Файл: Методика защиты информации в системах электронного документооборота (Организация работ при создании системы защиты электронного документооборота).pdf

Содержание:

Введение

Автоматизация систем в современное время становится все более популярным явлением. Одной из причин такой популярности данной области является то, что автоматизация систем способствует коренному изменению управленческих процессов, которые играют важнейшую роль в деятельности общества и конкретного человека. Автоматизация процессов, происходящих на предприятии, позволяет решить множество проблем, возникающих вне автоматизации.

Как и многие системы, электронный документооборот и информационные системы подвержены различного рода угрозам информационной безопасности. Чтобы обеспечить безопасность ЭДО и информационных систем необходимо выполнять ряд мероприятий по защите информации. Именно поэтому тема настоящей курсовой работы является актуальной, тем более с развитием информационных систем.

Целью настоящей работы является рассмотрение методики защиты информации в системе электронного документооборота.

Цель настоящей работы потребовала постановки следующих задач:

1. Рассмотрение особенностей конфиденциального электронного документооборота.

2. Рассмотрение основных мер по защите конфиденциальной информации.

3. Рассмотрение основных видов угроз информационной безопасности в организации.

4. Рассмотрение основных требований по разработке системы защиты информации.

5. Рассмотрение стадий и этапов разработки системы защиты информации.

Глава 1. Понятие «электронный документооборот»

1.1 Особенности конфиденциального электронного документооборота

Правительство Российской Федерации утвердило Положение о системе межведомственного электронного документооборота. Федеральная информационная система обеспечивает в автоматизированном режиме защищенный обмен электронными сообщениями, в том числе сообщениями, содержащими информацию, отнесенную к сведениям, составляющим служебную тайну .

Защищенный электронный документооборот, как отмечалось во введении, можно разделить на два вида: внутренний (ВЭД) организации и межведомственный (межсетевой) (МЭД) между организациями различного уровня.

Почтовый обмен электронными сообщениями по защищенным каналам связи при МЭД осуществляется с помощью специального программного обеспечения — комплекс программ «Почтовая служба», предназначенного для организации.

Электронное сообщение состоит из двух частей: сопроводительной, предназначенной для адресации сообщения, и содержательной, представляющей собой текст сообщения либо текст сообщения с присоединенными файлами, содержащими электронную копию (электронный образ) документа или электронный документ, и их реквизиты, описанные с помощью языка XML. Формат файлов, используемых при осуществлении МЭД, должен соответствовать национальным или международным стандартам либо иметь открытый исходный код и открытую структуру.

Язык XML — расширяемый язык гипертекстовой разметки, используемый для создания и размещения документов в среде WWW. Язык позволяет автоматизировать обмен данными, не прибегая к существенному объему программирования .

Стандарт на представление данных — ориентированный, в частности на обмен информацией между независимыми участниками.

Формат XML предполагает структурную, а не оформительскую разметку информации. Поэтому XML-файл легко обрабатывать, загружать в базы данных, а также «накладывать» на него любой дизайн, необходимый для представления данных в удобной потребителю форме. Именно это делает XML форматом, удобным для трансляций.

Следует отметить, что одни и те же данные в рамках формата XML можно представить разными, несовместимыми друг с другом способами. В тех областях, где обмен информацией — частое и устойчивое явление, разработаны XML-форматы представления данных, которым рекомендуется следовать по мере возможности.

Электронный документ — информационный объект, также состоящий из двух частей:

- реквизитной, содержащей идентифицирующие атрибуты (имя, время и место создания, данные об авторе и т.д.) и электронную цифровую подпись;

- содержательной, включающей в себя текстовую, числовую и/или графическую информацию, которая обрабатывается в качестве единого целого .

Технические требования к организации взаимодействия системы межведомственного электронного документооборота с системами электронного документооборота федеральных органов исполнительной власти утверждены распоряжением Правительства Российской Федерации от 2 октября 2009 г. №1403-р. Основные требования к взаимодействию данных систем других организаций (государственных и негосударственных структур) изложены далее в разделе 1.2.

Правилами делопроизводства в федеральных органах исполнительной власти определено, что электронные документы создаются, обрабатываются и хранятся в системе электронного документооборота федерального органа исполнительной власти (в нашем случае ВЭД организации). Правилами установлен перечень обязательных сведений о документах, используемых в целях учета и поиска документов в системах электронного документооборота. В соответствии с данным перечнем обязательным сведением является отметка о конфиденциальности электронного документа.

Для подписания электронных документов используются электронные цифровые подписи.

Электронная цифровая подпись — реквизит электронного документа, который предназначен для его защиты от подделки, получен в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяет идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе .

Средства ЭЦП представляют собой аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:

- создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП;

- подтверждение с использованием открытого ключа ЭЦП подлинности в электронном документе;

- создание закрытых и открытых ключей ЭЦП.

Используемые средства электронной цифровой подписи должны быть сертифицированы.

Сертификат средств ЭЦП — это документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия этих средств установленным требованиям.

При рассмотрении и согласовании электронных документов в системе электронного документооборота могут использоваться способы подтверждения, при которых ЭЦП не используется.

Прием и отправка конфиденциальных электронных документов осуществляются Службой делопроизводства организации. При получении электронных документов Служба делопроизводства осуществляет проверку подлинности ЭЦП.

При передаче поступивших электронных документов на рассмотрение руководству, их направлении в структурные подразделения и ответственным исполнителям, отправке электронных документов для их хранения вместе с электронными документами передаются (хранятся) их регистрационные данные.

Единицей учета электронного документа является электронный документ, зарегистрированный в системе ВЭД организации.

Электронный документ — документ, в котором информация представлена в электронно-цифровой форме .

Исполненные электронные документы систематизируются в дела в соответствии с номенклатурой дел организации. При составлении номенклатуры дел указывается, что дело ведется в электронном виде.

Электронные документы после их исполнения подлежат хранению в установленном порядке в организации в течение сроков, предусмотренных для аналогичных документов на бумажном носителе.

По истечении срока, установленного для хранения электронных дел (электронных документов), на основании акта о выделении их к уничтожению, утверждаемого руководителем организации, указанные электронные дела (электронные документы) подлежат уничтожению.

Защите подчиняется информация, различной структуры и обрабатывается компьютерной техникой, в виде информационных электрических сигналов, физических полей, сред на бумажной, магнитной, магнитной и другой основе.

В нашем случае автоматизированная информационная система и информация, в том числе конфиденциальная, циркулирующая в системе, рассматривается как конфиденциальный электронный документооборот.

Информационная безопасность-защита конфиденциальности, целостности и доступности информации .

Защита данных: гарантия доступа к информации только для авторизованных пользователей.

Целостность информации-обеспечение точности и полноты информации и методов обработки.

Доступность информации: обеспечивает доступ к информации и связанным с ней активам уполномоченных пользователей по мере необходимости.

Информационная безопасность при реализации МЭД и ВЭД обеспечивается комплексом технических и организационных мероприятий.

Технические мероприятия включают:

- Организация и использование средств защиты информации в полном объеме ее функциональности;

- Обеспечение целостности обрабатываемых данных;

- Предоставление информации о защите от вирусов.

Организационные мероприятия включают:

- Контроль за соблюдением требований нормативных документов, обеспечивающих защиту информации;

- Определение должностных лиц участников и организатора МЭД, ответственных за обеспечение информационной безопасности;

- указать порядок резервного копирования, восстановления и архивирования баз данных, расположенных на основном узле, и порядок обновления антивирусных баз;

- Установление порядка допуска для проведения ремонтно-восстановительных работ программно-технических средств;

- Организация Режимной деятельности по отношению к помещениям, в которых расположены узлы участников ВЭД и МЭД, и техническим средствам этого узла.

Среди технических ресурсов участника, серверные и коммуникационные устройства, средства защиты информации, автоматизированные рабочие места (АРМ) и передаются от оператора ЭД участнику бесплатно во временное пользование.

Передача происходит посредством акта записи-передачи технических средств. Технические средства должны находиться в помещениях, гарантирующих их безопасность и конфиденциальность передаваемой и получаемой информации.

В случае необходимости размещения дополнительных технических средств и (или) их передачи в другое помещение, финансирование выполнения комплекса работ по передаче объектов линий связи, приобретение оборудования и программного обеспечения, а также проведение и проведение специальных работ происходит за счет средств участника. Работа по обеспечению конфиденциальности и безопасности предоставляется поставщиком услуг, который имеет соответствующую лицензию. Спецификация на приобретенное оборудование, программное обеспечение и материалы, а также Техническое задание на выполнение специальных работ будут совпадать с организатором МЭД.

Создание технических средств и ресурсов, а также установка специального программного обеспечения руководств оператора ЭД. Финансирование приобретения расходных материалов (сменные носители, картриджи, принтеры и т. д.) осуществляется участниками ЭД.

Основные функции ВЭД узлов членства:

- Защищать обрабатываемую, хранимую и передаваемую информацию от несанкционированного доступа и искажений до ее передачи по защищенному каналу связи;

- Отправка электронной почты с головного узла, автоматизированных информационных систем, получателей ВЭД или, другими словами, их автоматизированных информационных систем;

- отправка электронной почты от автоматизированных систем к хозяину ВЭД;

- сохранение электронной почты перед передачей на главный узел ВЭД или в автоматизированную информационную систему целевой группы.

Электронная связь осуществляется при эквивалентной мощности дозы, утвержденной сотрудниками. Отправитель электронного письма, электронная копия документа, несет ответственность за содержание электронных копий содержимого оригинала документа в бумажном виде.

Регистрация (учет) электронных сообщений в автоматизированной информационной системе сайта участника происходит в соответствии с инструкциями по эксплуатации данного участника.