Файл: Методика защиты информации в системах электронного документооборота (Организация работ при создании системы защиты электронного документооборота).pdf
Добавлен: 13.03.2024
Просмотров: 29
Скачиваний: 0
СОДЕРЖАНИЕ
Глава 1. Понятие «электронный документооборот»
1.1 Особенности конфиденциального электронного документооборота
1.2. Основные технические требования к организации защищенного взаимодействия систем МЭД и ВЭД
1.3 Основные меры по защите конфиденциальной информации
1.4 Основные виды угроз информационной безопасности организации
Глава 2. Организация работ при создании системы защиты электронного документооборота
2.1 Основные требования по разработке системы защиты информации
2.2. Стадии и этапы разработки системы защиты конфиденциальной информации
Содержание:
Введение
Автоматизация систем в современное время становится все более популярным явлением. Одной из причин такой популярности данной области является то, что автоматизация систем способствует коренному изменению управленческих процессов, которые играют важнейшую роль в деятельности общества и конкретного человека. Автоматизация процессов, происходящих на предприятии, позволяет решить множество проблем, возникающих вне автоматизации.
Как и многие системы, электронный документооборот и информационные системы подвержены различного рода угрозам информационной безопасности. Чтобы обеспечить безопасность ЭДО и информационных систем необходимо выполнять ряд мероприятий по защите информации. Именно поэтому тема настоящей курсовой работы является актуальной, тем более с развитием информационных систем.
Целью настоящей работы является рассмотрение методики защиты информации в системе электронного документооборота.
Цель настоящей работы потребовала постановки следующих задач:
1. Рассмотрение особенностей конфиденциального электронного документооборота.
2. Рассмотрение основных мер по защите конфиденциальной информации.
3. Рассмотрение основных видов угроз информационной безопасности в организации.
4. Рассмотрение основных требований по разработке системы защиты информации.
5. Рассмотрение стадий и этапов разработки системы защиты информации.
Глава 1. Понятие «электронный документооборот»
1.1 Особенности конфиденциального электронного документооборота
Правительство Российской Федерации утвердило Положение о системе межведомственного электронного документооборота. Федеральная информационная система обеспечивает в автоматизированном режиме защищенный обмен электронными сообщениями, в том числе сообщениями, содержащими информацию, отнесенную к сведениям, составляющим служебную тайну .
Защищенный электронный документооборот, как отмечалось во введении, можно разделить на два вида: внутренний (ВЭД) организации и межведомственный (межсетевой) (МЭД) между организациями различного уровня.
Почтовый обмен электронными сообщениями по защищенным каналам связи при МЭД осуществляется с помощью специального программного обеспечения — комплекс программ «Почтовая служба», предназначенного для организации.
Электронное сообщение состоит из двух частей: сопроводительной, предназначенной для адресации сообщения, и содержательной, представляющей собой текст сообщения либо текст сообщения с присоединенными файлами, содержащими электронную копию (электронный образ) документа или электронный документ, и их реквизиты, описанные с помощью языка XML. Формат файлов, используемых при осуществлении МЭД, должен соответствовать национальным или международным стандартам либо иметь открытый исходный код и открытую структуру.
Язык XML — расширяемый язык гипертекстовой разметки, используемый для создания и размещения документов в среде WWW. Язык позволяет автоматизировать обмен данными, не прибегая к существенному объему программирования .
Стандарт на представление данных — ориентированный, в частности на обмен информацией между независимыми участниками.
Формат XML предполагает структурную, а не оформительскую разметку информации. Поэтому XML-файл легко обрабатывать, загружать в базы данных, а также «накладывать» на него любой дизайн, необходимый для представления данных в удобной потребителю форме. Именно это делает XML форматом, удобным для трансляций.
Следует отметить, что одни и те же данные в рамках формата XML можно представить разными, несовместимыми друг с другом способами. В тех областях, где обмен информацией — частое и устойчивое явление, разработаны XML-форматы представления данных, которым рекомендуется следовать по мере возможности.
Электронный документ — информационный объект, также состоящий из двух частей:
- реквизитной, содержащей идентифицирующие атрибуты (имя, время и место создания, данные об авторе и т.д.) и электронную цифровую подпись;
- содержательной, включающей в себя текстовую, числовую и/или графическую информацию, которая обрабатывается в качестве единого целого .
Технические требования к организации взаимодействия системы межведомственного электронного документооборота с системами электронного документооборота федеральных органов исполнительной власти утверждены распоряжением Правительства Российской Федерации от 2 октября 2009 г. №1403-р. Основные требования к взаимодействию данных систем других организаций (государственных и негосударственных структур) изложены далее в разделе 1.2.
Правилами делопроизводства в федеральных органах исполнительной власти определено, что электронные документы создаются, обрабатываются и хранятся в системе электронного документооборота федерального органа исполнительной власти (в нашем случае ВЭД организации). Правилами установлен перечень обязательных сведений о документах, используемых в целях учета и поиска документов в системах электронного документооборота. В соответствии с данным перечнем обязательным сведением является отметка о конфиденциальности электронного документа.
Для подписания электронных документов используются электронные цифровые подписи.
Электронная цифровая подпись — реквизит электронного документа, который предназначен для его защиты от подделки, получен в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяет идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе .
Средства ЭЦП представляют собой аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:
- создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП;
- подтверждение с использованием открытого ключа ЭЦП подлинности в электронном документе;
- создание закрытых и открытых ключей ЭЦП.
Используемые средства электронной цифровой подписи должны быть сертифицированы.
Сертификат средств ЭЦП — это документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия этих средств установленным требованиям.
При рассмотрении и согласовании электронных документов в системе электронного документооборота могут использоваться способы подтверждения, при которых ЭЦП не используется.
Прием и отправка конфиденциальных электронных документов осуществляются Службой делопроизводства организации. При получении электронных документов Служба делопроизводства осуществляет проверку подлинности ЭЦП.
При передаче поступивших электронных документов на рассмотрение руководству, их направлении в структурные подразделения и ответственным исполнителям, отправке электронных документов для их хранения вместе с электронными документами передаются (хранятся) их регистрационные данные.
Единицей учета электронного документа является электронный документ, зарегистрированный в системе ВЭД организации.
Электронный документ — документ, в котором информация представлена в электронно-цифровой форме .
Исполненные электронные документы систематизируются в дела в соответствии с номенклатурой дел организации. При составлении номенклатуры дел указывается, что дело ведется в электронном виде.
Электронные документы после их исполнения подлежат хранению в установленном порядке в организации в течение сроков, предусмотренных для аналогичных документов на бумажном носителе.
По истечении срока, установленного для хранения электронных дел (электронных документов), на основании акта о выделении их к уничтожению, утверждаемого руководителем организации, указанные электронные дела (электронные документы) подлежат уничтожению.
Защите подчиняется информация, различной структуры и обрабатывается компьютерной техникой, в виде информационных электрических сигналов, физических полей, сред на бумажной, магнитной, магнитной и другой основе.
В нашем случае автоматизированная информационная система и информация, в том числе конфиденциальная, циркулирующая в системе, рассматривается как конфиденциальный электронный документооборот.
Информационная безопасность-защита конфиденциальности, целостности и доступности информации .
Защита данных: гарантия доступа к информации только для авторизованных пользователей.
Целостность информации-обеспечение точности и полноты информации и методов обработки.
Доступность информации: обеспечивает доступ к информации и связанным с ней активам уполномоченных пользователей по мере необходимости.
Информационная безопасность при реализации МЭД и ВЭД обеспечивается комплексом технических и организационных мероприятий.
Технические мероприятия включают:
- Организация и использование средств защиты информации в полном объеме ее функциональности;
- Обеспечение целостности обрабатываемых данных;
- Предоставление информации о защите от вирусов.
Организационные мероприятия включают:
- Контроль за соблюдением требований нормативных документов, обеспечивающих защиту информации;
- Определение должностных лиц участников и организатора МЭД, ответственных за обеспечение информационной безопасности;
- указать порядок резервного копирования, восстановления и архивирования баз данных, расположенных на основном узле, и порядок обновления антивирусных баз;
- Установление порядка допуска для проведения ремонтно-восстановительных работ программно-технических средств;
- Организация Режимной деятельности по отношению к помещениям, в которых расположены узлы участников ВЭД и МЭД, и техническим средствам этого узла.
Среди технических ресурсов участника, серверные и коммуникационные устройства, средства защиты информации, автоматизированные рабочие места (АРМ) и передаются от оператора ЭД участнику бесплатно во временное пользование.
Передача происходит посредством акта записи-передачи технических средств. Технические средства должны находиться в помещениях, гарантирующих их безопасность и конфиденциальность передаваемой и получаемой информации.
В случае необходимости размещения дополнительных технических средств и (или) их передачи в другое помещение, финансирование выполнения комплекса работ по передаче объектов линий связи, приобретение оборудования и программного обеспечения, а также проведение и проведение специальных работ происходит за счет средств участника. Работа по обеспечению конфиденциальности и безопасности предоставляется поставщиком услуг, который имеет соответствующую лицензию. Спецификация на приобретенное оборудование, программное обеспечение и материалы, а также Техническое задание на выполнение специальных работ будут совпадать с организатором МЭД.
Создание технических средств и ресурсов, а также установка специального программного обеспечения руководств оператора ЭД. Финансирование приобретения расходных материалов (сменные носители, картриджи, принтеры и т. д.) осуществляется участниками ЭД.
Основные функции ВЭД узлов членства:
- Защищать обрабатываемую, хранимую и передаваемую информацию от несанкционированного доступа и искажений до ее передачи по защищенному каналу связи;
- Отправка электронной почты с головного узла, автоматизированных информационных систем, получателей ВЭД или, другими словами, их автоматизированных информационных систем;
- отправка электронной почты от автоматизированных систем к хозяину ВЭД;
- сохранение электронной почты перед передачей на главный узел ВЭД или в автоматизированную информационную систему целевой группы.
Электронная связь осуществляется при эквивалентной мощности дозы, утвержденной сотрудниками. Отправитель электронного письма, электронная копия документа, несет ответственность за содержание электронных копий содержимого оригинала документа в бумажном виде.
Регистрация (учет) электронных сообщений в автоматизированной информационной системе сайта участника происходит в соответствии с инструкциями по эксплуатации данного участника.