Преподаватель который помогает студентам и школьникам в учёбе.

Методика защиты информации в системах электронного документооборота (Субъекты информационных отношений)

Содержание:

ВВЕДЕНИЕ

Эффективность управления организацией во многом зависит от решения задач оперативного и качественного формирования электронных документов, контроля их исполнения, а также продуманной организации их хранения, поиска и использования. Потребность в эффективном управлении электронными документами привела к созданию систем электронного документооборота (СЭД), под которыми понимают организационно-технические системы, облегчающие процесс создания, управления доступом и распространения электронных документов в компьютерных сетях, а также обеспечивающие контроль над потоками документов в организации. По данным ряда аналитиков, производительность труда персонала при использовании СЭД увеличивается на 20–25%, а стоимость архивного хранения электронных документов на 80% ниже по сравнению со стоимостью хранения бумажных архивов [1]. Применение систем электронного документооборота позволяет сотрудникам контролировать прохождение документов и доступ к ним, управлять хранением и публикациями документов, минимизировать избыточность данных и бумажные процессы. Поэтому с помощью СЭД повышается эффективность деятельности коммерческих компаний и промышленных предприятий, а в государственных учреждениях на базе технологий электронного документооборота решаются задачи внутреннего управления, межведомственного взаимодействия и взаимодействия с населением, что является необходимым условием для перехода к «электронному» правительству. В настоящее время практически все федеральные органы государственной власти используют СЭД для ведения централизованного учета и регистрации входящих и исходящих документов, их перевода и хранения в электронном виде, а также учета результатов их исполнения. В последнее время развитие СЭД направлено в основном на совершенствование сервисных возможностей, так как базовые возможности в той или иной форме уже реализованы. Кроме того, можно отметить развитие СЭД в сторону управления различного вида контентом (мультимедиа), использование технологий автопроцессинга и разбора содержания документа. Ряд существующих СЭД позволяет вести электронные архивы, наполнение которых происходит через системы потокового сканирования и ввода бумажных документов, автоматизированной обработки электронной почты, а также запросов и обращений, поступающих через ведомственные интернет-сайты. Используемые системы обеспечивают прохождение этих документов до структурного подразделения или подведомственной организации, учет и контроль своевременности их рассмотрения и исполнения.

Поэтому изучение методов защиты информации в системах электронного документооборота является актуальным.

Целью курсовой работы является рассмотрение методов защиты информации в системах электронного документооборота.

Для достижения поставленной цели необходимо решить следующие задачи:

- раскрыть сущность субъектов информационных отношений

- рассмотреть объекты защиты информации;

- проанализировать основные проблемы защиты информации;

- изучить понятие электронного документооборота;

- раскрыть методы защиты электронного документооборота.

Глава 1. Субъекты информационных отношений, их безопасность и методы защиты

1.1. Объекты защиты информации

Информация - это сведения о лицах, фактах, предметах, явлениях, событиях и процессах.

Особым образом защищают внутреннюю, конфиденциальную и секретную информацию. Информация о компании, служебная, коммерческая, промышленная, профессиональная, или другая информация – это первостепенные объекты защиты.

Существует несколько типов угроз для объектов защиты информации:

угрозы конфиденциальности данных и программ;
угрозы целостности данных, программ, аппаратуры;
угрозы доступности данных.

Рассмотрим основные термины, касающиеся объектов защиты информации. К ним относятся такие понятия, как защищаемая информация, объекты защиты информации, носитель защищаемой информации.

Защищаемая информация, является предметом собственности и подлежит в соответствии с правовыми документами и требованиями, которые устанавливаются собственником информации, которым может быть отдельное физическое лицо, группа физических, юридических лиц и государство.

Объекты защиты информации – это информация, носитель информации или информационный процесс, которые нуждаются в защите от несанкционированного доступа, изменения и копирования третьими лицами.

Носителем защищаемой информации может быть как физическое лицо, так и материальный объект или физическое поле. Информация содержится в виде символов, сигналов и образов, технических процессов и решений, количественных характеристик и физических величин.

Существует такое понятие как объект информатизации, который так же нуждается в защите. Защищаемый объект информатизации, как и информационная система, предназначается для обработки защищаемой информации.

Основными объектами защиты информации являются:

информационные ресурсы, содержащие конфиденциальную информацию;
системы и средства, обрабатывающие конфиденциальную информацию (технические средства приема, обработки, хранения и передачи информации (ТСПИ);
ТСПИ размещенные в помещениях обработки секретной и конфиденциальной информации. Общепринятая аббревиатура - ВТСС (вспомогательные технические средства и системы). К ВТСС относятся технические средства открытой телефонной связи, системы сигнализации, радиотрансляции и т.д., а также помещения, которые предназначены для обработки информации с ограниченного использования.

Иными словами, объектами защиты информации являются источники информации; переносчики информации и получатели информации. Однако главная цель – это защита самой информации.

1.2 Методы и принципы современной защиты информации

Современные методы защиты информации основываются на следующих подходах:

Системный подход к построению систем защиты, предполагающий оптимальное сочетание программных, организационных, физических и аппаратных свойств, применяемых на всех этапах обработки информации.

Принцип постоянного совершенствования системы. Современная защита информации предполагает постоянное совершенствование системы в соответствии с ростом рисков утечки информации. Данный процесс непрерывен и заключается в реализации современных методов и путей совершенствования систем информационной безопасности, постоянном контроле, выявлении её слабых мест и потенциальных каналов утечки информации. Непрерывное совершенствование систем обусловлено появлением новых способов доступа к информации извне.

Обеспечение надежности систем информационной защиты, т. е. контроль уровня надежности при отказе системы, возникновении сбоев, взломе и ошибках.

Контроль функционирования системы защиты. Непрерывное совершенствование средств и методов контроля над работоспособностью механизмов защиты.

Совершенствование методов борьбы с вредоносными программами и вирусами.

Оптимизация затрат на создание и эксплуатация систем контроля, выражающаяся в экономической целесообразности применения систем информационной безопасности.

Современная защита информации осуществляется с помощью таких методов:

криптографическая защита различной степени конфиденциальности при передаче информации;
управление информационными потоками, как в локальной сети, так и при передаче каналами связи на различные расстояния;
применение механизмов учета попыток доступа извне, событий в информационной системе и печатаемых документов;
обеспечение целостности программного обеспечения и информации;
внедрение средств восстановления современной защиты информации;
осуществление физической охраны и учета техники и магнитных носителей;
создание специальных служб информационной безопасности.

Инструменты защиты

Современная защита информации предполагает внедрение в систему следующих инструментов защиты:

физическое препятствие,
управление доступом,
механизмы шифрования,
противодействие атакам вредоносных программ и вирусов,
аппаратные средства защиты,
физические средства защиты,
программные средства защиты,
организационные средства защиты,
законодательные и морально-этические средства защиты.

Систематическое применение всех перечисленных выше методов и средств современной защиты информации, увеличивает надежность системы безопасности и предотвращает разглашение конфиденциальной информации.

Принципы защиты информации можно условно разделить на несколько групп

Под принципами защиты информации понимаются основные идеи и важнейшие рекомендации по вопросам организации и осуществлению работ для эффективной защиты конфиденциальной информации.

Данные принципы вырабатывались на протяжении длительной практики в организации работ по защите информации. Использование данных принципов позволяет эффективно организовать работу системы безопасности, а пренебрежение ими негативно сказывается на сохранении защищаемой информации.

Принципы защиты информации можно условно разделить на три следующих группы:

правовые принципы;
организационные принципы;
принципы, реализуемые при защите информации от TCP.

Правовые принципы защиты данных

Правовое регулирование защиты информации опирается на принципы информационного права. Данные принципы, базирующиеся на положениях основных конституционных норм, закрепляют информационные права и свободы, а так же гарантируют их осуществление. Кроме того, основные правовые принципы защиты информации основываются на особенностях и юридических свойствах информации как полноценного объекта правоотношений.

Правовые принципы защиты информации:

законность;
приоритет международного права над внутригосударственным;
собственность и экономическая целесообразность.

Организационные принципы защиты данных

Роль организационной защиты информации в системе мер безопасности определяется своевременностью и правильностью принимаемых руководством управленческих решений, при учете имеющихся в распоряжении средств, способов и методов защиты информации, также на основе действующих нормативно-методических документов.

Организационные методы защиты предполагают проведение организационно-технических и организационно-правовых мероприятий, а так же включают в себя следующие принципы защиты информации:

научный подход к организации защиты информации;
системный и комплексный подход к организации защиты информации;
ограничение числа допускаемых лиц к защищаемой информации;
личная ответственность персонала за сохранность доверенной информации;
единство мнений в решении производственных, коммерческих и финансовых вопросов;
непрерывность процесса защиты информации.

Принципы защиты информации от ТСР (технические средства разведки)

активная защита информации - целенаправленное навязывание разведке ложных представлений об объекте и его устремлениях, соответственно замыслу защиты;
убедительная защита информации - принцип, состоящий в оправданности замысла и мер защиты условиям и обстановке. Соответствует характеру защищаемого объекта, а также свойствам окружающей среды, позволяющих применение технических средств защиты в подходящих климатических, сезонных и других условиях;
непрерывность процесса защиты информации, что предполагает организацию защиты объектов на всех стадиях жизненного цикла разработки и эксплуатации;
разнообразие средств защиты информации - исключение шаблонов на этапе выбора объектов прикрытия и разнообразных путей реализации защиты, не исключая применение типовых решений.

Основные проблемы защиты информации при работе в компьютерных сетях.

В эпоху бурного развития технологий, проблемы информационной защиты встают наиболее остро. Использование автоматизированных систем обработки информации и управления обострило защиту информации, от несанкционированного доступа. Основные проблемы защиты информации в компьютерных системах возникают из-за того, что информация не является жёстко связанной с носителем. Её можно легко и быстро скопировать и передать по каналам связи. Информационная система подвержена как внешним, так и внутренним угрозам со стороны нарушителей.

Решение проблем защиты электронной информации

Решение проблем защиты электронной информации базируется в основном на использовании криптографических методов. Притом современные методы криптографического преобразования сохраняют исходную производительность автоматизированной системы, что является немаловажным. Это является наиболее эффективным способом, обеспечивающим конфиденциальность данных, их целостность и подлинность. Использование криптографических методов в совокупности с техническими и организационными мероприятиями обеспечивают надежную защиту от широкого спектра угроз.

Ранее контроль доступа к конфиденциальной информации и защита её от влияний извне был задачей технических администраторов.

Сегодня же защита информации становится обязанностью каждого пользователя системы, что требует не только навыков обращения с системой безопасности, но и знаний о способах неправомерного доступа для предотвращения такового. Надежный контроль над информацией обеспечивает безопасность бизнеса, а так же позволяет качественно и своевременно устранять ошибки, возникающие в течение производственных процессов, облегчая работу персонала.

Основные уровни защиты информации на предприятии

Можно выделить три основных уровня защиты информации:

• защита информации на уровне рабочего места пользователя;

• защита информации на уровне подразделения предприятия;

• защита информации на уровне предприятия.

Информация первоначально создается на конкретном рабочем месте рядового пользователя системы предприятия. Очень часто именно там информация хранится и первично обрабатывается.

Рабочие места чаще всего объединяются в локальную сеть для совместной работы и обмена информацией. В данном случае мы говорим о локальной сети подразделения, пользователи которой находятся друг от друга на достаточно небольших расстояниях.

Уровни защиты информации локальной сети подразделения отличаются более сложными механизмами, чем на рабочем месте пользователя. Защита данных на различных уровнях имеет как общие, так и специальные способы защиты.

Локальные сети подразделений часто объединены в общую сеть предприятия, которая кроме рабочих мест рядовых пользователей имеет в своем составе также серверное оборудование и специализированные устройства, которые отвечают за функционирование и защиту всей сети предприятия. Кроме того локальные сети предприятия могут быть географически удалены друг от друга.

Организация системы безопасности по уровням

В системе безопасности существуют следующие уровни защиты информации:

физическая защита информации;
контроль доступа и персональная идентификация;
применение ключей для шифрования данных;
защита излучения кабеля;
защита «обратный вызов».

Для правильного построения защитных механизмов системы безопасности следует изучить не только функционирование информационных потоков внутри предприятия, но и возможности неправомерного доступа к информации извне. В зависимости от типа угрозы, применяются определенные меры по защите информации. Поэтому каждому уровню соответствует тот или иной способ защиты информации.

Уровни защиты, в соответствии с механизмами реагирования на угрозы

В соответствии с механизмами реагирования на угрозу, определяют следующие уровни защиты информации:
предотвращение – внедрение служб контроля доступа к информации и технологии;
обнаружение - раннее обнаружение угрозы, даже в случае обхода механизмов защиты;
ограничение – уменьшение размера информационных потерь, в случае уже произошедшего преступления;
восстановление - обеспечение эффективного восстановления информации в случае её утраты или уничтожения.

Таким образом, существует несколько уровней защиты информации, характеризующиеся применение различных методов и механизмов реагирования.

Основные проблемы защиты информации

Основные проблемы защиты информации при работе в компьютерных сетях, можно условно разделить на три типа:

перехват информации (нарушение конфиденциальности информации),
модификация информации (искажение исходного сообщения или замена другой информацией),
подмена авторства (кража информации и нарушение авторского права).

Сегодня защита компьютерных систем от несанкционированного доступа характеризуется возрастанием роли программных и криптографических механизмов по сравнению с аппаратными. Новые проблемы в области защиты информации уже требуют использования протоколов и механизмов со сравнительно высокой вычислительной сложностью.

1. Криптография

В результате общедоступности информации в сети internet, выявляется слабость традиционных механизмов и отставание применения современных методов защиты. Криптография расширяет возможности защиты информации и обеспечивает её безопасность в сети. Стратегически правильным решением проблемы защиты информации, является использование достижений криптографии.

Отсутствие достаточного количества средств защиты информации на внутреннем рынке долгое время не позволяло осуществлять мероприятия по защите данных в необходимых масштабах. Усугублялась ситуация и отсутствием достаточного количества специалистов в области защиты информации, поскольку их подготовка велась с учетом требований специальных организаций.

Информационное сообщение первоначально открыто и ничем не защищено. Применяя криптографические средства защиты, информацию можно преобразовывать сообщения в шифрограмму - в закрытый текст или графическое изображение.

Именно в таком виде защищают информацию перед передачей её по каналам связи. После получения информация дешифруется посредством обратного преобразования криптограммы и восстановления исходного вида сообщения.

Типы криптографических алгоритмов

В современной криптографии существует два типа криптографических алгоритмов: классический, основанный на использовании секретных ключей, и новые алгоритмы, использующие как открытые, так и закрытые ключи (асимметричные алгоритмы). Криптографические средства защиты информации, используют все возможности шифрования сообщений, как с помощью ключей, так и путем использования генераторов псевдослучайных чисел. Последний метод криптографической защиты легко реализуется и обеспечивает высокую скорость шифрования, но не всегда стоек к дешифровке потому и неприменим для серьезных информационных систем.

Классическая криптография использует ключ как секретную единицу. Такой ключ позволяет шифровать информационное сообщение при записи её на носитель и преобразовывать в исходный вид при чтении.

Однако наиболее перспективными средствами защиты конфиденциальной информации сегодня считаются асимметричные криптосистемы (системы с открытым ключом). Суть такой системы состоит в том, что ключи шифрования и дешифровки не совпадают. Криптографические средства защиты информации в ассиметричных криптосистемах заключаются в том, что для шифрования используется открытый ключ, который известен всем, а для дешифровки используется секретный ключ, который известен лишь конечному получателю. Такой способ защиты эффективен для передачи данных и не часто применяется при её хранении.

Основные требования для криптографических систем

Надежная криптографическая система должна соответствовать ряду требований:

зашифровывание и дешифровка должны быть понятны и прозрачны для пользователя.
дешифровка конфиденциальной информации третьими лицами должно быть максимально затруднено.
содержание информации не должно сказываться на эффективности криптографических алгоритмов.

Криптографические средства защиты информации, основанные на применении ключей и кодов, преследуют цели эффективной защиты данных, снижения трудоемкости работы с информацией, обеспечения быстрой её обработки, экономии памяти компьютера, формализации описания данных, основываясь на их систематизации и классификации.

Кодирование, шифрование и иные средства защиты данных в совокупности создают условия для надежной защиты информации от изменения и утечки, а так же предотвратить искажение информации при отображении реальных производственных процессов, движении материальных и финансовых потоков, а так же обосновывают принятие управленческих решений.

Выводы по главе 1.

Важной особенностью использования информационных технологий является необходимость эффективных решений проблемы защиты информационного ресурса, что предполагает рассредоточение мероприятий по защите данных среди пользователей. Информацию необходимо защитить в первую очередь там, где она содержится, создаётся и перерабатывается, а так же в тех организациях, на интересы которых негативно влияет внешний доступ к данным. Это самый рациональный и эффективный принцип защиты интересов организаций, что является первичной ячейкой на пути решения проблемы защиты информации и интересов государства в целом.

Глава 2. Электронный документооборот и его защита

2.1 Понятие системы электронного документооборота

Деятельности и процветание любого предприятия напрямую зависит от того с какой скоростью осуществляется обмен информации внутри него и на сколько хорошо построена система безопасности.

Если инфраструктура предприятия даёт сбои, то последствия катастрофичны. Предприятие может потерять не только базу клиентов, но и их доверие. Столкновение с этой проблемой привело к созданию новых систем защиты информации, которые разрабатывались по требованиям кредитных институтов.

Защита информации предприятия включает в себя проведение целого комплекса мероприятий — от аудита информационной безопасности и до создания систем защиты подразделений предприятия. Специалисты данной отрасли способны создать как отдельный модуль безопасности, так и полноценную надежную централизованную систему защиты информации.

Статистика

В 90% предприятий автоматизированы все процессы, но не все они внедрили систему защиты информации.

Около 15% предприятий интересует разработка системы защиты индивидуально, а все остальные склоняются к совместным разработкам таких систем.

По статистике, солидные предприятия тратят на системы защиты информации около 10% годового бюджета.

При создании системы защиты предприятия, специалисты учитывают все возможные ситуации утечки данных.

Одним из способов защиты информации предприятия является контроль прохождения и регистрации конфиденциальной информации.

Самым главным в данном вопросе является определение максимально безопасных вариантов обмена файлами внутри предприятия. Потоки информации нуждаются в оптимизации, разработке четких планов работы отделений и подразделений предприятия, а так же нахождении безопасные способы файлового обмена. Поэтому защита информации предприятия не так проста.

Внутри предприятия информация проходит различными способами. Она может передаваться в распечатанном виде, а может и в электронном. Как правило, пользователи воспринимают стены здания как надежную защиту, что является одним из самых распространенных заблуждений.

Для защиты данных предприятия используют системы идентификации, определяющие наличие прав доступа к информации.

Для этого используют систему паролей для входа в локальную сеть предприятия. Они могут быть выбраны пользователем, сгенерированы системой или присваиваться ему администратором по безопасности. Существуют также пластиковые карты доступа с чипом. При помощи специального алгоритма система зашифровывает и вносит личные данные конкретного пользователя, в зависимости уровня. Электронные ключи срабатывают при контакте с устройством на дверях, установленных в секретных помещениях, в серверных и пользовательских компьютерах.

Естественно, что многое зависит от сотрудников, но защита информации предприятия будет надежно работать только при своевременном определении системой внешних угроз.

В современном мире для любого предприятия или организации вопросы оптимизации документооборота и контроля за обработкой информации имеют ключевое значение. Данное утверждение можно подтвердить следующими данными. По оценке SiemensBusinessServices, до 80% своего рабочего времени руководитель тратит на работу с информацией, до 30% рабочего времени сотрудников уходит на создание, поиск, согласование и отправку документов, каждый внутренний документ копируется, в среднем, до 20 раз и до 15% корпоративных документов безвозвратно теряется. Существуют также оценки, что на работу с документами приходится тратить до 40% трудовых ресурсов и до 15% корпоративных доходов.

Именно поэтому эффективность управления предприятиями и организациями не в последнюю очередь зависит от корректного решения задач оперативного и качественного формирования электронных документов, контроля их исполнения, а также продуманной организации их хранения, поиска и использования. Потребность в эффективном управлении электронными документами и привела к созданию систем электронного документооборота.

Электронный документооборот — это способ организации работы с документами, при котором основная масса документов организации используется в электронном виде и хранится централизованно.

Система электронного документооборота (СЭД) — компьютерная программа, которая позволяет организовать работу с электронными документами, а также взаимодействие между сотрудниками.

Само понятие «система электронного документооборота» сложилось не сразу. Первоначально разрозненные элементы электронного документооборота вводились на отдельных, наиболее загруженных участках предприятия для решения локальных задач конкретных подразделений. Со временем возросли требования к автоматизации деловых процессов, значительно развился рынок программных продуктов. Границы применения электронного документооборота расширялись, появлялись новые функции. В результате современная система электронного документооборота стала служить не только средством учета и управления документами, а превратилась в фундамент для разработки системы эффективного управления предприятием.

Базовым элементом любой СЭД является документ, внутри системы это может быть, например; файл или запись в базе данных.

Говоря о защищенном документообороте, часто подразумевают именно защиту документов, защиту той информации, которую они в себе несут. Однако на самом деле; нужно заботиться о защите всей системы электронного документооборота, а не только данных внутри нее. Это означает, что нужно защитить работоспособность СЭД, обеспечить быстрое восстановление после повреждений, сбоев и даже после уничтожения.

Поэтому к вопросам организации защиты системы электронного документооборота необходимо подходить комплексно, что подразумевает защиту на всех уровнях СЭД, начиная от физических носителей информации, данных на них и заканчивая организационными мерами.

Следовательно, защита необходима, во-первых, аппаратным элементам системы. Это компьютеры, серверы, элементы компьютерной сети и сетевое оборудование;

Во-вторых, защита необходима файлам системы. Это файлы программного обеспечения и базы данных. В случае их незащищенности появляется возможность воздействия злоумышленника на файлы СЭД.

В-третьих, необходимо защищать документы и информацию, находящиеся внутри системы.

Используя такой подход, можно построить систему, защищенную на всех уровнях, с рубежами обороны от угроз на каждом уровне. Стоимость такой защиты может сравняться со стоимостью самой СЭД, поэтому нужно искать разумный баланс между безопасностью и стоимостью.

2.2 Угрозы для системы электронного документооборота

Для построения полноценной защиты для системы электронного документооборота необходимо иметь полное представление об угрозах поджидающих нашу систему.

Все угрозы для системы электронного документооборота можно разбить на следующие четыре класса:

угроза целостности — повреждение и уничтожение информации, искажение информации - как ненамеренное в случае ошибок и сбоев, так и злоумышленное;
угроза конфиденциальности — это любое нарушение конфиденциальности, в том числе кража, перехват информации, изменения маршрутов следования;
угроза работоспособности системы — всевозможные угрозы, реализация которых приведет к нарушению или прекращению работы системы, сюда входят как умышленные атаки, так и ошибки пользователей, а также сбои в оборудовании и программном обеспечении.

В любой современной системе электронного документооборота должна быть реализована защита от этих угроз, иначе в использовании такой системы нет смысла т.к. от потери информации компания может потерять на порядок выше, чем от неоперативной и несвоевременной обработки информации. Особую роль при построении защищенной системы электронного документооборота играет и упорядочение документооборота, которое позволяет выстроить более качественную систему защиты.

При построении защищенной среды электронного документооборота необходимо четко знать, откуда ждать неприятностей, т.е. очертить круг источников угроз. Можно выделить несколько, основных, групп источников угроз: легальные пользователи системы, административный ИТ-персонал, внешние злоумышленники.

Согласно многочисленным исследованиям, от 70 до 80% потерь от преступлений приходятся на атаки изнутри.

Пользователь системы является потенциальным злоумышленником, он может сознательно или несознательно нарушить конфиденциальность информации. Спектр возможных злоумышленных действий легальных пользователей достаточно широк — от скрепок в аппаратных частях системы до кражи информации с корыстной целью. При этом возможна реализация угроз в разных классах: угрозы конфиденциальности, целостности, работоспособности.

Особую группу составляет административный ИТ - персонал, или персонал службы ИТ-безопасности. Эта группа, как правило, имеет не ограниченные полномочия и доступ к хранилищам данных, поэтому к ней нужно относиться с особым вниманием. Они не только имеют большие полномочия, но и наиболее квалифицированы в вопросах безопасности и информационных возможностей.

Состав внешних злоумышленников сугубо индивидуален. Это могут быть и конкуренты, и партнеры, и даже клиенты.

2.3 Средства защиты электронного документооборота

Любая защищенная СЭД должна иметь средства защиты для выполнения следующих функций:

- - - обеспечение сохранности документов;
    - обеспечение безопасного доступа;
    - обеспечение конфиденциальности;
    - обеспечение подлинности документов;
    - протоколирование действий пользователей.

СЭД должна обеспечить сохранность документов от потери и порчи и иметь возможность их быстрого восстановления.

Согласно статистике, потери важной информации в 45 % случаев приходятся на физические причины (отказ аппаратуры, стихийные бедствия и т. п.), 35 % обусловлены ошибками пользователей и менее 20 % - действием вредоносных программ и злоумышленников.

Представители половины компаний, переживших потерю данных, заявляют, что причиной инцидента стал саботаж или халатное отношение сотрудников компании к правилам информационной политики компании, и только 20 % респондентов сообщили, что интеллектуальная собственность их компаний защищена должны к образом. Что касается СЭД, то в эффективности её защиты уверены только 24 % участников опроса.

Например, для СЭД, использующих базы данник Microsoft SQL Server или Oracle, предпочитают применять средства резервного копирования от разработчика СУБД (в данном случае от «Майкрософт» или Oracle). Иные системы имеют собственные подсистемы резервного копирования, разработанные непосредственно производителем СЭД.

Безопасный доступ к данным внутри СЭД обеспечивается аутентификацией и разграничением прав доступа к объектам.

В СЭД могут использоваться различные методы аутентификации. Самый распространенный из них — применение многоразовых паролей. Шифрованные значения паролей обычно хранятся на сервере в специальной базе данных пользователей. Однако надежность данного метода сильно снижает человеческий фактор. Даже если пользователь использует правильно сгенерированный пароль, иногда его можно обнаружить записанным на листке бумаги в столе или под клавиатурой.

Часто полномочия пользователя подтверждаются специальным носителем информации. Существует множество решений для имущественной аутентификации пользователя: это USB-ключи, смарт-карты, магнитные карты, дискеты и компакт-диски. Здесь также не исключено влияние человеческого фактора, но злоумышленнику необходимо не только получить сам ключ, но и узнать PIN-код.

Надежным для проведения идентификации и последующей аутентификации является биометрический метод, при котором пользователь идентифицируется по своим биометрическим данным (это может быть отпечаток пальца, сканирование сетчатки глаза). Однако стоимость решения в этом случае выше, а современные биометрические технологии еще не настолько совершенны, чтобы избежать ложных срабатываний или отказов.

Важным параметром аутентификации является количество учитываемых факторов. Процесс аутентификации может быть однофакторным, двухфакторным и т. д. Возможно также комбинирование различных методов: парольного, имущественного и биометрического. Например, аутентификация может проходить при помощи пароля и отпечатка пальца (двухфакторный способ).

Разграничение прав доступа к объектам.

Разграничение прав доступа к объектам системы электронного документооборота, может быть реализовано исходя из различных принципов:

задание пользователей и групп, имеющих право чтения, редактирования или удаления всего документа, включая присоединенные файлы и реквизиты;

мандатный доступ по группам, когда доступ к данным, предоставляется в соответствии с фиксированными уровнями полномочий групп пользователей;

разграничение доступа к различным частям документов, например к разным присоединенным файлам, группам реквизитов, полям регистрационных карточек, поручениям по документу.

Среди методов разграничения доступа можно выделить:

задание доступа на уровне серверной базы данных;

ограничение доступа на интерфейсном уровне, когда ряд действий не может быть выполнен через пользовательский интерфейс, но доступен в случае написания отдельной программы.

Обеспечение конфиденциальности информации осуществляется c помощью криптографических методов защиты данных. Их применение позволяет не нарушить конфиденциальность документа даже в случае его попадания в руки стороннего лица.

Не стоит забывать, что любой криптографический алгоритм обладает таким свойством, как криптостойкость, т. е. и его защите есть предел. Нет шифров, которые нельзя было бы взломать, — это вопрос только времени и средств. Те алгоритмы которые еще несколько лет назад считались надежными сегодня уже успешно взламываются.

Поэтому для обеспечения конфиденциальности следует убедиться, что за время, потраченное на взлом зашифрованной информации, она либо безнадежно устареет, либо средства, потраченные на ее взлом, превзойдут стоимость самой информации.

Кроме того, не следует забывать об организационных мерах защиты. Какой бы эффективной криптография ни была, ничто не помешает третьему лицу прочитать документ, например, стоя за плечом человека, который имеет к нему доступ, или расшифровать информацию, воспользовавшись ключом, лежащим в столе сотрудника.

При организации электронного документооборота необходимо обеспечить юридическую значимость электронных документов в соответствии с российским законодательством. Эту задачу можно решить, используя систему электронной цифровой подписи (ЭЦП) и инфраструктуру управления открытыми ключами PKI.

Основной принцип работы ЭЦП основан на технологии шифрования с асимметричным ключом, при которой ключи для шифрования и расшифрования данных различны: имеется закрытый ключ, который позволяет зашифровать информацию, и открытый ключ, при помощи которого можно эту информацию расшифровать, но с его помощью невозможно зашифровать эту информацию. Таким образом, владелец цифровой подписи должен владеть закрытым ключом и не допускать его передачу другие лицам, а открытый ключ может распространяться публично для проверки подлинности цифровой подписи, полученной при помощи закрытого ключа.

Подписать электронный документ с использованием ЭЦП может только обладатель закрытого ключа, а проверить наличие ЭЦП способен любой участник электронного документооборота; получивший открытый ключ, парный закрытому ключу отправителя. Успешная проверка ЭЦП показывает, что электронный документ подписан именно тем, от кого он исходит, и что он не был модифицирован после наложения ЭЦП.

Подтверждение принадлежности открытых ключей конкретным лицам осуществляет удостоверяющий центр инфраструктуры управления открытыми ключами PKI — специальная организация, которой доверяют все участники информационного обмена.

Обращение в удостоверяющий центр позволяет каждому участнику убедиться, что имеющиеся у него копир открытых ключей других участников (для проверки их ЭЦП) действительно принадлежат этим участникам.

Большинство производителей СЭД имеют встроенные в свои системы, собственноручно разработанные или партнерские средства для использования ЭЦП, как, например, в системах Directum или «Евфрат-Документооборот». Такой тесной интеграции с ЭЦП немало способствовал выход федерального закона об ЭЦП (№ 1-ФЗ от 10.01.2002), в котором электронная цифровая подпись была признана имеющей юридическую силу наряду с собственноручной подписью. Стоить заметить, что согласно законам РФ свою систему электронной цифровой подписи может разрабатывать только компания имеющая на это соответствующую лицензию от ФСБ.

Важным моментом в защите электронного документооборота является протоколирование действий пользователей. Его правильная реализация в системе позволяет отследить все неправомерные действия и найти виновника, а при оперативном вмешательстве даже пресечь попытку неправомерных или наносящих вред действий.

Такая возможность обязательно должна присутствовать в самой СЭД. Кроме того, дополнительно можно воспользоваться решениями сторонних разработчиков и партнеров, чьи продукты интегрированы с СЭД. Прежде всего, следует отметить СУБД и хранилища данных, любой подобный продукт крупных разработчиков таких как «Майкрософт» или Oracle, наделен этими средствами. Так можно использовать возможности операционных систем по протоколированию действий пользователей.

Общая модель защищенной СЭД [4] анализ существующих угроз информационной безопасности представлена в Приложении 1.

Выводы по главе 2.

При формировании защиты электронного документооборота необходимо объективно оценить возможные угрозы и риски СЭД и величину возможных потерь от реализованных угроз. Как уже отмечалось, защита СЭД не сводится только лишь к защите документов и разграничению доступа к ним. Необходимо обеспечить защиту аппаратных средств, системы, персональных компьютеров, принтеров и прочих устройств; защиту сетевой среды, в которой функционирует система; защиту каналов передачи данных и сетевого оборудования. На каждом уровне защиты важную роль играет комплекс организационных мер (инструктаж, подготовка персонала к работе с конфиденциальной информацией). Защита системы электронного документооборота должна быть комплексной.

ЗАКЛЮЧЕНИЕ

Наличие электронного документооборота создает основу для управления, доступа и интеграции важной деловой информации. С его помощью можно объединить все формы данных – документы, Web, изображения и аудиовизуальную информацию – в различных рабочих процессах и приложениях. Участники процесса получают возможность составлять, заполнять, просматривать, редактировать, визировать и публиковать документы в электронной форме с высокой степенью безопасности и с использованием Интернета или Интранета. Таким образом, электронный архив предназначен для перевода бумажных документов в цифровую форму и управления всеми видами электронных документов и аудиовидеоматериалов. Он позволяет:

− обеспечить высокую доступность и безопасность информации;

− поддерживать работу ключевых систем организаций.

Оценка эффективности защиты систем позволяет существенно сократить расходы на хранение и управление цифровой информацией; − снизить убытки из-за потерь важных документов. При всех преимуществах внедрение СЭД порождает новые риски, и пренебрежение защитой приводит к новым информационным угрозам. Анализ угроз информационной безопасности в СЭД Считается, что для защиты СЭД достаточно использования электронно-цифровой подписи (ЭЦП), однако в большинстве случаев разработчики не поясняют, как правильно использовать ЭЦП, какая нужна инфраструктура и какие защищенные сервисы необходимо развернуть на ее основе. Обычно на соответствующих сайтах приводятся только конкретные примеры реализованных защищенных СЭД. Поэтому понятие защищенного электронного документооборота (ЗЭД) определить достаточно трудно, особенно в условиях постоянно меняющегося правового поля, недостатка стандартов и активно развивающихся технологий. В общем случае к задаче создания ЗЭД необходимо подходить с точки зрения классической защиты информационной системы [2], обеспечивая решение таких задач, как:

− аутентификация пользователей и разделение доступа;

− подтверждение авторства электронного документа;

− контроль целостности электронного документа;

− конфиденциальность электронного документа;

− обеспечение юридической значимости электронного документа.

Если раньше обеспечивалась защита непосредственно самих электронных документов или информационных ресурсов, содержащих документы, то теперь изменяются основной вектор атак и, соответственно, объект защиты [3]. Кроме традиционных атак на информационные ресурсы все чаще их объектом становится взаимодействие «человек – электронный документ», «человек – информационный ресурс». Таким образом, защищать надо не столько сами документы, сколько системы передачи, обработки и хранения электронных документов при доступе пользователей к работе с электронными документами.

Угрозы СЭД можно сгруппировать по нарушаемым свойствам безопасности: угроза конфиденциальности; угроза целостности; угроза доступности. Под угрозой конфиденциальности понимают такие нарушения, как кража, перехват информации, изменения маршрутов следования. Угрозы целостности – это угрозы, при реализации которых информация теряет заранее определенные системой вид и качество. Объектами данной угрозы могут быть все компоненты описанной выше модели СЭД: документы – данные, хранящиеся на сервере БД, резервные копии документов; сервер БД – среда хранения электронных документов; серверы ОС и АСЭД – установленные на серверах и рабочих станциях, включая клиентов СУБД, операционная система и интерфейсная часть СЭД; аппаратная система – каналы связи между компонентами, аппаратный межсетевой экран. Угрозы доступности характеризуют возможность доступа к хранимой и обрабатываемой в СЭД информации в любой момент времени. Защиту от этих угроз в той или иной мере должна реализовывать любая система электронного документооборота. При этом, с одной стороны, при внедрении СЭД увеличиваются риски реализации угроз, но, с другой стороны, при правильном подходе упорядочение документооборота позволяет выстроить более качественную систему защиты. Таким образом, любая защищенная СЭД должна предусматривать реализацию как минимум следующих механизмов защиты: обеспечение целостности документов; обеспечение безопасного доступа; обеспечение конфиденциальности документов; обеспечение подлинности документов; протоколирование действий пользователей.

Разработка систем защиты информации СЭД должна проводиться с учетом защиты от выявленных угроз и возможных информационных рисков, для которых определяются способы защиты, и на основе предложенного показателя оценки ее эффективности. При этом учитываются требования, которые предъявляются к созданию таких систем, а именно [7]:

− организация защиты информации осуществляется с учетом системного подхода, обеспечивающего оптимальное сочетание взаимосвязанных методологических, организационных, программных, аппаратных и иных средств;

− система должна развиваться непрерывно, так как способы реализации угроз информации непрерывно совершенствуются.

Управление информационной базой – это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования систем информации, непрерывном контроле, выявление ее «узких» и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа (НСД); − система должна предусматривать разделение и минимизацию полномочий по доступу к обрабатываемой информации и процедурам обработки; − система должна обеспечивать контроль и регистрацию попыток НСД, содержать средства для точного установления идентичности каждого пользователя и производить протоколирование действий; − обеспечивать надежность защиты информации и контроль за функционированием системы защиты, т.е. использовать средства и методы контроля работоспособности механизмов защиты. Реализация перечисленных требований при создании системы защиты информации в СЭД будет способствовать организации эффективного защищенного документооборота.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Аскеров Т.М. Защита информации и информационная безопасность / под общ. ред. К.И. Курбакова. – М.: Российская экономическая академия, 2011. – 386 с.
Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. – М.: ДиаСофт, 2012. – 693 с.
Досмухамедов Б.Р. Анализ угроз информации систем электронного документооборота // Компьютерное обеспечение и вычислительная техника. – 2009. – № 6. – С. 140–143.
Зайченко Ю.П. Исследование операций: учеб. – 6-е изд., перераб. и доп. – Киев: Изд. дом «Слово», 2013. – 688 с.
Макарова Н.В. Компьютерное делопроизводство: учеб. курс / Н.В. Макарова, Г.С. Николайчук, Ю.Ф. Титова. – СПб.: Питер, 2015. – 411 с.
Сабанов А.А. Некоторые аспекты защиты электронного документооборота // Connect! Мир связи. – 2010. – № 7. – С. 62–64.
Система электронного документооборота и автоматизации бизнес-процессов [Эл. ресурс] URL: http://evfrat.ru/
Система электронного документооборота с расширенным функционалом [Эл. ресурс] URL: http://www.directum.ru/
Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. Учеб. Пособие. М. : ИД «Форум»: Инфра-М, 2010. С. 592.
Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. – М.: Наука и техника, 2013. – 384 с.

ПРИЛОЖЕНИЕ 1

Общая модель защищенной СЭД