Методика защиты информации в системах электронного документооборота (Понятие «электронный документооборот»)

Содержание:

Введение

Автоматизация систем в современное время становится все более популярным явлением. Одной из причин такой популярности данной области является то, что автоматизация систем способствует коренному изменению управленческих процессов, которые играют важнейшую роль в деятельности общества и конкретного человека. Автоматизация процессов, происходящих на предприятии, позволяет решить множество проблем, возникающих вне автоматизации.

Как и многие системы, электронный документооборот и информационные системы подвержены различного рода угрозам информационной безопасности. Чтобы обеспечить безопасность ЭДО и информационных систем необходимо выполнять ряд мероприятий по защите информации. Именно поэтому тема настоящей курсовой работы является актуальной, тем более с развитием информационных систем.

Целью настоящей работы является рассмотрение методики защиты информации в системе электронного документооборота.

Цель настоящей работы потребовала постановки следующих задач:

1. Рассмотрение особенностей конфиденциального электронного документооборота.

2. Рассмотрение основных мер по защите конфиденциальной информации.

3. Рассмотрение основных видов угроз информационной безопасности в организации.

4. Рассмотрение основных требований по разработке системы защиты информации.

5. Рассмотрение стадий и этапов разработки системы защиты информации.

Глава 1. Понятие «электронный документооборот»

1.1 Особенности конфиденциального электронного документооборота

Правительство Российской Федерации утвердило Положение о системе межведомственного электронного документооборота. Федеральная информационная система обеспечивает в автоматизированном режиме защищенный обмен электронными сообщениями, в том числе сообщениями, содержащими информацию, отнесенную к сведениям, составляющим служебную тайну .

Защищенный электронный документооборот, как отмечалось во введении, можно разделить на два вида: внутренний (ВЭД) организации и межведомственный (межсетевой) (МЭД) между организациями различного уровня.

Почтовый обмен электронными сообщениями по защищенным каналам связи при МЭД осуществляется с помощью специального программного обеспечения — комплекс программ «Почтовая служба», предназначенного для организации.

Электронное сообщение состоит из двух частей: сопроводительной, предназначенной для адресации сообщения, и содержательной, представляющей собой текст сообщения либо текст сообщения с присоединенными файлами, содержащими электронную копию (электронный образ) документа или электронный документ, и их реквизиты, описанные с помощью языка XML. Формат файлов, используемых при осуществлении МЭД, должен соответствовать национальным или международным стандартам либо иметь открытый исходный код и открытую структуру.

Язык XML — расширяемый язык гипертекстовой разметки, используемый для создания и размещения документов в среде WWW. Язык позволяет автоматизировать обмен данными, не прибегая к существенному объему программирования .

Стандарт на представление данных — ориентированный, в частности на обмен информацией между независимыми участниками.

Формат XML предполагает структурную, а не оформительскую разметку информации. Поэтому XML-файл легко обрабатывать, загружать в базы данных, а также «накладывать» на него любой дизайн, необходимый для представления данных в удобной потребителю форме. Именно это делает XML форматом, удобным для трансляций.

Следует отметить, что одни и те же данные в рамках формата XML можно представить разными, несовместимыми друг с другом способами. В тех областях, где обмен информацией — частое и устойчивое явление, разработаны XML-форматы представления данных, которым рекомендуется следовать по мере возможности.

Электронный документ — информационный объект, также состоящий из двух частей:

- реквизитной, содержащей идентифицирующие атрибуты (имя, время и место создания, данные об авторе и т.д.) и электронную цифровую подпись;

- содержательной, включающей в себя текстовую, числовую и/или графическую информацию, которая обрабатывается в качестве единого целого .

Технические требования к организации взаимодействия системы межведомственного электронного документооборота с системами электронного документооборота федеральных органов исполнительной власти утверждены распоряжением Правительства Российской Федерации от 2 октября 2009 г. №1403-р. Основные требования к взаимодействию данных систем других организаций (государственных и негосударственных структур) изложены далее в разделе 1.2.

Правилами делопроизводства в федеральных органах исполнительной власти определено, что электронные документы создаются, обрабатываются и хранятся в системе электронного документооборота федерального органа исполнительной власти (в нашем случае ВЭД организации). Правилами установлен перечень обязательных сведений о документах, используемых в целях учета и поиска документов в системах электронного документооборота. В соответствии с данным перечнем обязательным сведением является отметка о конфиденциальности электронного документа.

Для подписания электронных документов используются электронные цифровые подписи.

Электронная цифровая подпись — реквизит электронного документа, который предназначен для его защиты от подделки, получен в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяет идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе .

Средства ЭЦП представляют собой аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:

- создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП;

- подтверждение с использованием открытого ключа ЭЦП подлинности в электронном документе;

- создание закрытых и открытых ключей ЭЦП.

Используемые средства электронной цифровой подписи должны быть сертифицированы.

Сертификат средств ЭЦП — это документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия этих средств установленным требованиям.

При рассмотрении и согласовании электронных документов в системе электронного документооборота могут использоваться способы подтверждения, при которых ЭЦП не используется.

Прием и отправка конфиденциальных электронных документов осуществляются Службой делопроизводства организации. При получении электронных документов Служба делопроизводства осуществляет проверку подлинности ЭЦП.

При передаче поступивших электронных документов на рассмотрение руководству, их направлении в структурные подразделения и ответственным исполнителям, отправке электронных документов для их хранения вместе с электронными документами передаются (хранятся) их регистрационные данные.

Единицей учета электронного документа является электронный документ, зарегистрированный в системе ВЭД организации.

Электронный документ — документ, в котором информация представлена в электронно-цифровой форме .

Исполненные электронные документы систематизируются в дела в соответствии с номенклатурой дел организации. При составлении номенклатуры дел указывается, что дело ведется в электронном виде.

Электронные документы после их исполнения подлежат хранению в установленном порядке в организации в течение сроков, предусмотренных для аналогичных документов на бумажном носителе.

По истечении срока, установленного для хранения электронных дел (электронных документов), на основании акта о выделении их к уничтожению, утверждаемого руководителем организации, указанные электронные дела (электронные документы) подлежат уничтожению.

Защите подчиняется информация, различной структуры и обрабатывается компьютерной техникой, в виде информационных электрических сигналов, физических полей, сред на бумажной, магнитной, магнитной и другой основе.

В нашем случае автоматизированная информационная система и информация, в том числе конфиденциальная, циркулирующая в системе, рассматривается как конфиденциальный электронный документооборот.

Информационная безопасность-защита конфиденциальности, целостности и доступности информации .

Защита данных: гарантия доступа к информации только для авторизованных пользователей.

Целостность информации-обеспечение точности и полноты информации и методов обработки.

Доступность информации: обеспечивает доступ к информации и связанным с ней активам уполномоченных пользователей по мере необходимости.

Информационная безопасность при реализации МЭД и ВЭД обеспечивается комплексом технических и организационных мероприятий.

Технические мероприятия включают:

- Организация и использование средств защиты информации в полном объеме ее функциональности;

- Обеспечение целостности обрабатываемых данных;

- Предоставление информации о защите от вирусов.

Организационные мероприятия включают:

- Контроль за соблюдением требований нормативных документов, обеспечивающих защиту информации;

- Определение должностных лиц участников и организатора МЭД, ответственных за обеспечение информационной безопасности;

- указать порядок резервного копирования, восстановления и архивирования баз данных, расположенных на основном узле, и порядок обновления антивирусных баз;

- Установление порядка допуска для проведения ремонтно-восстановительных работ программно-технических средств;

- Организация Режимной деятельности по отношению к помещениям, в которых расположены узлы участников ВЭД и МЭД, и техническим средствам этого узла.

Среди технических ресурсов участника, серверные и коммуникационные устройства, средства защиты информации, автоматизированные рабочие места (АРМ) и передаются от оператора ЭД участнику бесплатно во временное пользование.

Передача происходит посредством акта записи-передачи технических средств. Технические средства должны находиться в помещениях, гарантирующих их безопасность и конфиденциальность передаваемой и получаемой информации.

В случае необходимости размещения дополнительных технических средств и (или) их передачи в другое помещение, финансирование выполнения комплекса работ по передаче объектов линий связи, приобретение оборудования и программного обеспечения, а также проведение и проведение специальных работ происходит за счет средств участника. Работа по обеспечению конфиденциальности и безопасности предоставляется поставщиком услуг, который имеет соответствующую лицензию. Спецификация на приобретенное оборудование, программное обеспечение и материалы, а также Техническое задание на выполнение специальных работ будут совпадать с организатором МЭД.

Создание технических средств и ресурсов, а также установка специального программного обеспечения руководств оператора ЭД. Финансирование приобретения расходных материалов (сменные носители, картриджи, принтеры и т. д.) осуществляется участниками ЭД.

Основные функции ВЭД узлов членства:

- Защищать обрабатываемую, хранимую и передаваемую информацию от несанкционированного доступа и искажений до ее передачи по защищенному каналу связи;

- Отправка электронной почты с головного узла, автоматизированных информационных систем, получателей ВЭД или, другими словами, их автоматизированных информационных систем;

- отправка электронной почты от автоматизированных систем к хозяину ВЭД;

- сохранение электронной почты перед передачей на главный узел ВЭД или в автоматизированную информационную систему целевой группы.

Электронная связь осуществляется при эквивалентной мощности дозы, утвержденной сотрудниками. Отправитель электронного письма, электронная копия документа, несет ответственность за содержание электронных копий содержимого оригинала документа в бумажном виде.

Регистрация (учет) электронных сообщений в автоматизированной информационной системе сайта участника происходит в соответствии с инструкциями по эксплуатации данного участника.

Автоматизированная информационная система внутреннего электронного документооборота, Участник должен производить подготовку сообщений в ходе проведения экспертизы электронных писем этим участникам.

Требования к защите информации и мероприятия для их выполнения, а также специальные защитные меры должны, в зависимости от выбранного класса защиты на основе разработанной модели угроз и действий нарушителя и заданное.

Защита информации, циркулирующей в автоматизированной информационной системе организации, или, иными словами, внутреннего электронного документооборота, осуществляется в соответствии с российским законодательством и требованиями нормативно-технических документов в сфере защиты информации.

Основными задачами обеспечения защиты информации, цирку­лирующей в автоматизированных информационных системах, и самих систем на уровне единой информационной среды организации являются:

• формирование технической политики организации в области защиты информационно-коммуникационных технологий;
• координация деятельности структурных подразделений организации в сфере защиты информации и автоматизированных информационных систем, а также оценка эффективности принимаемых мер;
• взаимодействие с уполномоченными федеральными и региональными государственными органами в области защиты информации (ФСО России, ФСТЭК России, ФСБ России);
• организация исследований и анализа состояния защиты инфор­мации организации;
• организация учета конфиденциальной информации, циркули­рующей в автоматизированных информационных системах, самих систем и других носителей;
• организация мониторинга и контроля эффективности защиты информации, циркулирующей в АИС, и самих систем;
• аттестация АИС на соответствие требованиям защиты информации, предусматривающей комплексную проверку (аттестационные испытания) в реальных условиях эксплуатации в целях оценки соответствия используемого комплекса мер и средств защиты требуемому уровню;
• планирование работ по созданию и совершенствованию систем защиты информации на конкретных объектах;
• управление защитой информации на конкретных объектах;
• анализ и прогнозирование потенциальных угроз для конкретных объектов;
• оценка возможного ущерба от реализации угроз;
• контроль эффективности принимаемых защитных мер и разбор случаев нарушения.

Для обеспечения информационной безопасности в организации создается служба (подразделение) информационной безопасности или отдельные должности штатного расписания организации, укомплектованные специалистами, ответственными за обеспечение информационной безопасности.

Подразделение информационной безопасности может подчиняться непосредственно Службе безопасности организации или входить в состав подразделения информационных технологий.

Варианты могут быть различными в зависимости наличия в организации Службы безопасности или Службы информационных технологий. Но в любом случае подразделение информационной безопасности должно быть предусмотрено штатным расписанием в целях обеспечения системы защиты электронного документооборота.

Специалисты подразделения информационной безопасности должны иметь необходимую квалификацию в области защиты информации и проходить периодическую переподготовку (повышение квалификации) в соответствии с программами послевузовского профессионального образования. Квалификационные характеристики главного специалиста по защите информации предусмотрены Квалификационным справочником должностей руководителей, специалистов и других служащих.

Для проведения работ по созданию и эксплуатации системы защиты электронного документооборота могут привлекаться специализированные организации (предприятия), имеющие лицензии и сертификаты на право проведения работ в области защиты информации.

Сертификация средств защиты информации регулируется Постановлением Правительства Российской Федерации от 12.02.1994 № 100 «Об организации работ по стандартизации, обеспечению единства измерений, сертификации продукции и услуг» и Постановлением Правительства Российской Федерации от 25.06.95 г. № 608 «О сертификации средств защиты информации».

Федеральным законом от 8 августа 2001 г. № 128-ФЗ «О лицен­зировании отдельных видов деятельности», ст. 17, п. 1, п.п. 5 — 13 определен перечень видов деятельности в области защиты информации, на осуществление которых требуются лицензии:

• деятельность по распространению шифровальных (криптографических) средств ;
• деятельность по техническому обслуживанию шифровальных (криптографических) средств ;
• предоставление услуг в области шифрования информации ;
• разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем ;
• деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) ;
• деятельность по разработке и (или) производству средств защиты конфиденциальной информации ;
• деятельность по технической защите конфиденциальной информации ;
• разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность ;
• деятельность по изготовлению защищенной от подделок полиграфической продукции, в том числе бланков ценных бумаг, а также торговля указанной продукцией .

Подразделение информационной безопасности осуществляет свою деятельность в соответствии с разрабатываемым Положением о подразделении и выполняет основные задачи и функции по обеспечению защиты информации.

Защита информации при ее автоматизированной обработке производится на этапе эксплуатации автоматизированных информационных систем. При выполнении работ по защите информации следует учитывать организационные меры, обусловленные необходимостью проведения технического обслуживания, устранения неисправностей, обновления программного обеспечения и других мероприятий, задаваемых в соответствии с технологиями проведения эксплуатации систем защиты информации в АИС.

Организация и выполнение подготовительных работ по автоматизированной обработке конфиденциальной информации должны проводиться с учетом требований технологий разработки систем защиты информации.

Объектами защиты при этом являются: открытая, общедоступная информация и информация ограниченного доступа — это конфиденциальная информация, составляющая секрет производства, служебный секрет производства, служебную, коммерческую, профессиональную тайну, персональные данные и иные сведения, установленные российским законодательством, за исключением сведений, составляющих государственную тайну.

Определение и категорирование подлежащей защите информации осуществляет организация — заказчик создания и эксплуатации АИС в соответствии с действующим российским законодательством, а также Перечня конфиденциальной документированной информации организации и разрабатываемого или уже разработанного на его основе классификатора конфиденциальной информации системы.

Технологии и процессы автоматизированной обработки защищаемой конфиденциальной информации должны быть обеспечены стандартизованными машинными носителями информации, их накопителями, программно-техническими средствами глобальных и локальных вычислительных сетей и протоколами межведомственного (межсетевого) взаимодействия АИС.

1.2. Основные технические требования к организации защищенного взаимодействия систем МЭД и ВЭД

Организация защищенного взаимодействия систем МЭД и ВЭД позволяет максимально использовать программное и аппаратное обеспечение и возможность поэтапного подключения. Следующие компоненты предназначены для взаимодействия:

- существующие компоненты-система ВЭД и МЭД;

- реализована часть шлюза системы (далее-шлюз), программное обеспечение, которое обеспечивает функции электронной системы связи от ВЭД и для хранения, отображения, поиска и загрузки (загрузки) электронных сообщений. Шлюз состоит из сервера баз данных, интегрированного в локальную информационную и телекоммуникационную сеть, и автоматизированного рабочего места шлюза, на котором используется клиентское программное обеспечение по почтовой службы системы.

Разработанный компонент является адаптером ВЭД, специализированным программным обеспечением, разработанным для каждого типа ВЭД (адаптер системы предназначен для преобразования передаваемых или полученных данных, которые являются частью электронных сообщений, в формат представления данных для системы ВЭД или в стандартный формат данных для электронных сообщений).

Требования к шлюзу. Программно-технические средства шлюза должны обеспечивать выполнение следующих функций:

• отправку и прием электронных сообщений с использованием клиентского комплекса программ «Почтовая служба»;
• хранение документов в электронном виде и их реквизитов;
• поиск хранимых документов в электронном виде по их рек­визитам и просмотр как реквизитов, так и электронных образов документов;
• возможность выгрузки и загрузки документов и их рекви­зитов в электронном виде с использованием съемного носителя информации;

• обработка ошибок, протоколирование работы и минимальное разграничение доступа к данным и сервисам, предоставляемым шлюзом.

Требования к взаимодействию шлюза и адаптера системы ВЭД. Взаимодействие шлюза и адаптера системы ВЭД должно осуществляться с использованием сертифицированных средств защиты, обеспечивающих возможность обмена электронными сообщениями в автоматизированном режиме. При этом предусматривается размещение на технических средствах шлюза узла электронной почты, обеспечивающего передачу электронных сообщений участникам системы МЭД и между абонентами.

Требования к системе МЭД. Система должна обеспечивать:

• защищенный обмен электронными сообщениями между участниками системы МЭД;

• доставку электронных сообщений адресатам с отсылкой отправителю квитанций о времени их получения;

• целостность электронных сообщений;

• поддержку справочников (лиц, подписывающих документы (код), подразделений (код), адресатов документов (код) и т.д.);

• выгрузку электронных сообщений из комплекса программ «Почтовая служба» для последующей загрузки в систему ВЭД — получателей электронных сообщений;

• загрузку электронных сообщений из системы ВЭД в шлюз для последующей передачи адресатам с использованием комплекса программ «Почтовая служба».

Требования к системе ВЭД. Система должна обеспечивать возможность:

• хранения документов в электронной форме и их реквизитов;

• взаимодействия с адаптером системы ВЭД при отправке и приеме электронных сообщений.

Требования к информационной безопасности при организации взаимодействия системы МЭД с системой ВЭД. При организации взаимодействия указанных систем должна обеспечиваться антивирусная защита. Для защиты конфиденциальной информации должны использоваться сертифицированные по требованиям безопасности информации технические и (или) программные средства защиты информации. Автоматизированные рабочие места шлюза и выделенные персональные ЭВМ с адаптером системы ВЭД должны арестовываться на соответствие требованиям технической защиты конфиденциальной информации. Требования по защите информации и мероприятия по их выполнению, а также конкретные средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности на основании разрабатываемой модели угроз и действий нарушителя.

1.3 Основные меры по защите конфиденциальной информации

Защита информации АИС и самих систем различного уровня и назначения является неотъемлемой составной частью научной, производственной и управленческой деятельности организации — заказчика создания (эксплуатации) автоматизированной системы и осуществляется во взаимосвязи с другими мерами обеспечения защиты информации.

Обеспечение защиты, соответствующей уровню информационной безопасности объекта защиты, содержащего конфиденциальную информацию, должно предусматривать комплекс организационных, программных, технических средств и мер по защите информации ограниченного доступа и распространения.

К основным мерам защиты информации с ограниченным доступом относятся:

• выделение конфиденциальной информации, средств и систем защиты информации или их компонентов, подлежащих защите на основе ограничительных перечней конфиденциальной документированной информации, разрабатываемых в организации и в ее структурных подразделениях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к категории конфиденциальной;
• реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала, персонала других организаций) к работам, документам и информации с ограниченным доступом;
• ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) конфиденциальная информация, непосредственно к самим средствам информатизации и коммуникациям;
• разграничение доступа пользователей и обслуживающего персонала к информации, программным средствам обработки (передачи) и защиты информации;
• учет документов, информационных массивов, регистрация действий пользователей АИС и обслуживающего персонала, контроль за санкционированным и несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
• надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену, изменение (модификацию) и уничтожение;
• необходимое резервирование технических средств и дублирование массивов и носителей информации;
• использование сертифицированных средств защиты информации при обработке конфиденциальной информации ограниченного доступа;
• использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
• проверка эффективности защиты технических средств и систем в реальных условиях их размещения и эксплуатации в целях определения достаточности мер защиты с учетом установленной категории;
• физическая защита помещений и собственно технических средств АИС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей;
• криптографическое преобразование информации, обрабатывае­мой и передаваемой средствами вычислительной техники и связи (при необходимости), определяемой особенностями функционирования конкретных автоматизированных систем;
• исключение возможности визуального (в том числе с исполь­зованием оптических средств наблюдения) несанкционированного просмотра обрабатываемой информации;
• предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок;
• использование волоконно-оптических линий связи для передачи конфиденциальной информации;
• использование защищенных каналов связи.

В целях дифференцированного подхода к защите информации, осуществляемого для разработки и применения необходимых и достаточных средств защиты информации, а также обоснованных мер по достижению требуемого уровня информационной безопасности, проводится классификация автоматизированных систем, обрабатывающих конфиденциальную информацию, либо разрабатываются профили защиты в соответствии с ГОСТ Р ИСО/МЭК 15408-1—2002.

Профиль защиты — это не зависящая от реализации совокупность требований безопасности для некоторой категории объекта оценки, отвечающая специфическим запросам потребителя.

Классификации подлежат все действующие, но ранее не классифицированные, а также разрабатываемые АИС, предназначенные для обработки информации с ограниченным доступом. Если система, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, то образующаяся при этом АИС более высокого уровня классифицируется в целом, а в отношении системы нижнего уровня классификация не производится.

Если объединяются автоматизированные системы различных классов защищенности, то интегрированная АИС должна классифицироваться по высшему классу защищенности входящих в нее систем, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся автоматизированных систем может сохранять свой класс защищенности. Межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АИС и (или) выходящей из системы, и обеспечивающее ее защиту посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) системы .

В соответствии с требованиями руководящих документов ФСТЭК России, конфиденциальная информация автоматизированной системы является объектом защиты. Определение объектов защиты проводится на предпроектной стадии, на этапах проектирования и приемо-сдаточных испытаний системы, а также в ходе инвентаризации и доработок, аттестационных испытаний и других контрольных мероприятий, проводимых в процессе эксплуатации АИС.

Категории конфиденциальной информации как объекта защи­ты устанавливаются до начала ее автоматизированной обработки, с использованием документально оформленного Перечня конфиденциальной документированной информации (КДИ) организации, за исключением государственной тайны, подле­жащей защите в соответствии с законодательством Российской Федерации. Этот Перечень может носить обобщающий харак­тер в области деятельности организации или иметь отношение к какому-либо отдельному направлению работ, связанному с созданием АИС. Все исполнители и, при необходимости, представи­тели сторонних организаций, привлекаемых к проведению работ с использованием сведений конфиденциального характера, должны быть ознакомлены с этим Перечнем. При отсутствии в организации Перечня КДИ допускается разработка специализированного переч­ня для конкретной АИС организации или системы структурного подразделения.

Для идентификации и кодирования конфиденциальной инфор­мации при ее структурировании, автоматизированной обработке, в том числе в системах управления базами данных (СУБД), преду­смотрен Классификатор конфиденциальной информации органи­зации.

Каждый реквизит таблицы базы данных, предназначенной для хранения конфиденциальной информации, должен иметь уникаль­ный идентификатор.

В процессе автоматизированной обработки по завершении оче­редного установленного календарного периода (не менее года) экс­плуатации организация (заказчик) организует определение теку­щего уровня защиты в целях контроля его соответствия требуемому уровню.

В организации разрабатываются документы (трудовые догово­ры, контракты, соглашения), регулирующие отношения между ор­ганизацией — работодателем и ее работниками, организацией со сторонними организациями по порядку обращения с конфиден­циальной информацией и ее обмена. Должностным лицам и работникам организации, использующим сведения конфиденциального характера, в организации обеспечи­ваются необходимые условия для соблюдения установленного по­рядка обращения с такой информацией при ее автоматизированной обработке.

Организация эксплуатации АИС и системы защиты информации в ее составе осуществляется в соответствии с установленным в орга­низации порядком, в том числе в соответствии с инструкциями по эксплуатации системы защиты информации для пользователя, опе­ратора, администратора системы, администратора безопасности.

Порядок обеспечения защиты информации в процессе эксплуа­тации, учитывающий особенности реализации АИС, технологии обработки информации и доступа исполнителей к ее техническим средствам, накопителям и носителям информации, определяется Инструкцией по защите информации организации, составленной на основании действующих документов ФСТЭК России, других стан­дартов и нормативных документов.

Ответственность за обеспечение защиты информации в процессе эксплуатации АИС возлагается на руководство эксплуатирующей организации и Службу безопасности или информационной безопас­ности. Подразделение информационной безопасности также может входить, как уже говорилось, в состав подразделения по информаци­онным технологиям организации. Ответственность за соблюдение установленных требований по защите информации при разработке АИС возлагается на непосредственных исполнителей.

1.4 Основные виды угроз информационной безопасности организации

Явление, действие или процесс, результатом которых могут быть утечка, хищение, утрата, искажение, подделка, уничтожение, модификация, блокирование информации, определяются как факторы, воздействующие на информацию. Существуют факторы объективные и субъективные, воздействующие на информацию, которые, в свою очередь, делятся на внутренние и внешние и которые определяются перечнями в соответствии с ГОСТ Р 51275 - 99 .

Основными видами угроз информационной безопасности организации являются: противоправные действия третьих лиц, ошибочные действия пользователей и обслуживающего персонала, отказы и сбои программных средств, вредоносные программные воздействия на средства вычислительной техники и информацию.

Кроме действий человека (умышленные, ошибочные или случайные) источниками угроз информационной безопасности являются сбои и отказы программных и технических средств вычислительной техники, техногенные катастрофы, акты терроризма, стихийные бедствия и др.

Понятие «утечка» связано только с информацией ограниченного доступа (конфиденциальной) и в общем случае трактуется как выход ее из сферы обращения. Под утечкой понимается несанкционированный доступ (НСД) к информации, т. е. доступ в нарушение правил разграничения доступа к информации, которые устанавливает обладатель конфиденциальной информации или автоматизированной информационной системы, в которой эта информация циркулирует. При этом рассматривается только доступ к информации посредством применяемых в автоматизированных системах информационных технологий и непосредственный доступ к носителям информации.

В отличие от утечки информации блокирование, модификация, искажение и уничтожение объекта защиты могут произойти как вследствие несанкционированного доступа человека к информации, циркулирующей в АИС, так и по причинам, не зависящим от человека. При этом искажение и уничтожение объекта защиты, например изменение или замена программ управления вычислительным процессом, также могут привести к утечке информации.

НСД не всегда влечет за собой утечку, блокирование, искажение или уничтожение объекта защиты, что, в свою очередь, не всегда приводит к значимому ущербу. Тем не менее НСД к информации определяется как основополагающий фактор нарушения информационной безопасности при рассмотрении проблем обеспечения защиты информации и противодействия угрозам.

Угроза информационной безопасности может быть обусловлена только наличием уязвимостей объекта защиты.

Уязвимость — это свойство автоматизированной информационной системы или ее компонентов, используя которое реализуются угрозы.

Уязвимость возникает в основном, из-за недоработок или ошибок, содержащихся в продуктах информационных технологий, а также вследствие ошибок при проектировании автоматизированных информационных систем, которые могут привести к поведению, неадекватному целям обеспечения ее безопасности.

Кроме того, уязвимости могут появляться в результате неправильной эксплуатации системы.

Для конкретной АИС как объекта защиты характерна своя со­вокупность угроз, зависящая от условий, в которых создается или функционирует система.

Глава 2. Организация работ при создании системы защиты электронного документооборота

2.1 Основные требования по разработке системы защиты информации

Организация заказчика автоматизированной информационной системы должна на основании ряда руководящих принципов принять ряд мер по защите конфиденциальной информации соответствующей категории, основанных на необходимом уровне информационной безопасности объекта охраны, на этапе создания автоматизированной системы.

Развитие системы АИС и информационной безопасности в ее составе может осуществляться самой организацией, а также специализированными предприятиями, имеющими лицензию на соответствующую деятельность в сфере информационной безопасности.

Организация работы по защите информации назначена руководителю организации, руководителю подразделений, разрабатывающих и эксплуатирующих АИС, информационным службам (information seсurity units) и контролю за защитой информации — руководителю службы безопасности, если она за это отвечает.

Если разработка системы информационной безопасности или ее отдельных компонентов осуществляется специализированным предприятием в организации заказчика, то определяются отделы (или отдельные специалисты), отвечающие за осуществление (внедрение и эксплуатацию) мер информационной безопасности.

Разработка и внедрение системы информационной безопасности должны осуществляться разработчиком совместно со службой безопасности организации и бюро информационных технологий (information seсurity), который участвует в разработке методических руководящих принципов и конкретных требований по защите информации, аналитическое обоснование создания системы информационной безопасности, в подборе компьютерного оборудования и коммуникаций, в охране, в работе организации, распространение и нарушение целостности охраняемой информации для выявления и предотвращения, координации технических характеристик для работы, а также в сертификации АИС.

2.2. Стадии и этапы разработки системы защиты конфиденциальной информации

Автоматизированные информационные системы, обеспечивающие защиту информации от ограниченного распространения, могут быть созданы в одном из трех типов сценариев:

- первый-текущий АИС, предназначенный для обработки открытой информации, добавляет функцию защиты, которая позволяет обеспечить обработку информации ограниченного распространения;

- второй-АИС создается, так сказать, "с нуля", где вместе с прикладной системой обработки на стадии разработки соединяется система защиты;

- третий-реализован модельный проект.

Конечно, последний сценарий прост в реализации, и в рамках настоящей курсовой реализован не будет. Более сложным является второй сценарий, который обеспечивает ряд и стыковочное приложение, с одной стороны, и системы защиты с базовыми операционными системами и базами данных — с другой стороны.

Опыт создания АИС с защитой информации показывает следующее.

Самые безопасные АИС являются те, которые не работают, т. е. не реализуют функции приложений.

Наиболее опасными являются АИС, которые позволяют пользователю использовать любое действие и любое программное обеспечение.

Здесь показаны два полюса противоречий: полная безопасность и полная свобода действий пользователя. Конечно, существует возможность АИС, при которой баланс между безопасностью и применением достаточного количества прикладного программного обеспечения, отвечающего требованиям безопасности обработки информации, соблюдается.

Поиск АИС, чтобы компенсировать эти противоречия, является основой диалектической составляющей процесса построения информационно-защищенных систем. Как правило, поиск баланса осуществляется на основе компромисса между ограничениями функциональности программного обеспечения и передачей частей функций безопасности технических реализаций в организационные действия. Несмотря на определенную сложность второго скрипта построения защищенной АИС, стоимость его реализации значительно ниже, чем создание защищенной АИС по первому сценарию.

В последнем случае, как правило, требуется обработка или обработка существующих программ, а также создание новой информационной безопасности.

Как во втором, так и в третьем сценарии создания защищенных АИС можно выделить следующие этапы и этапы разработки. Разница будет заключаться в сложности, а потому, и в стоимости реализации ступеней.

Существуют следующие шаги для создания системы защиты AIS и распространения в ней конфиденциальной информации или, другими словами, для создания электронного конфиденциального документа:

- предварительный проект, включающий предварительное расследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технической задачи на ее разработке;

- проектирование (разработка проекта) и внедрение АИС, в том числе разработка системы защиты информации в ее составе;

- защита информации, включая опытную эксплуатацию и утверждение тестов на защиту информации, а также сертификацию AIS для соответствия требованиям информационной безопасности.

Предварительная экспертиза может быть назначена специализированному предприятию с соответствующей лицензией, но и в этом случае анализ информационной защиты в части структуры и структуры конфиденциальной информации целесообразно проводить представителям организации-заказчика с методической помощью специализированного предприятия. На этой стадии разрабатываются аналитическое обоснование и техническая задача на создание системы или частная техническая задача на подсистеме информационной безопасности АИС.

На этапе предварительного проекта определяется объект, для которого создается АИС:

- угрозы информационной безопасности-факторы, влияющие на конфиденциальную информацию;

- Модель вероятного скрипача в отношении определенных функциональных условий AИС;

- необходимость обработки конфиденциальной информации в АИС, объем, тип и условия оцениваются;

- Конфигурация и топология АИС в целом и ее отдельных компонентов, а также физические, функциональные и технологические связи как внутри разработанной системы, так и с другими АИС;

- технические средства и системы для использования в разработанных АИС, условиях их расположения, общесистемных и применимых программного обеспечения, которые доступны на рынке и предлагаются для разработки;

- Способы обработки конфиденциальной информации в АИС;

- Данные AИС и компоненты, которые являются важными и должны быть дублированы.;

- Класс защиты AИС;

- степень участия сотрудников в обработке (передаче, хранении) конфиденциальной информации, характер их взаимодействия между собой и с информационной службой (информационная безопасность), а также службой безопасности организации;

- Меры по защите информации в процессе разработки системы.

На основе результатов предварительного проекта сбора, аналитическое обоснование необходимости создания системы защиты конфиденциальной информации, которая должна содержать:

- информационные характеристики создаваемой АИС и организационной структуры, для которых создается система;

- Особенности комплекса технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

- Список угроз информационной безопасности и мер по их предотвращению;

- перечень предлагаемых сертифицированных средств защиты или обоснование их развития (адаптация к конкретным условиям работы АИС);

- Обоснование необходимости включения специализированных предприятий в разработку системы защиты информации;

- Оценка материальных, трудовых и финансовых затрат на разработку и реализацию информационной системы безопасности;

- Приблизительные условия для развития и внедрения информационной системы безопасности;

- Перечень мер по обеспечению конфиденциальности информации при создании АИС.

Аналитическое обоснование подписывается руководителем предварительного проекта опроса, с разработчиком АИС, руководителем информационных технологий (информационной безопасности) и службой безопасности организации заказчика, а затем утверждается руководителем организации.

Результаты предварительного проекта опроса о доступности конфиденциальной информации должны основываться на задокументированном списке конфиденциальной документированной информации. Конфиденциальность первой информации, подлежащей автоматической обработке, а также информации о расходах, полученной в результате обработки, определяется и документируется клиентской организацией АИС на основе перечня конфиденциальной информации, подписывается руководителем организации, передается разработчику системы информационной безопасности.

Для определения конфиденциальности промежуточной информации, которая находится в обращении (обработана, хранится и передана) АИС, а также для оценки адекватности предлагаемых средств и мер по защите информации, экспертная комиссия формируется по распоряжению организации, в состав которого входят представители клиентской организации и компании — застройщика АИС.

Специализированная комиссия может выполнять свою работу в несколько этапов с учетом аналитического обоснования, технических характеристик, проектной и эксплуатационной документации, а также конфиденциальности обрабатываемой информации, включая устройства хранения, носители и массивы информации, предложенные организацией-клиентом и разработчиком AИС. Достоверность и достоверность времени хранения и распространения носителей и носителей информации, полнота предлагаемых средств защиты должна соответствовать перечню конфиденциальной документированной информации и реестру конфиденциальной информации и АИС.

Результатом работы экспертной комиссии является решение, которое утверждается руководителем организации, в которой она создана.

На этапе ввода АИС и системы защиты информации осуществляется ее состав:

- опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами для проверки их работы в АИС и процесса обработки (передачи) информации;

- Утверждение испытаний по защите информации по результатам опытной эксплуатации с завершением транспортировки, подписанных разработчиком и заказчиком;

- АИС-сертификация на соответствие требованиям безопасности информации.

На данном этапе:

- Мероприятия по внедрению средств защиты информации по результатам их приемочных испытаний;

- Закон ТОД о проведении квалификационных испытаний;

- Заключение по результатам сертификационных испытаний;

- Сертификат соответствия.

АИС эксплуатируется на основании утвержденной организационной и эксплуатационной документации.

Состояние и эффективность защиты информации контролируется информационной службой, службой безопасности организации-заказчиками, отраслевыми и федеральными органами власти в контроле.

Результаты контроля дают оценку выполнения требований нормативных документов, обоснованности принятых мер и контроля за соблюдением стандартов защиты конфиденциальной информации.

Заключение

Таким образом, все перечисленные выше факты еще раз указывают на необходимость применения в системах информационной безопасности сетей систем контроля содержимого СЭС, или, иными словами, системы электронной почты, которые способны не только обеспечить защиту системы электронных сообщений и стать эффективным элементом управления информационным потоком, но и значительно повысить эффективность деятельности организации.

В ходе выполнения работы поставленная цель была выполнена. Поставленные задачи были решены.

Список использованной литературы

1. Алексеенко В.Н., Древс Ю.Г. Основы построения систем защиты производственных предприятий и банков / В.Н. Алексеенко, Ю.Г. Древс. - М.: МИФИ, 1996.

2. Алексенцев А.И. Конфиденциальное делопроизводство / А.И. Алексенцев. - М.: Бизнес-школа «Интел-Синтез», 2001.

3. Бачило И.Л. Информационное право: учебник для вузов / И.Л. Бачило. - М.: Высшее образование, Юрайт, 2009.

4. Бачило И.Л., Семилетов С.И. Комментарий к Федеральному закону от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи» // Справочная правовая система «Консультант Плюс».

5. Белопушкин В.И., Кириллычев А.Н. Правовые аспекты обеспечения информационной безопасности / В.И. Белопушкин, А.Н. Кириллычев. - М.: Изд-во МГТУ, 2003.

6. Гиляревский Р. С. Рубрикатор как инструмент информационной навигации / Р.С. Гиляревский, А.В. Шапкин, В.Н. Белозеров. - СПб.: Профессия, 2008.

7. Глушков В.М. Основы безбумажной информатики. - 2-е изд. испр. - М.: Наука, 1987.

8. Говорухин О.Э. Правовые основы информационной безопасности и системы защиты информации коммерческого банка // Документация в информационном обществе: законодательство и стандарт: докл. и сообщ. на XXII Междунар. науч.-практ. конф., 22-23 ноября 2005 г. / Росархив. ВНИИДАД. М., 2006.

9. Говорухин О.Э. Служебная тайна // Служба кадров и персонал. - М.: ВНИИДАТ, 2006. № 4.

10. Говорухин О. Э. Когда персональные данные - коммерческая тайна // Служба кадров и персонал. 2006. № 7.

11. Говорухин О.Э. Служебная и профессиональная тайна // Делопроизводство. 2006. № 3.

12. Говорухин О.Э. Наименования ведомств: полное и сокращенное // Служба кадров и персонал. 2006. № 10.

13. Говорухин О.Э. Персональные данные: сбор, обработка, защита // Служба кадров и персонал. 2007. № 2.

14. Говорухин О.Э. Что такое служебная тайна? // Служба кадров и персонал. 2008. № 5.