Файл: Методика защиты информации в системах электронного документооборота (1. Построение защищенного электронного документооборота на предприятии).pdf
Добавлен: 04.07.2023
Просмотров: 1240
Скачиваний: 50
СОДЕРЖАНИЕ
1. Построение защищенного электронного документооборота на предприятии
1.1 Построение модели угроз электронного документооборота предприятия
1.2 Классификация средств и методов защиты электронного документооборота предприятия на основе угроз
1.3 Постановка цели защиты электронного документооборота предприятия
2. Описание исследуемого объекта
2.1 Краткая характеристика ООО «Торговый дом «Демидовский»
2.2 Анализ документов, регулирующих защиту электронного документооборота
2.3 Анализ системы защиты конфиденциальной информации
3. Анализ документооборота организации
3.1 Структурирование защищаемой информации на объекте
3.2 Оценка рисков информационных угроз безопасности защищённого документооборота
3.3 Оценка общего информационного риска в организации
3.4 Организационно-правовые мероприятия
3.5 Инженерно-технические средства защиты
3.6 Программно-аппаратные средства защиты
3.7 Этапы обработки документов
Рисунок 2.1- Движение документов внутри ООО «Торговый дом «Демидовский»
3.2 Оценка рисков информационных угроз безопасности защищённого документооборота
Сегодня существует ряд подходов к измерению рисков. Наиболее распространенные из них оценка рисков по двум и по трем факторам [1]. В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой (1).
Риск = Р-происшествия× Цена потери (1)
В методиках, рассчитанных на более высокие требования, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. В этих методиках под понятиями «угроза» и «уязвимость» понимается следующее.
Угроза – совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Уязвимость – слабость в системе защиты, которая делает возможным реализацию угрозы.
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней угроз и уязвимостей и выражается формулой (2).
P-происшествия = Р-угрозы × Р-уязвимости (2)
Соответственно, риск рассчитывается по формуле (3).
Риск = Р-угрозы х Р-уязвимости × Цена потери (3)
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал – качественная.
Оценим риски информации на предприятии, используя методику оценки по трём факторам. Результаты оценки приведены в таблице 2.1
Таблица 3.1 – Оценка рисков информационной безопасности
Наименование элемента информации |
Цена информации |
Вероятность угрозы |
Вероятность уязвимости |
Риск |
Личные карточки сотрудников |
10000 |
0,6 |
0,8 |
4800 |
Трудовые книжки сотрудников |
10000 |
0,6 |
0,8 |
4800 |
Приказы по личному составу |
10000 |
0,8 |
0,4 |
3200 |
Счета |
50000 |
0,6 |
0,8 |
24000 |
Банковские выписки |
50000 |
0,2 |
0,8 |
8000 |
Договора с клиентами |
300000 |
0,8 |
0,6 |
144000 |
Договора с поставщиками |
300000 |
0,8 |
0,6 |
144000 |
Бухгалтерская отчётность |
50000 |
0,2 |
0,8 |
8000 |
Деловая переписка |
100000 |
0,8 |
0,4 |
32000 |
Сервер |
350000 |
0,4 |
0,4 |
56000 |
Компьютер с АРМ «Клиент» АС «Сбербанк-Клиент» |
200000 |
0,4 |
0,4 |
32000 |
Итого: |
460800 |
3.3 Оценка общего информационного риска в организации
Как видно из представленной выше таблицы суммарный информационный риск на предприятии составляет 460800 рублей. Бюджет предприятия не позволяет принять такой риск, отсюда следует, что необходимо снизить его до приемлемого уровня.
3.4 Организационно-правовые мероприятия
Организационно-правовые нормы обеспечения безопасности и защиты информации на любом предприятии отражаются в совокупности учредительных и организационных документов.
В Устав организации необходимо внести дополнения, перечисленные ниже. Раздел «Права и обязанности» следует дополнить следующими пунктами:
Фирма имеет право:
определять состав, объем и порядок защиты конфиденциальной информации;
требовать от сотрудников защиты конфиденциальной информации;
осуществлять контроль за соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.
Фирма обязана:
обеспечить экономическую безопасность и сохранность конфиденциальной информации;
осуществлять действенный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.
Необходимо в также добавить раздел «Конфиденциальная информация», который будет содержать следующее:
Общество организует защиту своей конфиденциальной информации.
Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.
Внесение перечисленных дополнений даёт администрации предприятии право:
создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;
издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;
включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);
требовать защиты интересов фирмы перед государственными и судебными органами;
распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.
В Коллективный договор необходимо добавить требования, представленные ниже. В раздел «Предмет договора» необходимо добавить:
Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по защите конфиденциальной информации.
Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по защите конфиденциальной информации.
В раздел «Кадры. Обеспечение дисциплины труда» необходимо добавить: Администрация обязуется нарушителей требований по защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.
Для защиты конфиденциальной информации в организации должны быть разработаны следующие нормативно-правовые документы:
перечень сведений, составляющих коммерческую тайну;
договорное обязательство о неразглашении коммерческой тайны;
инструкция по защите коммерческой тайны.
Защита информации, представленной в электронном виде, должна осуществляться в соответствии с требованиями РД ФСТЭК, и СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации).
В первую очередь следует разработать перечень сведений, составляющий коммерческую тайну (Приложение Г).
Сведения, включенные в Перечень, имеют ограниченный характер на использование (применение). Ограничения, вводимые на использования сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) её подразделений, а также при их сотрудничестве с работниками других предприятий.
Перечень должен доводиться не реже одного раза в год до всех сотрудников организации, которые используют в своей работе сведения, конфиденциального характера. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.
Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.
Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации (Приложение Д), порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации.
3.5 Инженерно-технические средства защиты
Система сигнализации
Для обеспечения защиты бумажных документов и средств вычислительной техники от пожара, необходимо на объекте установить систему сигнализации (рис 3.1).
Рисунок 4.1 – Система сигнализации
На рисунке представлена типовая система сигнализации для малого объекта, каким и является офисное помещение ООО «Торговый дом «Демидовский». Данная система состоит из следующих элементов:
пульт контроля и управления «С 2000»;
резервный источник питания аппаратуры охранно- сигнализации «РИП 24»;
прибор приёмно-контрольный охранно-пожарный «С 2000-4»;
извещатель пожарный дымовой «ДИП».
К релейным выходам можно подключить выход на пульт центрального наблюдения и звуковой или световой оповещатели.
Описанная система сигнализации при всех своих возможностях является достаточно недорогой, что является основным фактором, повлиявшим на выбор.
Система бесперебойного питания
На описанном предприятии наиболее важными потребителями электроэнергии являются сервер, на котором установлена база данных программы «1С: Предприятие» и компьютер с установленным АРМ «Клиент» АС «Сбербанк-Клиент», перечисленное оборудование необходимо обеспечить источниками бесперебойного питания.
Для сервера необходимо выбрать надёжный источник бесперебойного питания, с высокими потребительскими качествами, предъявляемым требованиям соответствует источник бесперебойного питания Исток ИДП-1/1-1-220-Д (рис.3.2).
Рисунок 4.2 – Источник бесперебойного питания Исток ИДП-1/1-1-220-Д
Источники бесперебойного питания ИСТОК серии ИДП предназначены для защиты электрооборудования пользователя от любых неполадок в сети, включая искажение или пропадание напряжения сети, а также подавления высоковольтных импульсов и высокочастотных помех, поступающих из сети. ИБП ИСТОК с двойным преобразованием обладает наиболее совершенной технологией по обеспечению качественной электроэнергией без перерывов в питании нагрузки при переходе с сетевого режима (питание нагрузки энергией сети) на автономный режим (питание нагрузки энергией аккумуляторной батареи), обеспечивает синусоидальную форму выходного напряжения. ИБП ИСТОК используются для ответственных потребителей электроэнергии, предъявляющих повышенные требования к качеству электропитания (файловые серверы, телекоммуникационного оборудования, сложного технологического оборудования, систем управления газового хозяйства и т.д.).
Для компьютера с установленным АРМ «Клиент» АС «Сбербанк-Клиент» можно использовать недорогой офисный источник бесперебойного питания, такой как UPS 500VA Ippon Back Power Pro 500 (рис.3.3).
Рисунок 4.3 – UPS 500VA Ippon Back Power Pro 500
Источники бесперебойного питания (UPS) серии Back Power Pro предназначены для защиты персональных компьютеров и рабочих станций от основных неполадок с электропитанием: высоковольтных выбросов, электромагнитных и радиочастотных помех, понижений, повышений и полного исчезновения напряжения в электросети. Данные ИБП (UPS) имеют функцию циклического самотестирования и снабжены функцией Green Power, которая при пропадании напряжения в сети и отсутствии нагрузки автоматически выключит ИБП (UPS) через 5 минут.
Все ИБП (UPS) серии Back Power Pro комплектуются программным обеспечением на CD, благодаря которому на экране монитора отображаются такие диагностические данные, как напряжение, частота, уровень заряда аккумулятора, уровень нагрузки. Программное обеспечение имеется для Windows 95/98/ME/NT/2000 и Linux.
Уничтожитель бумаги.
Для уничтожения документов, имеющих грифы «Конфиденциально» или «Коммерческая тайна» целесообразно использовать специальное устройство – уничтожитель бумаги, которое разрезает листы бумаги на полосы, делая считывание информации носителей невозможным. Для рассматриваемого предприятия оптимальным является приобретение устройства
SHRED-ET С-06P (с корзиной), обладающего высокой скоростью уничтожения бумаги. И вместе с тем приемлемой ценой.
3.6 Программно-аппаратные средства защиты
Система резервного копирования данных
Резервное копирование – процесс создания копии данных на носителе (жёстком диске, дискете и т.д.), предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения [1].
На исследуемом объекте целесообразно использовать систему резервного копирования на сервере, содержащем базу данных программы «1С: Предприятие», для обеспечения возможности восстановления базы данных после программных или аппаратных сбоев.
Для организации резервного копирования целесообразно использовать программу AcronisTrueImageEcho. Данная программа является средством для резервного копирования и аварийного восстановления данных на отдельном компьютере, имеющим широкий ряд опций, таких как возможность резервного копирования систем целиком или отдельных файлов и папок, аварийное восстановление отдельных файлов и папок или диска целиком, удаленное управление задачами резервного копирования и восстановления данных, восстановление систем на различное оборудование. Использование описанной выше программы позволяет снизить вероятность угроз целостности и доступности информации, содержащейся на компьютере.