Файл: Методика защиты информации в системах электронного документооборота (Организация работ при создании системы защиты электронного документооборота).pdf
Добавлен: 13.03.2024
Просмотров: 21
Скачиваний: 0
СОДЕРЖАНИЕ
Глава 1. Понятие «электронный документооборот»
1.1 Особенности конфиденциального электронного документооборота
1.2. Основные технические требования к организации защищенного взаимодействия систем МЭД и ВЭД
1.3 Основные меры по защите конфиденциальной информации
1.4 Основные виды угроз информационной безопасности организации
Глава 2. Организация работ при создании системы защиты электронного документооборота
2.1 Основные требования по разработке системы защиты информации
2.2. Стадии и этапы разработки системы защиты конфиденциальной информации
В последнем случае, как правило, требуется обработка или обработка существующих программ, а также создание новой информационной безопасности.
Как во втором, так и в третьем сценарии создания защищенных АИС можно выделить следующие этапы и этапы разработки. Разница будет заключаться в сложности, а потому, и в стоимости реализации ступеней.
Существуют следующие шаги для создания системы защиты AIS и распространения в ней конфиденциальной информации или, другими словами, для создания электронного конфиденциального документа:
- предварительный проект, включающий предварительное расследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технической задачи на ее разработке;
- проектирование (разработка проекта) и внедрение АИС, в том числе разработка системы защиты информации в ее составе;
- защита информации, включая опытную эксплуатацию и утверждение тестов на защиту информации, а также сертификацию AIS для соответствия требованиям информационной безопасности.
Предварительная экспертиза может быть назначена специализированному предприятию с соответствующей лицензией, но и в этом случае анализ информационной защиты в части структуры и структуры конфиденциальной информации целесообразно проводить представителям организации-заказчика с методической помощью специализированного предприятия. На этой стадии разрабатываются аналитическое обоснование и техническая задача на создание системы или частная техническая задача на подсистеме информационной безопасности АИС.
На этапе предварительного проекта определяется объект, для которого создается АИС:
- угрозы информационной безопасности-факторы, влияющие на конфиденциальную информацию;
- Модель вероятного скрипача в отношении определенных функциональных условий AИС;
- необходимость обработки конфиденциальной информации в АИС, объем, тип и условия оцениваются;
- Конфигурация и топология АИС в целом и ее отдельных компонентов, а также физические, функциональные и технологические связи как внутри разработанной системы, так и с другими АИС;
- технические средства и системы для использования в разработанных АИС, условиях их расположения, общесистемных и применимых программного обеспечения, которые доступны на рынке и предлагаются для разработки;
- Способы обработки конфиденциальной информации в АИС;
- Данные AИС и компоненты, которые являются важными и должны быть дублированы.;
- Класс защиты AИС;
- степень участия сотрудников в обработке (передаче, хранении) конфиденциальной информации, характер их взаимодействия между собой и с информационной службой (информационная безопасность), а также службой безопасности организации;
- Меры по защите информации в процессе разработки системы.
На основе результатов предварительного проекта сбора, аналитическое обоснование необходимости создания системы защиты конфиденциальной информации, которая должна содержать:
- информационные характеристики создаваемой АИС и организационной структуры, для которых создается система;
- Особенности комплекса технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
- Список угроз информационной безопасности и мер по их предотвращению;
- перечень предлагаемых сертифицированных средств защиты или обоснование их развития (адаптация к конкретным условиям работы АИС);
- Обоснование необходимости включения специализированных предприятий в разработку системы защиты информации;
- Оценка материальных, трудовых и финансовых затрат на разработку и реализацию информационной системы безопасности;
- Приблизительные условия для развития и внедрения информационной системы безопасности;
- Перечень мер по обеспечению конфиденциальности информации при создании АИС.
Аналитическое обоснование подписывается руководителем предварительного проекта опроса, с разработчиком АИС, руководителем информационных технологий (информационной безопасности) и службой безопасности организации заказчика, а затем утверждается руководителем организации.
Результаты предварительного проекта опроса о доступности конфиденциальной информации должны основываться на задокументированном списке конфиденциальной документированной информации. Конфиденциальность первой информации, подлежащей автоматической обработке, а также информации о расходах, полученной в результате обработки, определяется и документируется клиентской организацией АИС на основе перечня конфиденциальной информации, подписывается руководителем организации, передается разработчику системы информационной безопасности.
Для определения конфиденциальности промежуточной информации, которая находится в обращении (обработана, хранится и передана) АИС, а также для оценки адекватности предлагаемых средств и мер по защите информации, экспертная комиссия формируется по распоряжению организации, в состав которого входят представители клиентской организации и компании — застройщика АИС.
Специализированная комиссия может выполнять свою работу в несколько этапов с учетом аналитического обоснования, технических характеристик, проектной и эксплуатационной документации, а также конфиденциальности обрабатываемой информации, включая устройства хранения, носители и массивы информации, предложенные организацией-клиентом и разработчиком AИС. Достоверность и достоверность времени хранения и распространения носителей и носителей информации, полнота предлагаемых средств защиты должна соответствовать перечню конфиденциальной документированной информации и реестру конфиденциальной информации и АИС.
Результатом работы экспертной комиссии является решение, которое утверждается руководителем организации, в которой она создана.
На этапе ввода АИС и системы защиты информации осуществляется ее состав:
- опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами для проверки их работы в АИС и процесса обработки (передачи) информации;
- Утверждение испытаний по защите информации по результатам опытной эксплуатации с завершением транспортировки, подписанных разработчиком и заказчиком;
- АИС-сертификация на соответствие требованиям безопасности информации.
На данном этапе:
- Мероприятия по внедрению средств защиты информации по результатам их приемочных испытаний;
- Закон ТОД о проведении квалификационных испытаний;
- Заключение по результатам сертификационных испытаний;
- Сертификат соответствия.
АИС эксплуатируется на основании утвержденной организационной и эксплуатационной документации.
Состояние и эффективность защиты информации контролируется информационной службой, службой безопасности организации-заказчиками, отраслевыми и федеральными органами власти в контроле.
Результаты контроля дают оценку выполнения требований нормативных документов, обоснованности принятых мер и контроля за соблюдением стандартов защиты конфиденциальной информации.
Заключение
Таким образом, все перечисленные выше факты еще раз указывают на необходимость применения в системах информационной безопасности сетей систем контроля содержимого СЭС, или, иными словами, системы электронной почты, которые способны не только обеспечить защиту системы электронных сообщений и стать эффективным элементом управления информационным потоком, но и значительно повысить эффективность деятельности организации.
В ходе выполнения работы поставленная цель была выполнена. Поставленные задачи были решены.
Список использованной литературы
1. Алексеенко В.Н., Древс Ю.Г. Основы построения систем защиты производственных предприятий и банков / В.Н. Алексеенко, Ю.Г. Древс. - М.: МИФИ, 1996.
2. Алексенцев А.И. Конфиденциальное делопроизводство / А.И. Алексенцев. - М.: Бизнес-школа «Интел-Синтез», 2001.
3. Бачило И.Л. Информационное право: учебник для вузов / И.Л. Бачило. - М.: Высшее образование, Юрайт, 2009.
4. Бачило И.Л., Семилетов С.И. Комментарий к Федеральному закону от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи» // Справочная правовая система «Консультант Плюс».
5. Белопушкин В.И., Кириллычев А.Н. Правовые аспекты обеспечения информационной безопасности / В.И. Белопушкин, А.Н. Кириллычев. - М.: Изд-во МГТУ, 2003.
6. Гиляревский Р. С. Рубрикатор как инструмент информационной навигации / Р.С. Гиляревский, А.В. Шапкин, В.Н. Белозеров. - СПб.: Профессия, 2008.
7. Глушков В.М. Основы безбумажной информатики. - 2-е изд. испр. - М.: Наука, 1987.
8. Говорухин О.Э. Правовые основы информационной безопасности и системы защиты информации коммерческого банка // Документация в информационном обществе: законодательство и стандарт: докл. и сообщ. на XXII Междунар. науч.-практ. конф., 22-23 ноября 2005 г. / Росархив. ВНИИДАД. М., 2006.
9. Говорухин О.Э. Служебная тайна // Служба кадров и персонал. - М.: ВНИИДАТ, 2006. № 4.
10. Говорухин О. Э. Когда персональные данные - коммерческая тайна // Служба кадров и персонал. 2006. № 7.
11. Говорухин О.Э. Служебная и профессиональная тайна // Делопроизводство. 2006. № 3.
12. Говорухин О.Э. Наименования ведомств: полное и сокращенное // Служба кадров и персонал. 2006. № 10.
13. Говорухин О.Э. Персональные данные: сбор, обработка, защита // Служба кадров и персонал. 2007. № 2.
14. Говорухин О.Э. Что такое служебная тайна? // Служба кадров и персонал. 2008. № 5.