Система защищенного электронного документооборота
Особенности конфиденциального электронного документооборота. Основные требования и меры по защите конфиденциальной информации, циркулирующей в эксплуатируемой автоматизированной информационной системе. Аттестация автоматизированных информационных систем.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 18.04.2015 |
| Размер файла | 995,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Система защищенного электронного документооборота
План
1. Особенности конфиденциального электронного документооборота
2. Основные пилы угроз информационной безопасности организации
3. Основные требования и меры по защите конфиденциальной информации, циркулирующей в эксплуатируемой автоматизированной информационной системе
3.1 Основные требования по защите конфиденциальной информации
3.2 Основные технические требования к организации защищенного взаимодействия систем МЭД н ВЭД
3.3 Основные меры по защите конфиденциальной информации
3.4 Особенности и основные требования защиты персональных данных в АИС
3.5 Примерный состав и функции службы комплексного администрирования АИС
4. Организация работ при создании системы защиты электронного документооборота
4.1 Основные требования по разработке системы защиты информации
4.2 Стадии и этапы разработки системы защиты
5. Организация проведения работ по защите конфиденциальной информации при ее автоматизированной обработке
5.1 Общие положения
5.2 Классификатор конфиденциальной информации
5.3 Особенности защиты конфиденциальной информации на автоматизированных рабочих местах на баю автономных персональных ЭВМ
5.4 Особенности защиты информации в локальных вычислительных сетях
5.5 Особенности защиты информации при использовании технологии терминальной системы
5.6 Особенности технологий зашиты информации при межсетевом взаимодействии
5.7 Особенности защиты информации в корпоративных информационно-коммуникационных системах
6. Обеспечение контроля защиты электронного документооборота
7. Аттестация автоматизированных информационных систем по требованиям безопасности информации
7.1 Особенности организация проведения аттестации
7.2 Подготовка к проведению аттестации
7.3 Проведение аттестации
8. Защита системы электронных сообщений
8.1 Система электронных сообщений
8.2 Угрозы, связанные с использованием системы электронных сообщений
8.3 Защита системы электронных сообщений
8.4 Средства реализации правил использования системы электронных сообщений
1. Особенности конфиденциального электронного документооборота
Правительство Российской Федерации утвердило Положение о системе межведомственного электронного документооборота [74]. Федеральная информационная система обеспечивает в автоматизированном режиме защищенный обмен электронными сообщениями, п том числе сообщениями, содержащими информацию, отнесенную к сведениям, составляющим служебную тайну [117].
Защищенный электронный документооборот, как отмечалось во введении, можно разделить на два вида: внутренний (ВЭД) организации и межведомственный (межсетевой) (МЭД).
Почтовый обмен электронными сообщениями по защищенным каналам связи при МЭД осуществляется с помощью специального программного обеспечения - комплекс программ "Почтовая служба", предназначенного для организации. электронный документооборот конфиденциальный
Электронное сообщение состоит из двух частей: сопроводительной, предназначенной для адресации сообщения, и содержательной, представляющей собой текст сообщения либо текст сообщения с присоединенными файлами, содержащими электронную копию (электронный образ) документа или электронный документ, и их реквизиты, описанные с помощью языка ХМL. Формат файлов, используемых при осуществлении МЭД, должен соответствовать национальным или международным стандартам либо иметь открытый исходный код и открытую структуру. Язык XML расширяемый язык гипертекстовой разметки, используемый для создания и размещения документов в среде WWW. Язык позволяет автоматизировать обмен данными, не прибегая к существенному объему программирования [331].
Стандарт на представление данных - ориентированный, в частности на обмен информацией между независимыми участниками. Формат XML предполагает структурную, а не оформительскую раз - метку информации. Поэтому XML-файл легко обрабатывать, загружать в базы данных, а также "накладывать" на него любой дитайн, необходимый для представления данных в удобной потребителю форме. Именно это делает XML форматом, удобным для трансляций.
Следует отметить, что одни и те желанные в рамках формата XML можно представить разными, несовместимыми друг с другом способами. В тех областях, где обмен информацией - частое и устойчивое явление, разработаны XML-форматы представления данных, которым рекомендуется следовать по мере возможности.
Электронный документ - информационный объект, также состоящий из двух частей:
реквизитной, содержащей идентифицирующие атрибуты (имя, время и место создания, данные об авторе и т.д.) и электронную цифровую подпись:
содержательной, включающей в себя текстовую, числовую и/ил и графическую информацию, которая обрабатывается в качестве единого целого [149].
Технические требования к организации взаимодействия системы межведомственного электронного документооборота с системами электронного документооборота федеральных органов исполнительной власти утверждены распоряжением Правительства Российской Федерации от 2 октября 2009 г. №1403-р. Основные требования к взаимодействию данных систем других организаций (государственных и негосударственных структур) изложены в разд. 3.2.
Правилами делопроизводства в федеральных органах исполнительной власти [76] определено, что электронные документы создаются, обрабатываются и хранятся в системе электронного документооборота федерального органа исполнительной власти (в нашем случае ВЭД организации). Правилами установлен перечень обязательных сведений о документах, используемых в целях учета и поиска документов в системах электронного документооборота. В соответствии с данным перечнем обязательным сведением является отметка о конфиденциальности электронного документа.
Для подписания электронных документов используются электронные цифровые подписи. Электронная цифровая подпись - реквизит электронного документа, который предназначен для его защиты от подделки, получен в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяет идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Средства ЭЦП представляют собой аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:
· создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП:
· подтверждение с использованием открытого ключа ЭЦП подлинности в электронном документе;
· создание закрытых и открытых ключей ЭЦП.
Используемые средства электронной цифровой подписи должны быть сертифицированы. Сертификат средств ЭЦП - это документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия этих средств установленным требованиям.
При рассмотрении и согласовании электронных документов в системе электронного документооборота могут использоваться способы подтверждения, при которых ЭЦП не используется.
Прием и отправка конфиденциальных электронных документов осуществляются Службой делопроизводства организации. При получении электронных документов Служба делопроизводства осуществляет проверку подлинности ЭЦП.
При передаче поступивших электронных документов на рассмотрение руководству, их направления в структурные подразделения и ответственным исполнителям, отправке электронных документов для их хранения вместе с электронными документами передаются (хранятся) их регистрационные данные.
Единицей учета электронного документа является электронный документ, зарегистрированный в системе ВЭД организации. Электронный документ - документ, в котором информация представлена в электронно-цифровой форме [Там же].
Исполненные электронные документы систематизируются в дела в соответствии с номенклатурой дел организации (см. гл. 5). При составлении номенклатуры дел указывается, что дело ведется в электронном виде.
Электронные документы после их исполнения подлежат хранению в установленном порядке в организации в течение сроков, предусмотренных для аналогичных документов на бумажном носителе.
Но истечении срока, установленного для хранения электронных дел (электронных документов), на основании акта о выделении их к уничтожению, утверждаемого руководителем организации, указанные электронные дела (электронные документы) подлежат уничтожению.
Защите подлежит информация, имеющая различную структуру и обрабатываемая средствами вычислительной техники, представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитооптической и иной основе.
В нашем случае автоматизированная информационная система и информация, включая конфиденциальную, циркулирующую в системе, рассматриваются как конфиденциальный электронный документооборот.
Информационная безопасность - это защита конфиденциальности, целостности недоступности информации [147]. Конфиденциальность информации: обеспечение доступа к информации только авторизованным пользователям. Целостность информации: обеспечение достоверности и полноты информации и методов ее обработки. Доступность информации: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Информационная безопасность при осуществлении МЭД и ВУД обеспечивается комплексом технических и организационных мероприятий. К техническим мероприятиям относятся:
· организация и использование средств защиты информации в полном объеме их функциональных возможностей;
· обеспечение целостности обрабатываемых данных;
· обеспечение антивирусной защиты информации.
К организационным мероприятиям относятся:
· контроль выполнения требований нормативных документов, регламентирующих обеспечение защиты информации:
· определение должностных лиц участников и организатора МЭД, ответственных за обеспечение информационной безопасности:
· установление порядка резервного копирования, восстановления и архивирования баз данных, находящихся на головном узле, а также порядка обновления антивирусных баз;
· установление порядка допуска для проведения ремонтно-восстановительных работ программно-технических средств:
· организация режимных мероприятий в отношении помещений, в которых размещены узлы участников ВЭД и МЭД. и технических средств этих узлов.
Технические сродства узла участника включают в себя серверное и коммуникационное оборудование, средства защиты информации, автоматизированные рабочие места (АРМ) и перелаются организатором МЭД участнику на безвозмездной основе во временное пользование. Передача оформляется актом приема-передачи технических средств. Технические средства должны быть расположены в помещениях. обеспечивающих их сохранность и конфиденциальность передаваемой и принимаемой информации.
В случае возникновения необходимости размещения у участников дополнительных технических средств и (или) их переноса в другие помещения финансирование выполнения комплекса работ по прокладке объектовых линий связи приобретения оборудования и программного обеспечения, а также проведения и выполнения специальных работ осуществляется за счет средств участника. Указанные работы для обеспечения конфиденциальности и безопасности производятся поставщиком услуг, имеющим соответствующую лицензию. Спецификация па приобретаемое оборудование, программное обеспечение и материалы, а также техническое задание на выполнение специальных работ согласуются с организатором МЭД.
Настройку технических средств и средств зашиты, а также установку специального программного обеспечения выполняет организатор МЭД. Финансирование приобретения расходных материалов (съемные носители информации, картриджи к принтерам и др.) осуществляется участниками МЭД.
Основными функциями узлов участников МЭД являются:
· обеспечение защиты обрабатываемой, хранимой и передаваемой информации от несанкционированного доступа и искажения до передачи се в защищенный канал связи;
· доставка электронных сообщений, полученных из головного узла, в автоматизированные информационные системы ВЭД адресатов или, иными словами, их автоматизированные информационные системы:
· отправка электронных сообщений из автоматизированных информационных систем ВЭД на головной узел МЭД:
· хранение электронных сообщений до передачи на головной узел МЭД или в автоматизированную информационную систему ВЭД адресата.
Обмен электронными сообщениями при МЭД осуществляют уполномоченные сотрудники. Отправитель электронного сообщения, содержащего электронную копию документа, несет ответственность за соответствие содержания электронной копии содержанию подлинника документа на бумажном носителе.
Регистрация (учет) электронных сообщений в автомат тированной информационной системе ВЭД участника осуществляется в соответствии с инструкцией по делопроизводству этого участника.
Автоматизированная информационная система внутреннего электронного документооборота участника должна обеспечивать подготовку- уведомлений о ходе рассмотрения электронных сообщений этим участником.
Требования по защите информации и мероприятия по их выполнению, а также конкретные средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности на основании разрабатываемой модели угроз и действий нарушителя.
Зашита информации, циркулирующей в АИС организации, или. иными словами, внутреннем электронном документообороте, осуществляется в соответствии с российским законодательством и требованиями нормативно-технических документов в области защиты информации.
Основными задачами обеспечения защиты информации, циркулирующей в АИС, и самих систем на уровне единой информационной среды организации являются:
· формирование технической политики организации в области зашиты информационно-коммуникационных технологий;
· координация деятельности структурных подразделений организации в сфере защиты информации и АИС, а также оценка эффективности принимаемых мер:
· взаимодействие с уполномоченными федеральными и региональными государственными органами в области защиты информации (ФСО России. ФСТЭК России. ФСБ России):
· организация исследований и анализа состояния защиты информации организации;
· организация учета конфиденциальной информации, циркулирующей в АИС, самих систем и других носителей
· организация мониторинга и контроля эффективности защиты информации, циркулирующей в АИС, и самих систем
· аттестация АИС на соответствие требованиям зашиты информации, предусматривающей комплексную проверку (аттестационные испытания) в реальных условиях эксплуатации в целях оценки соответствия используемого комплекса мер и средств защиты требуемому уровню
· планирование работ по созданию и совершенствованию систем защиты информации на конкретных объектах:
· управление зашитой информации на конкретных объектах;
· анализ и прогнозирование потенциальных угроз для конкретных объектов
· оценка возможного ущерба от реализации угроз:
· контроль эффективности принимаемых защитных мер и разбор случаев нарушения.
Для обеспечения информационной безопасности в организации создается служба (подразделение) информационной безопасности или отдельные должности штатного расписания организации, укомплектованные специалистами, ответственными за обеспечение информационной безопасности. Подразделение информационной безопасности может подчиняться непосредственно Службе безопасности организации или входить в состав подразделения информационных технологи1. Варианты могут быть различными в зависимости наличия в организации Службы безопасности или Службы информационных технологий. Но в любом случае подразделение информационной безопасности должно быть предусмотрено штатным расписанием в целях обеспечения системы защиты электронного документооборота.
Специалисты подразделения информационной безопасности должны иметь необходимую квалификацию в области защиты информации и проходить периодическую переподготовку (повышение квалификации) в соответствии с программами послевузовского профессионального образования. Квалификационные характеристики главного специалиста по защите информации предусмотрены Квалификационным справочником должностей руководителей, специалистов и других служащих.
Для проведения работ по созданию и эксплуатации системы защиты электронного документооборота могут привлекаться специализированные организации (предприятия), имеющие лицензии и сертификаты на право проведения работ в области защиты информации.
Сертификация средств защиты информации регулируется I Становлением Правительства Российской Федерации от 12.02.1994 № 100 "Об организации работ по стандартизации, обеспечению единства измерений, сертификации продукции и услуг" и Постановлением Правительства Российской Федерации от 25.06.95 г. № 608 "О сертификации средств защиты информации".
Федеральным законом от 8 августа 2001 г. № 128-ФЗ "О лицензировании отдельных видов деятельности", ст. 17, п. 1, п.п. 5-13 определен перечень видов деятельности в области зашиты информации на осуществление которых требуются лицензии:
· деятельность по распространению шифровальных (криптографических) средств (80):
· деятельность по техническому обслуживанию шифровальных (криптографических) средств [Там же];
· предоставление услуг в облает шифрования информации [там xej;
· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем [Там же];
· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) [83]:
· деятельность по разработке и (или) производству средств защиты конфиденциальной информации [86];
· деятельность по технической защите конфиденциальной информации [87];
· разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность [96]:
· деятельность по изготовлению защищенной от подделок полиграфической продукции, в том числе бланков ценных бумаг, а также торговля указанной продукцией [85].
Подразделение информационной безопасности осуществляет свою деятельность в соответствии с разрабатываемым Положением о подразделении и выполняет основные задачи и функции по обеспечению защиты информации.
Защита информации при сс автоматизированной обработке производится на этапе эксплуатации автоматизированных информационных систем. При выполнении работ по защите информации следует учитывать организационные меры, обусловленные необходимостью проведения технического обслуживания, устранения неисправностей. обновления программного обеспечения и других мероприятий. задаваемых в соответствии с технологиями проведения эксплуатации систем защиты информации в АИС.
Организация и выполнение подготовительных работ по автоматизированной обработке конфиденциальной информации должны проводиться с учетом требований технологий разработки систем зашиты информации. Объектами зашиты при этом являются: открытая. общедоступная информация и информация ограниченного доступа - это конфиденциальная информация, составляющая секрет производства, служебный секрет производства, служебную, коммерческую, профессиональную тайну, персональные данные и иные сведения, установленные российским законодательством, за исключением сведений, составляющих государственную тайну (см. гл. 1).
Объекты защиты АИС и циркулирующей в ней информации более подробно рассмотрены в разд. 3.7.
Определение и категорирование подлежащей защите информации осуществляет организация - заказчик создания и эксплуатации АИС в соответствии с действующим российским законодательством. Список источников и литературы), а также Перечня конфиденциальной документированной информации организации и разрабатываемого или уже разработанного на его основе классификатора конфиденциальной информации системы.
Технологии и процессы автоматизированной обработки защищаемой конфиденциальной информации должны быть обеспечены стандартизованными машинными носителями информации, их накопителями, программно-техническими средствами глобальных и локальных вычислительных сетей и протоколами межведомственного (межсетевого) взаимодействия АИС.
2. Основные пилы угроз информационной безопасности организации
Явление, действие или процесс, результатом которых могут быть утечка, хищение, утрата, искажение, подделка, уничтожение, модификация, блокирование информации, определяются как факторы, воздействующие на информацию.
Основными видами угроз информационной безопасности организации являются: противоправные действия третьих лиц, ошибочные действия пользователей и обслуживающего персонала, отказы и сбои программных средств, вредоносные программные воздействия на средства вычислительной техники и информацию.
Кроме действий человека (умышленные, ошибочные или случайные) источниками угроз информационной безопасности являются сбои и отказы программных и технических средств вычислительной техники, техногенные катастрофы, акты терроризма, стихийные бедствия и др.
Понятие "утечка" связано только с информацией ограниченного доступа (конфиденциальной) и в общем случае трактуется как выход ее из сферы обращения. Под утечкой понимается несанкционированный доступ (НСД) к информации, т. е. доступ в нарушение правил разграничения доступа к информации, которые устанавливает обладатель конфиденциальной информации или автоматизированной информационной системы, в которой эта информация циркулирует. При этом рассматривается только доступ к информации посредством применяемых в автоматизированных системах информационных технологий и непосредственный доступ к носителям информации.
В отличие от утечки информации блокирование, модификация, искажение и уничтожение объекта защиты могут произойти как вследствие несанкционированного доступа человека к информации, циркулирующей в АИС, так и по причинам, не зависящим от человека. При этом искажение и уничтожение объекта защиты, например изменение или замена программ управления вычислительным процессом, также могут привести к утечке информации.
НСД не всегда влечет за собой утечку, блокирование, искажение или уничтожение объекта защиты, что. в свою очередь, нс всегда приводит к значимому ущербу. Тем нс менее НСД к информации определяется как основополагающий фактор нарушения информационной безопасности при рассмотрении проблем обеспечения зашиты информации и противодействия угрозам.
Угроза информационной безопасности может быть обусловлена только наличием уязвимостей объекта защиты. Уязвимость это свойство АИС или ее компонентов, используя которое реализуются угрозы. Уязвимость возникает в основном, из-за недоработок или ошибок, содержащихся в продуктах информационных технологий, а также вследствие ошибок при проектировании автоматизированных информационных систем, которые могут привести к поведению. неадекватному целям обеспечения се безопасности. Кроме того, уязвимости могут появляться в результате неправильной эксплуатации системы.
Для конкретной АИС как объекта защиты характерна своя совокупность угроз, зависящая от условий, в которых создается или функционирует система (табл. 1).
3. Основные требования и меры по защите конфиденциальной информации, циркулирующей в эксплуатируемой автоматизированной информационной системе
3.1 Основные требования по защите конфиденциальной информации
Основные требования по защите информации должны основываться на положениях Федерального закона "Об информации, информационных технологиях и защите информации", РД "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)", РД "Автоматизированные системы. 'Защита от НСД к информации. Классификация АС и требования по защите информации" и других стандартах и руководящих документов. Эксплуатация АИС и системы защиты информации в ее составе также осуществляется в полном соответствии с утвержденной проектной организационно-распорядительной и эксплуатационной документацией.
Требования по защите информации устанавливаются в зависимости от состава (категории) конфиденциальной информации и потенциальных угроз. При этом минимально необходимая совокупность требований по системе защиты ВЭД организации, или, иными словами. АИС и информации, циркулирующей в ней. устанавливается стандартами и руководящими документами.
В зависимости от состава (категории) информации и потенциальных угроз для определения требуемых мероприятий по защите информации. а также для минимизации затрат на защиту информации устанавливаются два уровня информационной безопасности АИС.
Первый (базовый) уровень информационной безопасности устанавливается для АИС. в которых обрабатывается общедоступная информация, второй уровень - для АИС. в которых циркулирует конфиденциальная информация, или, иначе, осуществляется конфиденциальный электронный документооборот.
Конкретные требования по защите информации и мероприятия по их выполнению определяются для АИС в целом в зависимости от уровня информационной безопасности, устанавливаемого объекту защиты.
Требования по защите информации мероприятия по их выполнению. а также конкретные средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности на основании разрабатываемой модели угроз и действий нарушителя
3.2 Основные технические требования к организации защищенного взаимодействия систем МЭД н ВЭД
Организация защищенного взаимодействия систем МЭД и ВЭД предусматривает максимальное использование программно-технических средств и возможность поэтапного подключения. Для организации взаимодействия используются следующие компоненты:
· . существующие компоненты системы ВЭД и МЭД:
· . внедряемый компонент - шлюз системы МЭД (далее - шлюз), который является программно-техническим комплексом, выполняющим функции по обеспечению обмена электронными сообщениями с системой ВЭД и обеспечивающим хранение, просмотр, поиск и выгрузку (загрузку) электронных сообщений. Шлюз состоит из объединенных в локальную информационно-телекоммуникационную сеть сервера базы данных и автоматизированного рабочего места шлюза, в составе которого развертывается клиентское программное обеспечение комплекса программ "Почтовая служба системы".
Разрабатываемый компонент адаптер ВЭД, который является специализированным программным обеспечением, разрабатываемым для каждого типа ВЭД (адаптер системы предназначен для преобразования передаваемых или получаемых данных, входящих в состав электронных сообщений, в формат представления данных, используемый в системе ВЭД. или в стандартный формат данных при обмене электронными сообщениями".
Требования к шлюзу. Программно-технические средства шлюза должны обеспечивать выполнение следующих функций:
· отправку и прием электронных сообщений
· хранение документов в электронном виде и их реквизитов;
· поиск хранимых документов в электронном виде но их реквизитам и просмотр, как реквизитов, так и электронных образов документов;
· возможность выгрузки и загрузки документов и их реквизитов в электронном виде с использованием съемного носителя информации;
· обработка ошибок, протоколирование работы и минимальное разграничение доступа к данным и сервисам, предоставляемым шлюзом.
Требования к взаимодействию шлюза и адаптера системы ВЭД. Взаимодействие шлюза и адаптера системы ВЭД должно осуществляться с использованием сертифицированных средств защиты, обеспечивающих возможность обмена электронными сообщениями в автоматизированном режиме. При этом предусматривается размещение на технических средствах шлюза узла электронной почты, обеспечивающего передачу электронных сообщений участникам системы МЭД и между абонентами.
Требования к системе МЭД. Система должна обеспечивать:
· защищенный обмен электронными сообщениями между участниками системы МЭД;
· доставку электронных сообщений адресатам с отсылкой отправителю квитанций о времени их получения:
· целостность электронных сообщений:
· поддержку справочников (лиц подписывающих документы (код), подразделений (код), адресатов документов (код) и тд.);
· выгрузку электронных сообщений из комплекса программ "Почтовая служба" для последующей загрузки в систему ВЭД - получателей электронных сообщений:
· загрузку электронных сообщений из системы ВЭД в шлюз для последующей передачи адресатам с использованием комплекса программ "11очтовая служба".
Требования к системе ВЭД. Система должна обеспечивать возможность:
· хранения документов в электронной форме и их реквизитов:
· взаимодействия с адаптером системы ВЭД при отправке и приеме электронных сообщений.
Требования к информационной безопасности при организации взаимодействия системы МЭД с системой ВЭД. При организации взаимодействия указанных систем должна обеспечиваться антивирусная защита (ст. 9.8). Для защиты конфиденциальной информации должны использоваться сертифицированные по требованиям безопасности информации технические и (или) программные средства защиты информации. Автоматизированные рабочие места шлюза и выделенные персональные ЭВМ с адаптером системы ВЭД должны аттестовываться на соответствие требованиям технической защиты конфиденциальной информации. Требования по защите информации и мероприятия по их выполнению, а также конкретные средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности на основании разрабатываемой модели угроз и действий нарушителя (см. разд. 2).
3.3 Основные меры по защите конфиденциальной информации
Защита информации АИС и самих систем различного уровня и назначения является неотъемлемой составной частью научной, производственной и управленческой деятельности организации - заказчика создания (эксплуатации) автоматизированной системы и осуществляется во взаимосвязи с другими мерами обеспечения зашиты информации.
Обеспечение защиты, соответствующей уровню информационной безопасности объекта защиты, содержащего конфиденциальную информацию, должно предусматривать комплекс организационных, программных, технических средств и мер по защите информации ограниченного доступа и распространения.
К основным мерам защиты информации с ограниченным доступом относятся:
· выделение конфиденциальной информации, средств и систем защиты информации или их компонентов, подлежащих защите на основе ограничительных перечней конфиденциальной документированной информации разрабатываемых в организации и в ее структурных подразделениях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к категории конфиденциальной;
· реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала, персонала других организаций) к работам, документам и информации с ограниченным доступом
· ограничение доступа персонала и посторонних лиц в помещения. где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) конфиденциальная информация, непосредственно к самим средствам информатизации и коммуникациям;
· разграничение доступа пользователей и обслуживающего персонала к информации, программным средствам обработки (передачи) и защиты информации;
· учет документов, информационных массивов, регистрация действий пользователей АИС и обслуживающего персонала, контроль за санкционированным и несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
· надежное хранение традиционных и машинных носителей информации ключей (ключевой документации) и их обращение, исключающее их хищение, подмену, изменение (модификацию) и уничтожение;
· необходимое резервирование технических средств и дублирование массивов и носителей информации;
· использование сертифицированных средств защиты информации при обработке конфиденциальной информации ограниченного доступа;
· использование технических средств, удовлетворяющих требованиям стандартов по совместимости;
· проверка эффективности защиты технических средств и систем в реальных условиях их размещения и эксплуатации в целях определения достаточности мер защиты с учетом установленной категории;
· физическая защита помещений и собственно технических средств АИС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей;
· криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости), определяемой особенностями функционирования конкретных автоматизированных систем:
· исключение возможности визуального (в том числе с использованием оптических средств наблюдения) несанкционированного просмотра обрабатываемой информации;
· предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок;
· использование волоконно-оптических линий связи для передачи конфиденциальной информации;
· использование защищенных каналов связи.
В целях дифференцированного подхода к защите информации, осуществляемого для разработки и применения необходимых и достаточных средств защиты информации, а также обоснованных мер по достижению требуемого уровня информационной безопасности, проводится классификация автоматизированных систем, обрабатывающих конфиденциальную информацию, либо разрабатываются профили защиты в соответствии с ГОСТ Р ИСО/МЭК 15408-1-2002 [152; 185]. Профиль защиты - это не зависящая от реализации совокупность требований безопасности для некоторой категории объекта оценки, отвечающая специфическим запросам потребителя.
Классификации подлежат все действующие, но ранее не классифицированные, а также разрабатываемые АИС, предназначенные для обработки информации с ограниченным доступом. Если система, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, то образующаяся при этом АИС более высокого уровня классифицируется в целом, а в отношении системы нижнего уровня классификация не производится.
Если объединяются автоматизированные системы различных классов защищенности, то интегрированная АИС должна классифицироваться по высшему классу защищенности входящих в нее систем, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся автоматизированных систем может сохранять свой класс защищенности. Межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределительное средство (комплекс), реализующее контроль за информацией, поступающей в АИС и (или) выходящей из системы, и обеспечивающее ее защиту посредством фильтрации информации, т.с. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) системы [198].
В соответствии с требованиями руководящих документов ФСТЭК России, конфиденциальная информация автоматизированной системы является объектом защиты. Определение объектов защиты проводится на на этапах проектирования и приемо-сдаточных испытаний системы, а также в ходе инвентаризации и доработок, аттестационных испытаний и других контрольных мероприятий, проводимых в процессе эксплуатации АИС.
Категории конфиденциальной информации как объекта защиты устанавливаются до начала ее автоматизированной обработки, с использованием документально оформленного Перечня конфиденциальной документированной информации (КДИ) организации (см. разд. 2.3). за исключением государственной тайны, подлежащей защите в соответствии с законодательством Российской Федерации. Этот Перечень может носить обобщающий характер в области деятельности организации или иметь отношение к какому-либо отдельному направлению работ, связанному с созданием АИС. Все исполнители и, при необходимости, представители сторонних организаций, привлекаемых к проведению работ с использованием сведений конфиденциального характера, должны быть ознакомлены с этим Перечнем. При отсутствии в организации Перечня КДИ допускается разработка специализированного перечня для конкретной АИС организации или системы структурного подразделения.
Для идентификации и кодирования конфиденциальной информации при ее структурировании, автоматизированной обработке, в том числе в системах управления базами данных (СУБД), предусмотрен Классификатор конфиденциальной информации организации.
Каждый реквизит таблицы базы данных, предназначенной для хранения конфиденциальной информации, должен иметь уникальный идентификатор.
В процессе автоматизированной обработки по завершении очередного установленного календарного периода (не менее года) эксплуатации организация (заказчик) организует определение текущего уровня защиты в целях контроля его соответствия требуемому уровню.
В организации разрабатываются документы (трудовые договоры. контракты, соглашения), регулирующие отношения между организацией работодателем и се работниками, организацией со сторонними организациями но порядку обращения с конфиденциальной информацией и ее обмена (приема-передачи) (см. гл. 4). Должностным лицам и работникам организации, использующим сведения конфиденциального характера, в организации обеспечиваются необходимые условия для соблюдения установленного порядка обращения с такой информацией при ее автоматизированной обработке.
Организация эксплуатации АИС и системы защиты информации в ее составе осуществляется в соответствии с установленным в организации порядком, в том числе в соответствии с инструкциями по эксплуатации системы защиты информации для пользователя, оператора, администратора системы, администратора безопасности.
Порядок обеспечения защиты информации в процессе эксплуатации, учитывающий особенности реализации АИС, технологии обработки информации и доступа исполнителей к ее техническим средствам, накопителям и носителям информации, определяется Инструкцией по защите информации организации, составленной на основании действующих документов ФСТЭК России, других стандартов и нормативных документов.
Ответственность за обеспечение защиты информации в процессе эксплуатации АИС возлагается на руководство эксплуатирующей организации и Службу безопасности или информационной безопасности. Подразделение информационной безопасности также может входить, как уже говорилось, в состав подразделения по информационным технологиям организации. Ответственность за соблюдение установленных требований по защите информации при разработке АИС возлагается на непосредственных исполнителей.
3.4 Особенности и основные требования защиты персональных данных в АИС
В соответствии со ст. 19 Федерального закона "О персональных данных" Правительство Российской Федерации своим постановлением [82] установило требования к обеспечению безопасности персональных данных при их обработке в информационных системах. На основе данного постановления ФСПОК России своим приказом [118] утвердило Положение о методах и способах защиты информации в информационных системах персональных данных, в котором не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации. Анализ основных разделов и приложения данного Положения, показывает, что его можно применять не только для информационных систем персональных данных, но и для АИС, в которых циркулирует любая другая информация.
Работы по обеспечению безопасности персональных данных при их обработке в АИС являются неотъемлемой частью работ но созданию этих систем (см. разд. 4, а также ГОСТ 34.601 90 (180) и ГОСТ Р 51583-200011561).
Требования по обеспечению безопасности и защиты персональных данных при их обработке в АИС представляют собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Под техническими средствами, позволяющими обрабатывать персональные данные, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковые произведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации). программные средства (операционные системы, системы управления базами данных и др.). средства защиты информации, применяемые в АИС.
Безопасность персональных данных при их обработке в ЛИС обеспечивается с помощью системы защиты, включающей как организационные меры, так и технические, программные средства, которые должны удовлетворять устанавливаемым требованиям, обеспечивающим защиту информации. Средства защиты информации включают в себя также: шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа и утечки информации по техническим каналам, средства предотвращения программно-технических воздействий на технические средства обработки персональных данных, а также информационные технологии, используемые в АИС персональных данных.
Для обеспечения безопасности персональных данных при их обработке в АИС, осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
Обмен персональными данными при их обработке в АИС осуществляется но каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными. соблюдения условий безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемою проникновения или пребывания в этих помещениях посторонних лиц. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются ФСТЭК России, ФСБ России и ФСО России в пределах их полномочий [63-65].
Безопасность персональных данных при их обработке в АИС обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку' персональных данных. Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и их безопасность при обработке в информационной системе.
При обработке персональных данных в ЛИС должны быть обеспечены:
· проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
· своевременное обнаружение фактов несанкционированного доступа к персональным данным:
· недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
· возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· постоянный контроль за обеспечением уровня защищенности персональных данных.
Мероприятия по обеспечению безопасности персональных данных при их обработке в АИС включают в себя:
· определение угроз информационной безопасности персональных данных при их обработке, формирование на их основе модели угроз
· разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса АИС
· проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
· установку - и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
· обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
· учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных
· учет лиц, допущенных к работе с персональными данными в АИС;
· контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
· разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, а также разработку и принятие мер по предотвращению возможных опасных последствии подобных нарушений;
· описание системы защиты персональных данных.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
Должностные лица допускаются для выполнения служебных (трудовых) обязанностей к соответствующим данным на основании списка, утвержденного оператором АИС или уполномоченным лицом.
Запросы пользователей информационной системы на получение персональных данных, включая лиц, доступ которых необходим для выполнения служебных (трудовых) обязанностей, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям АИС до выявления причин нарушений и устранения этих причин.
Реализация требований по обеспечению информационной безопасности в средствах зашиты информации возлагается на их разработчиков.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические. инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами АИС. Конкретные сроки проведения контрольных тематических исследований определяются ФСБ России.
Результаты соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных, оцениваются в ходе экспертизы, осуществляемой ФСБ России и ФСТЭК России в пределах их полномочий.
К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных, прилагаются правила пользования этими средствами, согласованные с ФСБ России и ФСТЭК России в пределах их полномочий.
Средства защиты информации, предназначенные для обеспечения безопасности персональных данных, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется ФСБ России и ФСТЭК России.
Порядок разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются ФСБ России.
Автоматизированные информационные системы персональных данных должны классифицироваться операторами - государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку' персональных данных, а также определяющими цели и содержите обработки персональных данных в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения классификации информационных систем персональных данных установлен совместно ФСТЭК России. ФСБ России и Министерством информационных технологий и связи Российской Федерации.
Проведение классификации АИС персональных данных включает в себя следующие этапы:
· сбор и анализ исходных данных по информационной системе:
· присвоение системе соответствующего класса и его документальное оформление [122; 166, 200].
При проведении классификации учитываются такие исходные данные как:
· категория обрабатываемых в системе персональных данных-Хпд
· объем обрабатываемых персональных данных (количество субъектов, персональные данные которых обрабатываются в системе) - Хнпд
· заданные оператором характеристики безопасности персональных данных, обрабатываемых в системе:
· структура системы;
· наличие подключения информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
· режим обработки персональных данных:
· режим разграничения прав доступа пользователей АИС;
· местонахождение технических средств информационной системы.
Определяются следующие категории обрабатываемых в информационной системе персональных данных (Хпд):
· категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
· категория 2 - персональные данные, позволяющие идентифицировать субъекта этих данных и получить о нем дополнительную информацию, за исключение данных, относящихся к категории 1;
· категория 3 - персональные данные, позволяющие идентифицировать субъекта этих данных;
· категория 4 обезличенные и (или) общедоступные персональные данные.
...Подобные документы
Организация конфиденциального документооборота в системе информационной безопасности предприятия на примере ООО "Торговый дом "Алдан". Создание системы взаимодействия бумажного и электронного документооборота. Программно-аппаратные средства защиты.
курсовая работа [3,1 M], добавлен 12.11.2010Работа в пользовательском режиме в системе электронного документооборота Евфрат. Настройка уведомлений. Типовые операции с электронным документом. Правовое обеспечение информационной безопасности России. Система защиты информации. Антивирусные средства.
курсовая работа [7,5 M], добавлен 23.02.2014Значение документооборота как средства для управления предприятием. Организации системы электронного документооборота и требований, предъявляемых к системам. Проблема выбора системы электронного документооборота на предприятиях малого и среднего бизнеса.
контрольная работа [31,8 K], добавлен 14.09.2015Анализ основных документопотоков. Выделение конфиденциальных сведений, содержащихся в документах организации. Мероприятия по защите информации. Обоснование использования и выбор системы электронного документооборота. Разработка модели нарушителя и угроз.
курсовая работа [1,5 M], добавлен 27.12.2014Понятие, назначение и классификация систем электронного документооборота (СЭД) по различным параметрам. Проведение анализа и сравнения существующих СЭД. Требования к основным процессам работы с документами в СЭД. Количественные измерения требований к СЭД.
курсовая работа [54,7 K], добавлен 05.11.2011Принципы автоматизации и типы архитектур систем учета электронного документооборота. Бизнес-процессы в среде "1С: Предприятие 8". Структура информационной базы электронного документооборота деканата. Объекты и методы механизма бизнес-процессов.
дипломная работа [773,9 K], добавлен 27.06.2013Задачи системы электронного документооборота. Анализ существующих информационных систем. Методы и средства инженерии программного обеспечения. Концептуальная модель данных в BPWin. Построение инфологической модели системы документооборота "Doc_Univer".
курсовая работа [56,1 K], добавлен 25.03.2014Современные электронные системы управления и работы с документами. Проблемы традиционных и электронных технологий ДОУ. Выбор эффективной СЭУД (классификация систем электронного управления документами). Защищенность электронного документооборота.
дипломная работа [124,9 K], добавлен 12.12.2007Принципы организации документооборота управленческой деятельности. Создание компонентов систем электронного документооборота. Directum: краткое описание системы, решаемые задачи, архитектура. Безопасные приемы работы. Виды опасных и вредных факторов.
дипломная работа [1,7 M], добавлен 17.03.2013Разработка технологии работы по заключению договора на поставку с использованием системы электронного документооборота. Назначение и функции информационной технологии на основе СЭД "Дело-Предприятие". Анализ требований к программно-техническим средствам.
курсовая работа [851,5 K], добавлен 11.03.2013Понятие системы электронного документооборота. Документ - способ упорядочения информации. Современные системы электронного оборота документации и их технические возможности. Обзор разработчиков СЭД. Глобальные государственные инициативы в этой сфере.
реферат [1,5 M], добавлен 09.12.2013Назначение системы электронного документооборота. Построение функциональной модели поставки товаров в супермаркет. Основные свойства системы электронного документооборота ООО "Ксенокс". Особенности проектирования системы обеспечения продукцией в BPwin.
курсовая работа [1,4 M], добавлен 15.01.2010Основные принципы систем электронного документооборота. Комплексный подход к созданию СЭД. Описание особенностей среды разработки. Создание программного продукта, определение трудоемкости данного процесса и необходимых для его реализации затрат.
дипломная работа [3,2 M], добавлен 14.05.2012Описание высшего учебного заведения как отрасли производства. Основные задачи кафедры, организация документооборота. Анализ существующих средств электронного документооборота. Обоснование необходимости разработки, целей, назначения и структуры модели.
курсовая работа [345,4 K], добавлен 06.05.2011Аппаратное, сетевое, программное обеспечение предприятия. Разработка системы электронного документооборота. Последовательность создания и технология построения информационной системы. Выбор системы управления базами данных, среды разработки приложения.
дипломная работа [1,5 M], добавлен 15.10.2013Рынок систем электронного документооборота. Проектирование программы, отвечающей заявленным требованиям: создание, регистрация, распределение, согласование и поиск документов. функциональные особенности клиентской программы, пользовательский интерфейс.
дипломная работа [5,5 M], добавлен 19.12.2011Разработка элементов системы электронного документооборота бюро учета расчетов с рабочими и служащими ОАО "НасосМаш". Требования к автоматизированной информационной системе. Обеспечение логической целостности базы данных и определение размера премии.
курсовая работа [2,4 M], добавлен 28.04.2012Анализ структуры и методологии CASE-средств. Методологии проектирования, используемые в CASE-средствах. Основные понятия о системах электронного документооборота, их создание с помощью CASE-средств. Объектно-ориентированное и структурное проектирование.
курсовая работа [67,9 K], добавлен 18.07.2014Создание системы электронного документооборота для компании ООО "ФТН Монитор". Общая информация об автоматизируемом объекте. Исследование состава информации. Обзор существующих программных продуктов. Описание программного продукта и его установка.
дипломная работа [1,9 M], добавлен 27.05.2015Использование информационных технологий в здравоохранении. Автоматизация электронного документооборота. Обзор рынка медицинских услуг. Здравоохранение в США. Программная реализация автоматизации электронного документооборота медицинских учреждений.
отчет по практике [201,0 K], добавлен 27.04.2016
