Защита электронного документооборота реферат

Обновлено: 07.07.2024

Актуальность темы В настоящее время электронные документы находят все большее применение во всех сферах общественной деятельности. Работа с такими документами рационализируется с помощью использования особого класса информационных технологий – систем электронного документооборота, которые позволяют обеспечивать управление документацией на всех стадиях жизненного цикла документа.
Существуют различные системы электронного документооборота, и число их постоянно увеличивается. С их помощью повышается эффективность управления, на базе технологий электронного документооборота решаются задачи межведомственного взаимодействия и взаимодействия с гражданами.
Системы электронного документооборота различаются функциями, стоимостью, технологическими и нефункциональными характеристиками. И одно из важнейших требований к СЭД – организация надлежащей защиты документов и информации.
Актуальность темы обусловлена тем, что в последние несколько лет существенно возрос практический интерес к защищенному электронному документообороту. Внедрение системы электронного документооборота позволяет приобрести огромную гибкость в обработке и хранении информации, ускоряет процесс подготовки документов. В то же время, СЭД порождает новые риски, и пренебрежения защитой обязательно приведет к новым угрозам конфиденциальности.
Объектом исследования является система защищенного электронного документооборота.
Предметом исследования выступает анализ системы защиты документов в СЭД Центрального таможенного управления г. Москвы.
Цель работы: выявить требования к СЭД с точки зрения обеспечения защиты информации.
Достижение поставленной цели предполагает решение следующих задач:
1. Изучить сущность электронного документооборота.
2. Рассмотреть понятие и преимущества систем электронного документооборота.
3. Рассмотреть проблемы защиты систем электронного документооборота.
4. Провести анализ системы защиты электронного документооборота в Центральном таможенном управлении.
В работе использовались общенаучные и специальные методы исследования: анализ, сравнение, опроса и наблюдения, графический метод.

Нет нужной работы в каталоге?


Сделайте индивидуальный заказ на нашем сервисе. Там эксперты помогают с учебой без посредников Разместите задание – сайт бесплатно отправит его исполнителя, и они предложат цены.

Цены ниже, чем в агентствах и у конкурентов

Вы работаете с экспертами напрямую. Поэтому стоимость работ приятно вас удивит

Бесплатные доработки и консультации

Исполнитель внесет нужные правки в работу по вашему требованию без доплат. Корректировки в максимально короткие сроки

Если работа вас не устроит – мы вернем 100% суммы заказа

Техподдержка 7 дней в неделю

Наши менеджеры всегда на связи и оперативно решат любую проблему

Строгий отбор экспертов

computer

Требуются доработки?
Они включены в стоимость работы


Работы выполняют эксперты в своём деле. Они ценят свою репутацию, поэтому результат выполненной работы гарантирован

Оглавление

Введение 3
1. Теоретические основы построения документооборота 5
1.1. Краткая теоретическая справка о документообороте 5
1.2. Информационная безопасность электронного документооборота 8
1.3. Взаимоотношение ДОУ и ИТ 10
2. Методические основы построения и организации защищенного документооборота 12
2.1. Организация документооборота 12
2.2. Организация конфиденциального делопроизводства 13
2.3. Принципы защиты конфиденциального документооборота 16
2.4. Уничтожение документов с истекшими сроками хранения 17
2.5. Разрешительная система доступа к конфиденциальным документам 18
Заключение 20
Список использованной литературы 21

Файлы: 1 файл

готовая.doc

Содержание

Введение

На сегодняшний день одной из важнейших проблем, стоящих как в государственных, так и в негосударственных структурах, является проблема построения защищенного документооборота.

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации.

Проблема защиты информационных ресурсов организации гораздо более сложная и многоплановая чем может показаться на первый взгляд, и для её успешного решения необходимо использовать не только силы и средства, имеющиеся в распоряжении службы информационных технологий, но и возможности и опыт, накопленный другими службами организации. С моей точки зрения на каждом предприятии должны защищаться все информационные ресурсы организации, в этой работе должны участвовать все сотрудники организации, и для достижения требуемого уровня безопасности должны активно применяться кадровая политика, разнообразные организационные меры, обучение и переподготовка персонала и т.п.

Сейчас в организациях вопросами управления и защиты информации занимается целый ряд служб. Служба информационных технологий (ИТ) традиционно обеспечивает работоспособность, защиту электронных систем от несанкционированного доступа, в то время как служба Документационного обеспечения управления (ДОУ) - работает в основном с бумажными документами. Правда, в последние 10 лет, большинство крупных предприятий в г. Ижевске пытаются перейти на безбумажный документооборот, что получается пока далеко не у всех предприятий. Кроме того, есть ещё юридический отдел, отдел информационной безопасности. Различная подчинённость и статус этих служб, незнакомство с методами работы друг друга, отсутствие единой терминологии становятся серьёзной помехой в решении поставленных перед ними задач.

Данная цель будет раскрыта в рамках конкретных задач:

  • будут раскрыты теоретические основы построения защищенного документооборота;
  • и методические основы и построения и организации защищенного документооборота.

1. Теоретические основы построения документооборота

1.1. Краткая теоретическая справка о документообороте

Целью документооборота является обеспечение управленческой деятельности, процесса принятия решений ценной, полезной, своевременной, полной и достоверной информацией. Движение документированной информации (на бумажных, магнитных или иных носителях) по линиям связи объективно сопровождает управленческую деятельность. Принципы и направления движения традиционных и электронных документов в аппарате управления едины при любых системах обработки и хранения документированной информации. Меняются методы работы с документами, но технологическая взаимосвязь документооборота с процессом управления сохраняется. Это предпосылка создает объективную возможность для научного решения документоведческих и архивоведческих проблем безбумажного документооборота.

Все документы являются информационными материалами (информацией), но далеко не все информационные материалы имеют статус документа. Основной признак документа состоит в том что, содержание, обстоятельства создания и форма представления информационного материала фиксируются в определённый момент времени, и далее хранятся в неизменном виде. Кроме того, документ либо фиксирует какие-либо факты и события, либо служит основанием для принятия деловых решений и совершения действий.

С учетом всего сказанного можно дать определение конфиденциального документооборота как движение конфиденциальных документов с момента их учета до отправления, подшивки в дело или перевода на учет выделенного хранения поступивших и изданных документов и отправления, уничтожения или передачи на архивное хранение документов выделенного хранения.

Вместе с тем, важной отличительной чертой и особенностью конфиденциального документооборота является необходимость защиты документов от несанкционированного доступа к ним с целью предотвращения утечки конфиденциальной информации.

Стандарт ISO/IEC 17799 определяет информационную безопасность как обеспечение конфиденциальности, целостности и наличия информации. Что касается защиты электронных документов и электронного документооборота, - на данный момент данную функцию выполняет служба ИТ.

Виды угроз конфиденциальных документов в документопотоках организации можно разделить на несколько групп:

  1. Несанкционированный доступ постороннего лица к документам, делам, базам данных за счет его любопытства или обманных, провоцирующих действий, а так же случайных или умышленных ошибок персонала фирмы;
  2. Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;
  3. Утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;
  4. Подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;
  5. Случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;
  6. Гибель документов в условиях экстремальных ситуаций.

Для электронных документов угрозы особенно реальны, так как факт кражи информации практически трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда специалистов, классифицируется по степени риска следующим образом:

    • Непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;
    • Кражи и подлоги информации;
    • Стихийные ситуации внешней среды;
    • Заражение вирусами.

    В соответствии с характером указанных выше угроз формируется задачи обеспечения защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

    Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

    Таким образом, безопасность – это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов, и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф.

    1.2. Информационная безопасность электронного документооборота

    С XX века во многих странах мира стали активно внедряться различные системы электронного документооборота. Защита электронного документооборота от несанкционированного доступа стала одной из главных проблем, находящихся на сегодняшний день в сфере бизнеса. В связи с этим можно выделить три группы проблем, которые возникают при обеспечении информационной безопасности электронного документооборота:

    Проблема обеспечения аутентичности электронных документов особенно обостряется, если их нужно хранить долго – более 5-7 лет. В этом случае, вследствие устаревания компьютерных систем и/или форматов данных, может потребоваться перенос документов в другую компьютерную систему и/или преобразование в новые форматы. Более того, каждый шаг переноса документов и преобразование из в новые форматы должен быть тщательно задокументирован для того, чтобы аутентичность документов не могла быть подвергнута сомнению.

    Но даже при обычном сканировании документов для помещения их в электронный архив требуется не только документировать все действия и обеспечить техническую защиту полученных образов документов, но и избегать операций, которые могут поставить аутентичность документов под сомнение.

    1.3. Взаимоотношение ДОУ и ИТ

    При внедрении систем электронного документооборота на уровне отдельной организации особую остроту приобретает проблема взаимоотношений и взаимопонимания между службой ИТ с одной стороны, и службой ДОУ, юридическим отделом и деловыми подразделениями – с другой.

    Именно продолжающееся внедрение информационных технологий в процесс документооборота, в сочетании с усиливающимся давлением со стороны законодательства и контролирующих органов, потихоньку приводит к изменению положения ДОУ в лучшую сторону – поскольку ряд знаний и навыков, обычных для сотрудников нашей службы и остро необходимых сейчас в электронном документообороте, не распространены среди специалистов ИТ.

    К ним относятся:

    1. Понимание жизненного цикла документа, который может включать такие стадии, как создание, временное хранение в соответствии с требованиями законодательства и контролирующих инстанций, экспертизу ценности, постоянное хранение или уничтожение в установленном порядке;
    2. Понимание того, что вся информация организации должна управляться по единым правилам;
    3. Привычка веси строгий учёт документов, их выдачи и возврата;
    4. В отличие от большинства программистов, сотрудники ДОУ вынуждены продумывать свою работу как минимум на пять лет вперёд (столько времени, по закону, должны храниться документы бухгалтерского учёта). Они понимают, что нужно не просто сохранить соответствующие электронные документы, но сохранить их так, чтобы их целостность и аутентичность могла быть доказана.

    Именно специалисты службы ДОУ лучше других видят проблемы, возникающие при внедрении. Особенное беспокойство вызвало то, что сотрудники ИТ и деловых подразделений плохо понимают роль электронного документооборота в обеспечении соответствия деятельности организации законодательству и нормативным требованиям.

    Для успешного внедрения электронных систем и их надёжной защиты необходимо тесное сотрудничество специалистов ИТ, ДОУ и других заинтересованных сторон: деловых подразделений, юридической службы, службы информационной безопасности. В перспективе, одним из разумных решений может быть переход службы ДОУ в подчинение ИТ, и создание единого подразделения, управляющего всеми информационными ресурсами в организации. Подобные единые структуры уже существуют как за рубежом, так и в ряде организаций нашей страны.

    2. Методические основы построения и организации защищенного документооборота

    2.1. Организация документооборота

    Установление порядка движения документов или управление документацией организации заключается в создании условий, обеспечивающих хранение необходимой документной информации, ее быстрый поиск и снабжение ею потребителей в установленные сроки и с наименьшими затратами. Она включает:


    Современный уровень развития информационных технологий характеризуется тенденцией доминирования электронных документов (ЭД) над традиционными бумажными носителями информации. Поэтому очень важно защитить содержащуюся в них информацию. На сегодняшний день каждая организация сталкивается с необходимостью введения электронного документооборота. Поэтому возникает проблема достоверности электронных документов, полученных, скажем, по электронной почте, поскольку подписать такой документ обычной подписью и удостоверить печатью невозможно. Вывод: электронный документооборот должен сопровождаться различными организационно-техническими мерами, позволяющими защитить передаваемые по компьютерным сетям электронные документы, как от несанкционированного прочтения, так и от случайной или преднамеренной модификации. [1]

    Отдельным обширным и очень важным блоком требований являются требования к информационной безопасности и обеспечению юридической значимости электронных документов:

    • постановления правительства РФ;

    • требования и рекомендации ФСТЭК и ФСБ.

    Основная идея в том, что к задаче защиты системы электронного документооборота надо подходить с точки зрения классической защиты информационной системы. А именно, следующие конкретные задачи:

    - аутентификация пользователей и разделение доступа;

    - подтверждение авторства электронного документа;

    - контроль целостности электронного документа;

    - конфиденциальность электронного документа;

    Под аутентификацией информации понимается установление подлинности информации исключительно на основе внутренней структуры самой информации, установление того факта, что полученная законным получателем информация была передана подписавшим ее законным отправителем (источником) и при этом не была искажена.

    Существующие в настоящее время методы и системы защиты информации имеют множество отличий друг от друга, но, тем не менее, их можно разделить на следующие основные классы. [6]

    Программные методы защиты

    В таких системах преобладают автоматические методы. Отметим, что автоматические методы программных защит не могут обеспечить широкий диапазон вариантов защиты, поскольку их однажды заложенные параметры в большинстве случаев не могут быть изменены. В результате устанавливаться такая защита будет по одним и тем же схемам. Это может быть защита на уровне начального доступа, предполагающая пароль и имя пользователя, занимаемое место на жестком диске и другие меры. Так же предусматривается защита на уровне прав пользователей, например, персональные ограничения на выполнения каких-то конкретных операций. Программный метод защиты может осуществляться на более высоком уровне атрибутов каталогов файлы ограничения на выполнение отдельных операций типа удаления. [6]

    Криптографический метод защиты.

    Существуют два вида ключей — открытые и закрытые.

    Такой метод имеет ряд недостатков:

    При компрометации ключа шифрования (утере, хищении и т. д.) под угрозой нарушения конфиденциальности окажется весь документооборот, ключи шифрования придется срочно менять. Если же, например, факт компрометации ключа шифрования обнаружен не сразу, останется только догадываться, сколько документов (и какой важности) успел прочитать злоумышленник.

    Электронная цифровая подпись

    Электронная цифровая подпись (ЭЦП) предназначена для идентификации лица, подписавшего электронный документ, и является полноценной заменой (аналогом) собственноручной подписи. [5]

    Использование электронной подписи позволяет осуществить:

    Контроль целостности передаваемого документа при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.

    Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.

    Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он не может отказаться от своей подписи под документом.

    Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, он может доказать своё авторство подписи под документом.

    Электронная цифровая подпись формируется на основе секретного ключа и вычисленного с помощью хэш-функции значения хэша документа. Хэш представляет собой некоторое значение, однозначно соответствующее содержимому документа-файла. При изменении хотя бы одного символа в документе, хэш документа изменится. Подобрать же изменения в документе таким образом, чтобы хэш документа не изменился, при использовании современных алгоритмов попросту невозможно. [3]

    Секретный ключ может быть зашифрован на пароле. Открытый ключ вычисляется как значение некоторой функции из секретного ключа и используется для проверки электронной цифровой подписи. Открытый ключ может свободно распространяться по открытым каналам связи, таким образом, он должен быть передан всем абонентам сети, с которыми планируется обмен защищенной информацией. При проверке электронной цифровой подписи вычисляется значение хэша документа; таким образом, любые изменения документа приведут к другому значению хэша, и вычисленная электронная подпись документа не совпадет с переданной, что явится сигналом нарушения его целостности.

    Существует множество алгоритмов ЭЦП, в том числе:

    отечественный стандарт электронной подписи ГОСТ Р34.10-94, который, как и стандарт симметричного шифрования ГОСТ 28147-89, обязателен для применения в государственных организациях России и обменивающихся с ними конфиденциальной информацией коммерческих организациях;

    новый отечественный стандарт ГОСТ Р34.10-2001, который должен заменить предыдущий с 1 июля 2002 г.

    различные общеизвестные алгоритмы ЭЦП, например, RSA (Rivest - Shamir - Adleman), Эль-Гамаля, DSA (Digital Signature Algorithm).

    Установка парольной защиты – это установления секретного слова или наборов символов для предоставления доступа субъекту, предназначенная для защиты от несанкционированного доступа к электронному документу.

    Резервирование электронных документов – процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.

    Следует учесть, что использование любых систем защиты документооборота будет недостаточным без введения организационных мер. [5] К ним можно отнести следующее:

    Разграничение доступа на рабочие места, как административными мерами, так и с использованием различных систем.

    Выделение на предприятии должностного лица (администратора по безопасности), отвечающего за функционирование систем защиты документооборота.

    Разработка и контроль практического осуществления мероприятий по обеспечению безопасного функционирования систем защиты.

    Периодический контроль целостности систем защиты, состояния охранной сигнализации и соблюдения режима охраны помещений, в которых расположены системы защиты.

    Периодический контроль журналов операций, автоматически создаваемых программными модулями, входящими в системы защиты.

    Хранение резервных копий ключевых носителей всех операторов, работающих в системах защиты.

    Получения документа с уже использованным номером или номером, значительно превышающим текущий, является событием, указывающим на нарушение правильности работы системы и требующим немедленной реакции со стороны службы. Установление и поддержание в системе электронных платежей единого времени для всех абонентов значительно сужает вероятность угроз. При этом передаваемый документ должен содержать неизменяемую дату и время подписания.

    Защита от несанкционированного доступа. Средства защиты должны обеспечивать идентификацию и надежное опознавание пользователя. Разграничение полномочий по доступу к ресурсам регистрацию работы и учет попыток НСД. Организационные меры в системах электронных документов, как правило, направлено на четкое распределение ответственности и создание нескольких рубежей контроля. Перечень должностных лиц и их обязанности могут выглядеть следующим образом:

    Бухгалтер предприятия, подпись, шифрование документов на ключе директора, составление баланса.

    Директор предприятия совершает верификацию (проверку) документов, подпись, шифрование на ключе банка.

    Операторы банка – отправка и прием зашифрованных документов.

    Операционист – шифрование и проверка полученных документов, подготовка выписок, подпись

    Менеджер – верификация документов и отражение их в дне банка, подпись

    Администратор – управление ключами, обработка учетных и регистрационных журналов, связь банков

    Назначение любой защиты — обеспечение стабильности заданных свойств защищаемого объекта во всех точках жизненного цикла.

    Защита документа при его создании.

    При создании документа должен аппаратно вырабатываться защитный код аутентификации (ЗКА). При этом до начала выработки ЗКА должна быть обеспечена изолированность программной среды (ИПС). Запись копии электронного документа на внешние носители до выработки ЗКА должна быть исключена. Если электронный документ порождается оператором, то ЗКА должен вырабатываться с привязкой к оператору. Если документ порождается программной компонентой, то ЗКА должен вырабатываться с привязкой к данной программной компоненте.

    2) Защита документа при его передаче.

    Защита документа при его передаче по внешним (открытым) каналам связи должна выполняться на основе применения сертифицированных криптографических средств, в том числе с использованием электронно-цифровой подписи (ЭЦП) для каждого передаваемого документа. Возможен и другой вариант – с помощью ЭЦП подписывается пачка документов, а каждый отдельный документ заверяется другим аналогом собственноручной подписи (АСП) – например, ЗКА.

    Защита документа при его обработке, хранении и исполнении.

    На этих этапах защита документа осуществляется применением двух ЗКА - входного и выходного для каждого этапа. При этом ЗКА должны вырабатываться аппаратно с привязкой ЗКА к процедуре обработки (этапу информационной технологии). Для поступившего документа (с ЗКА и ЭЦП) вырабатывается новый защитный код аутентификации и только затем снимается ЭЦП.

    4) Защита документа при доступе к нему из внешней среды.

    Защита документа при доступе к нему из внешней среды включает два уже описанных механизма - идентификация/аутентификация удаленных пользователей и разграничение доступа к документам, ресурсам ПЭВМ и сети.

    5) Защита данных в каналах связи

    Традиционно для защиты данных в канале связи применяют канальные шифраторы, и альтернативы этому нет. Нужно помнить о двух вещах – о сертификации и о том, что по каналам передаются не только данные, но и управляющие сигналы.

    Список литературы

    1. Панасенко С.П. Защита документооборота в современных компьютерных системах. // Информационные технологии. — 2001. № 4. —145 с.

    2. Гухман В.Б., Тюрина Е.И. Основы защиты данных в Microsoft Office, Уч. пособие. 1-е изд. Тверь: ТГТУ, 2005. — 100 с.

    3. Степанов Е.А. Информационная безопасность и защита информации: Учеб. пособие. - М.: Инфра-М, 2001 — 304 с.

    6. Казакова М. Классификация и примеры современных методов защиты. Учебное пособие. – Ижевский государственный технический университет. 2010г.

    Анна Викулина

    Система электронного документооборота – очень важная часть информационного ландшафта любой современной организации. СЭД предназначена для решения критически важных бизнес-задач, связанных с управлением, хранением и интеграцией документов, различных файлов и другой важной информации, содержащейся в различных информационных системах и бизнес-приложениях, из которых как раз и состоит ИТ-ландшафт организаций.

    То есть СЭД сегодня – главное связующее звено между различными управленческими, финансовыми и любыми другими системами внутри компании, обеспечивающее единство и неразрывность информации, ее уникальность, доступность и при этом безопасность и конфиденциальность.

    Защищенный электронный документооборот – одна из важнейших задач обеспечения общей безопасности в компании, которой необходимо уделять очень большое значение и пристальное непрерывное внимание

    Для нормальной работы электронного документооборота на предприятии необходим надежный и безопасный процесс обработки и хранения информации, организация которого требует четко определить основные риски и способы их предупреждения.

    Основными угрозами для системы электронного документооборота, как и для любой другой информационной системы, являются:

    1. Угроза целостности информации – повреждение, искажение или уничтожение информации;
    2. Угроза доступности информации – ошибки пользователей, внешние сетевые атаки, вредоносное ПО.
    3. Угроза конфиденциальности – кража информации, подмена маршрутов обработки, несанкционированный доступ к информации.

    Рис.1 Защита информации

    Рис.1 Защита информации

    Источники угрозы СЭД

    Но все же, для защиты и предупреждения атак на информационные системы, мотивы угроз не стоит сбрасывать со счетов, ведь от того, как их квалифицировать по признаку мотивации – случайные или намеренные, может зависеть стратегия борьбы с ними, методология их предупреждения и мероприятия по реагированию на них.

    Способы и методы защиты СЭД

    Система защиты информации системы электронного документооборота – это общая совокупность методов, средств и мероприятий, снижающих уязвимость системы и препятствующих несанкционированному доступу к информации, ее разглашению, повреждению, утрате или утечке.

    Рис.2 Средства защиты информации

    Рис.2 Средства защиты информации

    На основании анализа угроз для систем электронного документооборота можно сформировать перечень основных средств защиты информации и методы обеспечения информационной безопасности СЭД.

    • Защиту информации от несанкционированного доступа, уничтожения, модификации, блокирования, копирования, фальсификации, распространения, а также от других несанкционированных действий в отношении такой информации;
    • Соблюдение конфиденциальности информации ограниченного доступа;
    • Реализацию права на доступ к информации.

    Соответственно, средства и методы защиты информационных систем можно разделить два вида:

    Организационно-правовые

    • Законодательное регулирование правоотношений в сфере электронного документооборота;
    • Организация учета, хранения и эксплуатации ключей шифрования и электронной подписи;
    • Построение и учет комплексных профилей разграничения прав доступа в информационных системах;
    • Ведение строгого учета доступа сотрудников к информации ограниченного распространения;
    • Многие другие, а также их вариации и комбинации.

    Технические

    • Аппаратная защита, специализированные защищенные шлюзы и маршрутизаторы;
    • Физическое разграничение сетевого оборудования на разные изолированные сегменты;
    • Автоматизированные планы резервного копирования информации на защищенные носители;
    • Актуальное антивирусное и защитное ПО;
    • Логическое разделение сети на сегменты посредством специализированных программ;
    • Программные средства идентификации и аутентификации пользователей;
    • Криптографические средства защиты и шифрования информации;
    • Технологии электронной подписи для обеспечения подлинности и целостности информации;
    • Различные комбинации различных методов и средств защиты.

    Отметим, что успешные проекты по СЭД, включающие разработку, внедрение и поддержку системы, выполненные компетентными специалистами, позволяют объединить все перечисленные средства и методы защиты для создания по-настоящему защищенных каналов электронного документооборота, как внутреннего, так и внешнего. Наши специалисты обладают широчайшим опытом создания систем электронного документооборота и могут ответить на любые вопросы в этой области.

    Рассмотрим классификацию средств и методов защиты электронного документооборота поподробнее.

    Правовое обеспечение безопасности

    Правовые меры защиты информационных систем принимает, в первую очередь, государство, осуществляя правовое регулирование отношений в сфере защиты информации путем установления законодательных требований к защите информации, а также ответственности за нарушение этих законов. Соответственно, наличие современной и актуальной нормативно-правовой базы, учитывающей все возможные новейшие угрозы в сфере информатизации – одно из главных условий обеспечения безопасности информационных систем, как государственных, так и корпоративных.

    Рис.3 Правовая защита информационных систем

    Рис.3 Правовая защита информационных систем

    Помимо законодательных актов, в России действуют стандарты по защите информации, имеющие рекомендательный характер:

    • ГОСТ Р 50922-2007 Защита информации. Термины и определения.
    • ГОСТ Р 51275-2007 Защита информации. Объекты информатизации.

    Общие положения и факторы, воздействующие на информацию, также описаны:

    • ГОСТ Р 51624-2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения.
    • ГОСТ Р 52863-2007 Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования.

    Организационные меры

    Организация мер безопасности информационных систем вытекает из правовых основ регулирования. Наряду с этим, дополнительные и весьма разнообразные требования к защите информации предъявляют современные множественные угрозы информационных систем. Поэтому важными критериями эффективности таких мер является их комплексность, актуальность и своевременность. Ну и конечно самое главное – исполнение этих решений и регламентов, без этого они просто теряют смысл.

    Для построения эффективной современной защиты корпоративной информационной системы необходимо постоянно и весьма внимательно мониторить все возможные угрозы, их вариации и комбинации. В последнее время таких угроз становится все больше, они появляются в ранее совершенно безопасных сферах и направлениях. Злоумышленники применяют методы все ухищреннее, комбинируя и импровизируя самые неожиданные варианты.

    Поэтому организационная защита – один из критериев безопасности предприятия. В результате анализа актуальных угроз вырабатываются внутрикорпоративные стандарты и регламенты, требующие неукоснительного исполнения. Также должен быть разработан и реализован комплекс мероприятий по обеспечению информационной безопасности – четкая классификация видов информации и информационных систем, владеющих этой информацией, строгий учет организации доступа к той или иной информации в зависимости от ее важности, ценности, конфиденциальности.

    Примером таких мер является организация учета, хранения и эксплуатации ключей шифрования и электронной подписи с использованием персональной ответственности сотрудников, создание реестра стандартных корпоративных комплексных профилей доступа к информационным ресурсам в зависимости от структурной и/или должностной принадлежности сотрудника. Это в свою очередь обеспечивает своевременную организацию доступа только к необходимым корпоративным информационным ресурсам, нивелируя человеческий фактор и минимизируя возможность ошибки или злонамеренного действия.

    Таких организационных мер, и тем более их комбинаций, может быть неограниченное множество. К ним необходимо подходить с точки зрения обоснованности и целесообразности. Также немаловажным, а может и решающим, критерием выступает экономический фактор. Основной деятельностью предприятий и организаций является экономическая, в том или ином ее виде. Ценность информации и требуемая степень ее защиты, и, как правило – стоимость, находятся в прямой зависимости. Поэтому выбор необходимых организационных и технических мер решается непосредственно самим владельцем информационной системы.

    Технические средства обеспечения информационной безопасности

    Другим направлением для обеспечения информационной безопасности являются технические средства и программное обеспечение.

    Рис.4 Технические средства защиты информации

    Рис.4 Технические средства защиты информации

    Это могут быть, например:

    • Специализированное защищенное сетевое оборудование – маршрутизаторы, сетевые шлюзы, канальные шифраторы и т.д.;
    • Построение изолированных сетей для обращения конфиденциальной информации с многоуровневой защитой доступа – как физического (защищенные помещения и здания), так и логического (идентификация и аутентификация, шифрование);
    • Для купирования рисков потери актуальной информации в результате сбоя или сетевой атаки необходимо использовать хорошо проработанные планы резервного копирования с размещением архивной информации на защищенных от порчи и несанкционированного доступа носителях;
    • Для защиты от атак на уровне программного обеспечения нужно использовать современные антивирусные интеллектуальные пакеты, использующие актуальные антивирусные базы, принципы эвристического анализа, возможности искусственного интеллекта и нейронных сетей;
    • Применение современных криптографических средств защиты и шифрования информации для однозначного разграничения доступа к ней, применения технологии блок-чейн для сохранности и исключения фальсификации данных.

    Наряду с этим даже электронная подпись, которая сегодня является обязательным элементом бизнес-среды любой организации вне зависимости от формы собственности, сферы деятельности или масштабов, представляет собой такое же техническое средство защиты. Без ЭП невозможно сдать обязательную налоговую отчетность, использовать электронный обмен юридически значимой документацией с контрагентами, а также обеспечить нормальное и эффективное функционирование компании.

    Разграничение прав пользователей

    Разграничение прав доступа пользователей в системе может быть устроено совершенно по-разному. При использовании изолированных подсистем разграничения прав в каждой системе ИТ-ландшафта, например, управление профилями децентрализовано и плохо управляемо, выдача прав в такой информационной среде вызывает определенные трудности и требует немалых трудозатрат для актуализации и верификации.

    Централизованные подходы в управлении разграничениями прав доступа даже в гетерогенной корпоративной информационной системе, например Active Directory, представляют собой более профессиональный вариант организации, и позволяют достаточно легко управлять профилями доступа и изменять их комбинацию. Но, как правило, такие системы недешевы, требуют совместимости от управляемых информационных систем, и в нашей стране распространены не очень широко.

    Рассмотрев лишь некоторые методы обеспечения безопасности систем электронного документооборота, можно сделать вывод, что меры противодействия угрозам можно принять еще на стадии внедрения безбумажного документооборота. Для полноценной защиты необходимо использовать комплекс мер и средств, комбинировать различные программно-аппаратные и организационные решения, обеспечивая их актуальность и действенность в условиях современной информационной вселенной. Обратившись к нашим специалистам по вопросам внедрения, оптимизации и поддержки систем электронного документооборота, вы получите гарантированно высокий результат.

    Читайте также: