Файл: Методика защиты информации в системах электронного документооборота (Организация работ при создании системы защиты электронного документооборота).pdf

В последнем случае, как правило, требуется обработка или обработка существующих программ, а также создание новой информационной безопасности.

Как во втором, так и в третьем сценарии создания защищенных АИС можно выделить следующие этапы и этапы разработки. Разница будет заключаться в сложности, а потому, и в стоимости реализации ступеней.

Существуют следующие шаги для создания системы защиты AIS и распространения в ней конфиденциальной информации или, другими словами, для создания электронного конфиденциального документа:

- предварительный проект, включающий предварительное расследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технической задачи на ее разработке;

- проектирование (разработка проекта) и внедрение АИС, в том числе разработка системы защиты информации в ее составе;

- защита информации, включая опытную эксплуатацию и утверждение тестов на защиту информации, а также сертификацию AIS для соответствия требованиям информационной безопасности.

Предварительная экспертиза может быть назначена специализированному предприятию с соответствующей лицензией, но и в этом случае анализ информационной защиты в части структуры и структуры конфиденциальной информации целесообразно проводить представителям организации-заказчика с методической помощью специализированного предприятия. На этой стадии разрабатываются аналитическое обоснование и техническая задача на создание системы или частная техническая задача на подсистеме информационной безопасности АИС.

На этапе предварительного проекта определяется объект, для которого создается АИС:

- угрозы информационной безопасности-факторы, влияющие на конфиденциальную информацию;

- Модель вероятного скрипача в отношении определенных функциональных условий AИС;

- необходимость обработки конфиденциальной информации в АИС, объем, тип и условия оцениваются;

- Конфигурация и топология АИС в целом и ее отдельных компонентов, а также физические, функциональные и технологические связи как внутри разработанной системы, так и с другими АИС;

- технические средства и системы для использования в разработанных АИС, условиях их расположения, общесистемных и применимых программного обеспечения, которые доступны на рынке и предлагаются для разработки;

- Способы обработки конфиденциальной информации в АИС;

- Данные AИС и компоненты, которые являются важными и должны быть дублированы.;

- Класс защиты AИС;

- степень участия сотрудников в обработке (передаче, хранении) конфиденциальной информации, характер их взаимодействия между собой и с информационной службой (информационная безопасность), а также службой безопасности организации;

- Меры по защите информации в процессе разработки системы.

На основе результатов предварительного проекта сбора, аналитическое обоснование необходимости создания системы защиты конфиденциальной информации, которая должна содержать:

- информационные характеристики создаваемой АИС и организационной структуры, для которых создается система;

- Особенности комплекса технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

- Список угроз информационной безопасности и мер по их предотвращению;

- перечень предлагаемых сертифицированных средств защиты или обоснование их развития (адаптация к конкретным условиям работы АИС);

- Обоснование необходимости включения специализированных предприятий в разработку системы защиты информации;

- Оценка материальных, трудовых и финансовых затрат на разработку и реализацию информационной системы безопасности;

- Приблизительные условия для развития и внедрения информационной системы безопасности;

- Перечень мер по обеспечению конфиденциальности информации при создании АИС.

Аналитическое обоснование подписывается руководителем предварительного проекта опроса, с разработчиком АИС, руководителем информационных технологий (информационной безопасности) и службой безопасности организации заказчика, а затем утверждается руководителем организации.

Результаты предварительного проекта опроса о доступности конфиденциальной информации должны основываться на задокументированном списке конфиденциальной документированной информации. Конфиденциальность первой информации, подлежащей автоматической обработке, а также информации о расходах, полученной в результате обработки, определяется и документируется клиентской организацией АИС на основе перечня конфиденциальной информации, подписывается руководителем организации, передается разработчику системы информационной безопасности.

Для определения конфиденциальности промежуточной информации, которая находится в обращении (обработана, хранится и передана) АИС, а также для оценки адекватности предлагаемых средств и мер по защите информации, экспертная комиссия формируется по распоряжению организации, в состав которого входят представители клиентской организации и компании — застройщика АИС.

Специализированная комиссия может выполнять свою работу в несколько этапов с учетом аналитического обоснования, технических характеристик, проектной и эксплуатационной документации, а также конфиденциальности обрабатываемой информации, включая устройства хранения, носители и массивы информации, предложенные организацией-клиентом и разработчиком AИС. Достоверность и достоверность времени хранения и распространения носителей и носителей информации, полнота предлагаемых средств защиты должна соответствовать перечню конфиденциальной документированной информации и реестру конфиденциальной информации и АИС.

Результатом работы экспертной комиссии является решение, которое утверждается руководителем организации, в которой она создана.

На этапе ввода АИС и системы защиты информации осуществляется ее состав:

- опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами для проверки их работы в АИС и процесса обработки (передачи) информации;

- Утверждение испытаний по защите информации по результатам опытной эксплуатации с завершением транспортировки, подписанных разработчиком и заказчиком;

- АИС-сертификация на соответствие требованиям безопасности информации.

На данном этапе:

- Мероприятия по внедрению средств защиты информации по результатам их приемочных испытаний;

- Закон ТОД о проведении квалификационных испытаний;

- Заключение по результатам сертификационных испытаний;

- Сертификат соответствия.

АИС эксплуатируется на основании утвержденной организационной и эксплуатационной документации.

Состояние и эффективность защиты информации контролируется информационной службой, службой безопасности организации-заказчиками, отраслевыми и федеральными органами власти в контроле.

Результаты контроля дают оценку выполнения требований нормативных документов, обоснованности принятых мер и контроля за соблюдением стандартов защиты конфиденциальной информации.

Заключение

Таким образом, все перечисленные выше факты еще раз указывают на необходимость применения в системах информационной безопасности сетей систем контроля содержимого СЭС, или, иными словами, системы электронной почты, которые способны не только обеспечить защиту системы электронных сообщений и стать эффективным элементом управления информационным потоком, но и значительно повысить эффективность деятельности организации.

В ходе выполнения работы поставленная цель была выполнена. Поставленные задачи были решены.

Список использованной литературы

1. Алексеенко В.Н., Древс Ю.Г. Основы построения систем защиты производственных предприятий и банков / В.Н. Алексеенко, Ю.Г. Древс. - М.: МИФИ, 1996.

2. Алексенцев А.И. Конфиденциальное делопроизводство / А.И. Алексенцев. - М.: Бизнес-школа «Интел-Синтез», 2001.

3. Бачило И.Л. Информационное право: учебник для вузов / И.Л. Бачило. - М.: Высшее образование, Юрайт, 2009.

4. Бачило И.Л., Семилетов С.И. Комментарий к Федеральному закону от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи» // Справочная правовая система «Консультант Плюс».

5. Белопушкин В.И., Кириллычев А.Н. Правовые аспекты обеспечения информационной безопасности / В.И. Белопушкин, А.Н. Кириллычев. - М.: Изд-во МГТУ, 2003.

6. Гиляревский Р. С. Рубрикатор как инструмент информационной навигации / Р.С. Гиляревский, А.В. Шапкин, В.Н. Белозеров. - СПб.: Профессия, 2008.

7. Глушков В.М. Основы безбумажной информатики. - 2-е изд. испр. - М.: Наука, 1987.

8. Говорухин О.Э. Правовые основы информационной безопасности и системы защиты информации коммерческого банка // Документация в информационном обществе: законодательство и стандарт: докл. и сообщ. на XXII Междунар. науч.-практ. конф., 22-23 ноября 2005 г. / Росархив. ВНИИДАД. М., 2006.

9. Говорухин О.Э. Служебная тайна // Служба кадров и персонал. - М.: ВНИИДАТ, 2006. № 4.

10. Говорухин О. Э. Когда персональные данные - коммерческая тайна // Служба кадров и персонал. 2006. № 7.

11. Говорухин О.Э. Служебная и профессиональная тайна // Делопроизводство. 2006. № 3.

12. Говорухин О.Э. Наименования ведомств: полное и сокращенное // Служба кадров и персонал. 2006. № 10.

13. Говорухин О.Э. Персональные данные: сбор, обработка, защита // Служба кадров и персонал. 2007. № 2.

14. Говорухин О.Э. Что такое служебная тайна? // Служба кадров и персонал. 2008. № 5.