Файл: Методика защиты информации в системах электронного документооборота (Организация работ при создании системы защиты электронного документооборота).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 13.03.2024

Просмотров: 26

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

Глава 1. Понятие «электронный документооборот»

1.1 Особенности конфиденциального электронного документооборота

1.2. Основные технические требования к организации защищенного взаимодействия систем МЭД и ВЭД

1.3 Основные меры по защите конфиденциальной информации

1.4 Основные виды угроз информационной безопасности организации

Глава 2. Организация работ при создании системы защиты электронного документооборота

2.1 Основные требования по разработке системы защиты информации

2.2. Стадии и этапы разработки системы защиты конфиденциальной информации

Заключение

Список использованной литературы

Автоматизированная информационная система внутреннего электронного документооборота, Участник должен производить подготовку сообщений в ходе проведения экспертизы электронных писем этим участникам.

Требования к защите информации и мероприятия для их выполнения, а также специальные защитные меры должны, в зависимости от выбранного класса защиты на основе разработанной модели угроз и действий нарушителя и заданное.

Защита информации, циркулирующей в автоматизированной информационной системе организации, или, иными словами, внутреннего электронного документооборота, осуществляется в соответствии с российским законодательством и требованиями нормативно-технических документов в сфере защиты информации.

Основными задачами обеспечения защиты информации, цирку­лирующей в автоматизированных информационных системах, и самих систем на уровне единой информационной среды организации являются:

  • формирование технической политики организации в области защиты информационно-коммуникационных технологий;
  • координация деятельности структурных подразделений организации в сфере защиты информации и автоматизированных информационных систем, а также оценка эффективности принимаемых мер;
  • взаимодействие с уполномоченными федеральными и региональными государственными органами в области защиты информации (ФСО России, ФСТЭК России, ФСБ России);
  • организация исследований и анализа состояния защиты инфор­мации организации;
  • организация учета конфиденциальной информации, циркули­рующей в автоматизированных информационных системах, самих систем и других носителей;
  • организация мониторинга и контроля эффективности защиты информации, циркулирующей в АИС, и самих систем;
  • аттестация АИС на соответствие требованиям защиты информации, предусматривающей комплексную проверку (аттестационные испытания) в реальных условиях эксплуатации в целях оценки соответствия используемого комплекса мер и средств защиты требуемому уровню;
  • планирование работ по созданию и совершенствованию систем защиты информации на конкретных объектах;
  • управление защитой информации на конкретных объектах;
  • анализ и прогнозирование потенциальных угроз для конкретных объектов;
  • оценка возможного ущерба от реализации угроз;
  • контроль эффективности принимаемых защитных мер и разбор случаев нарушения.

Для обеспечения информационной безопасности в организации создается служба (подразделение) информационной безопасности или отдельные должности штатного расписания организации, укомплектованные специалистами, ответственными за обеспечение информационной безопасности.

Подразделение информационной безопасности может подчиняться непосредственно Службе безопасности организации или входить в состав подразделения информационных технологий.

Варианты могут быть различными в зависимости наличия в организации Службы безопасности или Службы информационных технологий. Но в любом случае подразделение информационной безопасности должно быть предусмотрено штатным расписанием в целях обеспечения системы защиты электронного документооборота.

Специалисты подразделения информационной безопасности должны иметь необходимую квалификацию в области защиты информации и проходить периодическую переподготовку (повышение квалификации) в соответствии с программами послевузовского профессионального образования. Квалификационные характеристики главного специалиста по защите информации предусмотрены Квалификационным справочником должностей руководителей, специалистов и других служащих.

Для проведения работ по созданию и эксплуатации системы защиты электронного документооборота могут привлекаться специализированные организации (предприятия), имеющие лицензии и сертификаты на право проведения работ в области защиты информации.

Сертификация средств защиты информации регулируется Постановлением Правительства Российской Федерации от 12.02.1994 № 100 «Об организации работ по стандартизации, обеспечению единства измерений, сертификации продукции и услуг» и Постановлением Правительства Российской Федерации от 25.06.95 г. № 608 «О сертификации средств защиты информации».

Федеральным законом от 8 августа 2001 г. № 128-ФЗ «О лицен­зировании отдельных видов деятельности», ст. 17, п. 1, п.п. 5 — 13 определен перечень видов деятельности в области защиты информации, на осуществление которых требуются лицензии:

  • деятельность по распространению шифровальных (криптографических) средств ;
  • деятельность по техническому обслуживанию шифровальных (криптографических) средств ;
  • предоставление услуг в области шифрования информации ;
  • разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем ;
  • деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) ;
  • деятельность по разработке и (или) производству средств защиты конфиденциальной информации ;
  • деятельность по технической защите конфиденциальной информации ;
  • разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность ;
  • деятельность по изготовлению защищенной от подделок полиграфической продукции, в том числе бланков ценных бумаг, а также торговля указанной продукцией .

Подразделение информационной безопасности осуществляет свою деятельность в соответствии с разрабатываемым Положением о подразделении и выполняет основные задачи и функции по обеспечению защиты информации.

Защита информации при ее автоматизированной обработке производится на этапе эксплуатации автоматизированных информационных систем. При выполнении работ по защите информации следует учитывать организационные меры, обусловленные необходимостью проведения технического обслуживания, устранения неисправностей, обновления программного обеспечения и других мероприятий, задаваемых в соответствии с технологиями проведения эксплуатации систем защиты информации в АИС.

Организация и выполнение подготовительных работ по автоматизированной обработке конфиденциальной информации должны проводиться с учетом требований технологий разработки систем защиты информации.

Объектами защиты при этом являются: открытая, общедоступная информация и информация ограниченного доступа — это конфиденциальная информация, составляющая секрет производства, служебный секрет производства, служебную, коммерческую, профессиональную тайну, персональные данные и иные сведения, установленные российским законодательством, за исключением сведений, составляющих государственную тайну.

Определение и категорирование подлежащей защите информации осуществляет организация — заказчик создания и эксплуатации АИС в соответствии с действующим российским законодательством, а также Перечня конфиденциальной документированной информации организации и разрабатываемого или уже разработанного на его основе классификатора конфиденциальной информации системы.

Технологии и процессы автоматизированной обработки защищаемой конфиденциальной информации должны быть обеспечены стандартизованными машинными носителями информации, их накопителями, программно-техническими средствами глобальных и локальных вычислительных сетей и протоколами межведомственного (межсетевого) взаимодействия АИС.

1.2. Основные технические требования к организации защищенного взаимодействия систем МЭД и ВЭД

Организация защищенного взаимодействия систем МЭД и ВЭД позволяет максимально использовать программное и аппаратное обеспечение и возможность поэтапного подключения. Следующие компоненты предназначены для взаимодействия:

- существующие компоненты-система ВЭД и МЭД;

- реализована часть шлюза системы (далее-шлюз), программное обеспечение, которое обеспечивает функции электронной системы связи от ВЭД и для хранения, отображения, поиска и загрузки (загрузки) электронных сообщений. Шлюз состоит из сервера баз данных, интегрированного в локальную информационную и телекоммуникационную сеть, и автоматизированного рабочего места шлюза, на котором используется клиентское программное обеспечение по почтовой службы системы.

Разработанный компонент является адаптером ВЭД, специализированным программным обеспечением, разработанным для каждого типа ВЭД (адаптер системы предназначен для преобразования передаваемых или полученных данных, которые являются частью электронных сообщений, в формат представления данных для системы ВЭД или в стандартный формат данных для электронных сообщений).

Требования к шлюзу. Программно-технические средства шлюза должны обеспечивать выполнение следующих функций:

  • отправку и прием электронных сообщений с использованием клиентского комплекса программ «Почтовая служба»;
  • хранение документов в электронном виде и их реквизитов;
  • поиск хранимых документов в электронном виде по их рек­визитам и просмотр как реквизитов, так и электронных образов документов;
  • возможность выгрузки и загрузки документов и их рекви­зитов в электронном виде с использованием съемного носителя информации;

• обработка ошибок, протоколирование работы и минимальное разграничение доступа к данным и сервисам, предоставляемым шлюзом.

Требования к взаимодействию шлюза и адаптера системы ВЭД. Взаимодействие шлюза и адаптера системы ВЭД должно осуществляться с использованием сертифицированных средств защиты, обеспечивающих возможность обмена электронными сообщениями в автоматизированном режиме. При этом предусматривается размещение на технических средствах шлюза узла электронной почты, обеспечивающего передачу электронных сообщений участникам системы МЭД и между абонентами.

Требования к системе МЭД. Система должна обеспечивать:

• защищенный обмен электронными сообщениями между участниками системы МЭД;

• доставку электронных сообщений адресатам с отсылкой отправителю квитанций о времени их получения;

• целостность электронных сообщений;

• поддержку справочников (лиц, подписывающих документы (код), подразделений (код), адресатов документов (код) и т.д.);

• выгрузку электронных сообщений из комплекса программ «Почтовая служба» для последующей загрузки в систему ВЭД — получателей электронных сообщений;

• загрузку электронных сообщений из системы ВЭД в шлюз для последующей передачи адресатам с использованием комплекса программ «Почтовая служба».

Требования к системе ВЭД. Система должна обеспечивать возможность:

• хранения документов в электронной форме и их реквизитов;

• взаимодействия с адаптером системы ВЭД при отправке и приеме электронных сообщений.

Требования к информационной безопасности при организации взаимодействия системы МЭД с системой ВЭД. При организации взаимодействия указанных систем должна обеспечиваться антивирусная защита. Для защиты конфиденциальной информации должны использоваться сертифицированные по требованиям безопасности информации технические и (или) программные средства защиты информации. Автоматизированные рабочие места шлюза и выделенные персональные ЭВМ с адаптером системы ВЭД должны арестовываться на соответствие требованиям технической защиты конфиденциальной информации. Требования по защите информации и мероприятия по их выполнению, а также конкретные средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности на основании разрабатываемой модели угроз и действий нарушителя.

1.3 Основные меры по защите конфиденциальной информации

Защита информации АИС и самих систем различного уровня и назначения является неотъемлемой составной частью научной, производственной и управленческой деятельности организации — заказчика создания (эксплуатации) автоматизированной системы и осуществляется во взаимосвязи с другими мерами обеспечения защиты информации.

Обеспечение защиты, соответствующей уровню информационной безопасности объекта защиты, содержащего конфиденциальную информацию, должно предусматривать комплекс организационных, программных, технических средств и мер по защите информации ограниченного доступа и распространения.

К основным мерам защиты информации с ограниченным доступом относятся:

  • выделение конфиденциальной информации, средств и систем защиты информации или их компонентов, подлежащих защите на основе ограничительных перечней конфиденциальной документированной информации, разрабатываемых в организации и в ее структурных подразделениях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к категории конфиденциальной;
  • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала, персонала других организаций) к работам, документам и информации с ограниченным доступом;
  • ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) конфиденциальная информация, непосредственно к самим средствам информатизации и коммуникациям;
  • разграничение доступа пользователей и обслуживающего персонала к информации, программным средствам обработки (передачи) и защиты информации;
  • учет документов, информационных массивов, регистрация действий пользователей АИС и обслуживающего персонала, контроль за санкционированным и несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
  • надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену, изменение (модификацию) и уничтожение;
  • необходимое резервирование технических средств и дублирование массивов и носителей информации;
  • использование сертифицированных средств защиты информации при обработке конфиденциальной информации ограниченного доступа;
  • использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
  • проверка эффективности защиты технических средств и систем в реальных условиях их размещения и эксплуатации в целях определения достаточности мер защиты с учетом установленной категории;
  • физическая защита помещений и собственно технических средств АИС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей;
  • криптографическое преобразование информации, обрабатывае­мой и передаваемой средствами вычислительной техники и связи (при необходимости), определяемой особенностями функционирования конкретных автоматизированных систем;
  • исключение возможности визуального (в том числе с исполь­зованием оптических средств наблюдения) несанкционированного просмотра обрабатываемой информации;
  • предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок;
  • использование волоконно-оптических линий связи для передачи конфиденциальной информации;
  • использование защищенных каналов связи.

Смотрите также файлы