Файл: Методика защиты информации в системах электронного документооборота ( ПОСТРОЕНИЕ ЗАЩИЩЕННОГО ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА НА ПРЕДПРИЯТИИ ).pdf

ВВЕДЕНИЕ

Ни одна сфера нашей жизни не обходится без документов – акты, справки, квитанции, паспорта, водительского удостоверения, и, следовательно, без документооборота. Оборот документов является обязательной частью деятельности любой организации в любой сфере экономики. Отличием электронного документа от бумажного аналога является то, что его нельзя заверить печатью или подписью. Для этого реализована электронная цифровая подпись.

В современной организации системы электронного документооборота становятся обязательной компонентой информационных технологий. Они обеспечивают повышение эффективности функционирования коммерческих и промышленных организаций, а в бюджетных учреждениях при помощи электронного документооборота решают задачи внутреннего управления, межведомственного взаимодействия и взаимодействия с населением.

Стремительное развитие информационных технологий открыло новые возможности документооборота. Развитие вычислительных сетей стёрло время и расстояние, получение электронных документов происходит практически мгновенно. Но решив вопрос с оперативным получением документов, остались проблемы конфиденциальности данных. Вопросу безопасности документооборота необходимо уделять повышенное внимание – получение конфиденциальной информации через уязвимые места организации один из самых простых способов. На сегодняшний день актуальность задачи построения системы безопасного документооборота встает достаточно остро.

В ходе данной работы будет выполнено изучение электронного документооборота государственного автономного учреждения Амурской области «Многофункциональный центр предоставления муниципальных и государственных услуг по городу Благовещенску» (ГАУ АО «МФЦ по г. Благовещенску») и основные способы его защиты.

Объектом исследования является электронный документооборот.

Предметом исследования являются методы защиты документооборота в организации.

Основные задачи данной работы:

– рассмотреть основные этапы документооборота;

– определить основные принципы защищенного документооборота;

– выделить возможные варианты улучшения документооборота на предприятии.

Первая глава данной работы содержит теоретические сведения, определяющие понятие документа и документооборота на предприятии. Во второй главе показаны основы построения и организации конфиденциального документооборота и сформулированы его принципы. В третьей главе рассмотрены способы совершенствования защиты документооборота на примере реальной организации.

ГЛАВА 1. ПОСТРОЕНИЕ ЗАЩИЩЕННОГО ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА НА ПРЕДПРИЯТИИ.

1.1 Документ и документооборот.

Документ – материальный объект с зафиксированной на нем информацией в виде текста, звукозаписи или изображения, предназначенный для передачи во времени и пространстве в целях хранения и общественного использования[1].

Документооборот – это движение документов с момента их создания или получения до завершения исполнения, отправки адресату или сдачи их на хранение.

Электронный документ – это документ, зафиксированный на электронном носителе (в виде набора символов, звукозаписи или изображения) и предназначенный для передачи во времени и пространстве с использованием средств вычислительной техники и электросвязи с целью хранения и общественного использования[2].

Система электронного документооборота (СЭД) – автоматизированная информационная система, обеспечивающая создание электронных документов и электронных копий документов, управление ими, их хранение и доступ к ним, а также регистрацию документов[4].

Электронный документооборот (ЭДО) – документооборот с применением информационной системы[4].

Во многом уровень автоматизации и использования информационных систем определяет эффективность работы предприятия. Большой объем бумажных документов, их длительный поиск, возможные утери, дубликаты – краткий список проблем, следующих при недостаточно хорошей организации документооборота. Все это негативно влияет на скорость функционирования предприятия, а в крайнем случае может привести к его остановке.

Вполне логично, что существует множество видов деятельности, а значит и систем документооборота. Следовательно, автоматизированные информационные системы (АИС) развиваются по направлению массовости. Внедрение СЭД позволит осуществить следующие задачи:

– экономия времени достигается за счет сокращения времени поиска бумажных документов. Также исключается потеря времени на поиск документа, которого по какой-то причине не оказалось на своём месте;

– более рациональное использование физического пространства выполняется за счет отсутствия необходимости хранить бумажные архивы. Управление данными не только помогает соответствовать корпоративным нормам, но и в зависимости от статуса и актуальности информации, документы и файлы могут безопасно удаляться по истечении срока их хранения;

– повышение прозрачности внутренней работы предприятия и исполнительской дисциплины. СЭД позволяет наблюдать за статусом документа на всех этапах его согласования и утверждения, моментально и легко вызвать не только запрашиваемый файл, но и полную информацию о том, кто его создал, кто имел к нему доступ и кто его редактировал;

– ведение личной истории каждого файла позволяет централизованно управлять взаимоотношениями с контрагентами. Достаточно одного щелчка мыши, чтобы вызвать все необходимые документы, которые содержат требования, связанные с различными типами взаимоотношений между организацией и внешними субъектами;

– гибкость в отношении физического местонахождения сотрудников. Благодаря современным средствам коммуникаций возможна организация удаленных рабочих мест. И даже находясь в одном и том же географическом месте, сотрудникам не требуется дожидаться, пока бумажные копии документов будут пересылаться из соседнего офиса.

– повышается безопасность информации и документов. При использовании централизованной базы данных создается резервная копия, как следствие минимизируется вероятность полной утери или уничтожения документа, исключается возможность забыть его в общественных местах;

– снижаются затраты на распечатку и почтовую корреспонденцию. Бумажные документы, которые пересылаются между контрагентами, могут пересылаться в электронном виде;

– повышение уровня удовлетворённости служащих и руководителей. Оптимизация ежедневных задач позволяет освободить сотрудников от однообразной и трудоемкой бумажной работы. В то же время руководители отделов получают больше возможностей контролировать работу своих подчинённых.

Несмотря на положительный эффект от внедрения, практически любая информационная технология имеет недостатки. В рассматриваемом нами случае это угрозы безопасности документооборота.

1.2 Анализ угроз безопасности СЭД.

Актуальность анализа угроз безопасности заключается в том, что после запуска новой информационной технологии всегда найдутся злоумышленники, которые будут заинтересованы в порче или хищении документов, относящихся к конфиденциальной информации и составляющих большую ценность для субъектов СЭД. Общая модель СЭД показана на рисунке 1.

Рисунок 1. Общая модель СЭД

На основании общей модели произведем анализ угроз безопасности. СЭД включает в себя следующие компоненты: рабочие места, серверы и каналы связи. Основные угрозы отображаются на рисунке 2.

Рисунок 2. Модель угроз СЭД

Угроза конфиденциальности – потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. К данному нарушению относят

угрозы рабочим местам, серверам разного уровня и каналам связи между элементами СЭД.

Угрозы целостности информации – это угрозы, отражающие возможность изменения любой информации, хранящейся в информационной системе. Степень ценности данных с точки зрения целостности изображена на рисунке 3.

Рисунок 3. Ценность компонентов СЭД

Самое важное и ценное – это документы и их резервные копии, содержащие конфиденциальную информацию, которые хранятся на сервере БД. Вся политика безопасности СЭД организованна именно для хранимых данных. Далее по степени важности идут целостность сервера БД, затем серверы различного уровня, клиентскую часть СЭД, протоколы передачи данных, криптографические средства обеспечения безопасности. Замыкает данный список аппаратное обеспечение – каналы связи, межсетевой экран. Частичный выход из строя аппаратной составляющей не приведет к утере хранимых данных, а неисправные комплектующие можно заменить на новые.

Угрозы доступности подразумевают под собой осуществление действий, затрудняющих или делающих невозможным доступ к ресурсам информационной системы. Самыми частыми опасными являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих компоненты СЭД. Иногда такие ошибки и являются собственно угрозами – неправильно введенные данные или ошибка в программе могут вызвать сбой в системе или создать уязвимые места, которыми могут воспользоваться злоумышленники.

1.3 Методы и средства защиты информации.

СЭД является частным случаем общего понятия информационная система (ИС), поэтому методы и средства защиты ИС можно применить к электронному документообороту организации.

Система защиты информации – это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия.

Владелец информационной системы должен определить желаемый уровень защищенности ресурсов, а также средства и способы защиты. Чем выше ценность информации, тем выше должна быть обеспечиваемая надежность ее защиты. Система защиты должна быть комплексной – охватывать весь управленческий комплекс объекта. Методы и средства защиты изображены на рисунке 4.

Рисунок 4. Методы и средства защиты

Данные методы и средства являются общими для любой информационной системы.

1.4 Постановка цели защиты электронного документооборота.

Абсолютной защиты не бывает, следовательно, целью защиты является снижение вероятности реализации угроз. Схематическое построение цели защиты ЭД показано на рисунке 5.

Рисунок 5. Цели защиты информации

Как уже говорилось выше, для достижения поставленных целей необходимо применять комплексный подход. Средства информационной безопасности, которые применяются при этом, а также решаемые ими задачи показаны на рисунке 6.

Рисунок 6. Средства и решаемые задачи информационной защиты

Применение средств защиты по отдельности не поможет в снижении реализации угроз.

ГЛАВА 2. ОПИСАНИЕ ИССЛЕДУЕМОГО ОБЪЕКТА.

2.1 Краткая характеристика ГАУ АО «МФЦ по г. Благовещенску».

Краткая характеристика исследуемой организации приведена в таблице 1.

Таблица 1

Описание организации