логин и пароль устанавливаются администратором Приложения и передаются руководителю экспертного учреждения (Пользователю).
- Приложение имеет защиту он несанкционированного доступа путем подбора логина и пароля. На третьей попытке ввода происходит блокировка доступа на 5 минут, что гарантирует защиту от возможности подбора.
- Как осуществляется защита от потери и повреждения данных?
- Защита от потери или повреждения данных обеспечивается двух-кратным резервным копированием данных и хранением на разнесенных серверах.
- Используется отказоустойчивая система хранения данных.
- При этом серверы находятся в одном из лучших дата-центре который обеспечивает:
- - отказоустойчивое электроснабжение;
- - доступ к магистральным каналам связи;
- - комплексную безопасность (видеонаблюдение, пропускной режим по индивидуальным магнитным картам, круглосуточный мониторинг);
- - список лиц, имеющих доступ к серверному оборудованию, строго ограничен. принят ряд нормативных документов по вопросам защиты информации, за нарушение которых сотрудники несут ответственность;
- - доступ лиц к серверному оборудованию строго ограничен и за серверами ведется круглосуточное видеонаблюдение;
- разработка и эксплуатация системы ведется с учетом общепринятых подходов к обеспечению информационной безопасности (межсетевые экраны, парольная политика, регламенты администрирования и т д.).
- Как осуществляется защита от несанкционированного доступа?
- Приложено немало усилий, чтобы свести возможность несанкционированного доступа к минимуму:
- - разработка веб-приложения ведется с учетом рекомендаций по безопасности от Microsoft для предотвращения самых популярных и критичных уязвимостей типа SQL-injection, XSS и т.п.;
- - система периодически сканируется на наличие уязвимостей с помощью сканера защищенности;
- - производится регулярное обновление всех операционных систем и серверного программного обеспечения;
- - производится защита от DDoS атаки, которая обеспечивается сторонним сервисом, предоставляемым интернет провайдером и подключается в случае начала атаки.
- Как осуществляется защита конфиденциальной безопасности?
- Мы обязуемся обеспечивать конфиденциальность информации (принимаем меры по предотвращению несанкционированного доступа). Отдел информационной безопасности компании осуществляет внутренний контроль за соблюдением установленного порядка и участвует при проведении внутренних аудитов безопасности. Утечка информации возможно только в случае разглашения самим Пользователем данных о логине и пароле.
- Обращаем внимание на то, что все информационные данные доступны Пользователю круглосуточно. Разработчик Web-приложения «РосЭксп» уже имеет значительный опыт по организации электронного документооборота. Приложение проходило тестирование в течении двух лет на ряде экспертных учреждений и показало себя с положительной стороны.
- Почему мы не используем ЭЦП – как средство защиты?
- ЭЦП – «паранойя»
- Наша национальная черта – уважение к подписям и печатям, к форме документа. Наверное, именно поэтому у нас свирепствует тяжёлый недуг, когда люди верят, что только использование ЭЦП решает проблемы защиты документов и, более того, что без ЭЦП электронного документа и быть не может.
- Спорить на эту тему можно долго, но есть факт экономической жизни развитых стран – лишь небольшая часть электронных документов имеет цифровые подписи. Главная причина в том, что затраты на цифровые подписи, шифрование и т.п. методы защиты часто себя не окупают, особенно при работе в «закрытых» системах.
- Прекрасный пример – электронная почта. Примерно за 15 долларов в год любой желающий (и россияне в том числе) может получить в солидной организации ключ, позволяющий подписывать свои сообщения электронной подписью. Многие ли этим воспользовались? Многие ли шифруют свои электронные письма? На самом деле – почти никто, тем более, что в наше неспокойное время шифрованные сообщения могут привлечь к автору нежелательное внимание как со стороны хакеров, так и инстанций, борющихся с терроризмом, отмыванием денег и т.п.
- В развитых капиталистических странах исходят, прежде всего, из удобства ведения бизнеса и сокращения накладных расходов. Такую же позицию занимают и некоторые наши ведущие организации, такие как Банк России.