Файл: Методика защиты информации в системах электронного документооборота ( ПОСТРОЕНИЕ ЗАЩИЩЕННОГО ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА НА ПРЕДПРИЯТИИ ).pdf

– правила обработки персональных данных разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»,  Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и методическим документом Федеральной службы по техническому и экспортному контролю (ФСТЭК России) «Меры защиты информации в государственных информационных системах», утверждённым ФСТЭК России 11 февраля 2014 г.;

– разработан перечень конфиденциальной информации, в том числе персональных данных;

– разработано положение по порядку учета и хранению съемных носителей конфиденциальной информации (персональных данных);

– разработан перечень автоматизированных и информационных систем, обрабатывающих конфиденциальную информацию и персональные данные;

– разработана модель угроз;

– введен контроль доступа в контролируемую зону;

– при приеме на работу сотрудники подписывают соглашение о неразглашении;

– проводится краткий инструктаж о порядке доступа в помещения, в которых ведется обработка персональных данных, и использования учетных записей и паролей сотрудниками;

– доводится до сведения ответственность за нарушения согласно действующему законодательству;

– проводится инструктаж о мерах предотвращения вирусного заражения и правилах работы со средствами ЭП, после которого сотрудники расписываются в соответствующих журналах;

– при первичной выдаче средства ЭП сотрудники расписываются в журнале учета носителей с ЭЦП;

– каждый день, при выходе на работу, сотрудник расписывается в журнале учета СКЗИ;

– ведется журнал вскрытия системных блоков;

– ведется журнал учета жестких дисков;

– определен список лиц, осуществляющих контроль за исполнением должностных инструкций;

– определен порядок создания, учета, хранения и уничтожения конфиденциальной документов организации;

– хранение бумажной конфиденциальной информации осуществляется в опечатываемых металлических сейфах;

– создана комиссия и определены члены комиссии, ответственные за уничтожение конфиденциальной информации по истечении срока хранения.

3.3 Инженерно-технические средства защиты.

Реализованы следующие средства инженерно-технической защиты:

– система сигнализации Мираж СКП 08-02 для обеспечения контроля доступа на предприятие и обеспечения защиты документов и средств вычислительной техники от пожара;

– тревожные кнопки для вызова ГБР в случае возникновения внештатных ситуаций;

– каждое рабочее место, серверы и корневое сетевое оборудование обеспечены источниками бесперебойного питания для обеспечения возможности корректно завершить работу при выполнении должностных инструкций, а также снижения негативного воздействия нестабильного питания;

– система видеонаблюдения за рабочими местами сотрудников и зданиями в целом;

– уничтожитель бумаги 4 класса для уничтожения конфиденциальной информации.

3.4 Программно-аппаратные средства защиты.

В организации используются следующие программно-аппартные средства защиты:

– межсетевой экран на базе операционной системы FreeBSD выполняет свои функции по принципу «все, что не разрешено – запрещено». Полный доступ в интернет есть только у сотрудников, относящихся к административно-управляющему персоналу. У остальных работников доступ открыт к ограниченному перечню ресурсов, необходимых для выполнения должностных инструкций;

– антивирусная защита Dr. Web Desktop Security Suite включает в себя центр управления, позволяющий централизованно назначать политики, проводить мониторинг сети предприятия;

– АИС МФЦ «Капелла» для своего функционирования использует защищенный канал связи с использованием шифрования, реализованный при помощи маршрутизатора;

– ПК ПВД использует защищенный канал связи с использованием шифрования, реализованный при помощи маршрутизатора и программно-аппаратного комплекса «Застава», прошедшего сертификацию ФСБ РФ;

– АЦК-Планирование и Финансы для соединения использует собственное защищенное соединение, устанавливаемое при помощи ЭП АЦК 1.0.39;

– СУФД-online использует защищенное соединение, устанавливаемое при помощи Континент-АП 3.7;

– ViPNet CSP 4.3 используется для обеспечения юридически значимого защищенного электронного документооборота с ведомствами, с которыми заключено соглашение. Также использование ViPNet позволяет обеспечить взаимодействие для АИС МФЦ «Капелла» и ПК ПВД на УРМ;

– ежедневное создание инкрементальных резервных копий всей конфиденциальной информации и еженедельное создание полной резервной копии;

– при помощи групповых политик выполнено разграничение прав доступа разных групп пользователей к различным локальным и сетевым ресурсам;

– используется политика «чистого стола».

В заключение необходимо добавить, что наиболее слабым местом во всей структуре защиты электронного документооборота является система резервного копирования данных. В период с 2016 года по настоящее время, ежегодный прирост хранимой информации увеличивался троекратно каждый год. Существующая система не справляется с возложенными на нее задачами, и требует модернизации.

ЗАКЛЮЧЕНИЕ

В данной курсовой работе были даны понятия и определения, классифицированы угрозы и способы их реализации в организации, обрабатывающей электронные документы.

Было выполнено исследование общих методов защиты информации, на основании проведенного анализа были выбраны организационные, правовые, инженерно-технические и программные методы защиты электронного документооборота, основанные на легкой масштабируемости, гибкости реализации и экономической эффективности. Используя полученные данные, выполнено построение типовой модели защищенной информационно системы предприятия с применением различных средств защиты.

В ходе проведения работы была дана краткая характеристика ГАУ АО «МФЦ по г. Благовещенску», изучена законодательная база в области защиты конфиденциальной информации, проведено структурирование защищаемой информации на рассматриваемом объекте. Результатом работы являются выработанные рекомендации по совершенствованию системы защищённого документооборота для ГАУ АО «МФЦ по г. Благовещенску».

Поставленная задача была решена достаточно полно, разработанные рекомендации, при следовании им повысят уровень безопасности документооборота в рассматриваемой организации.

Для реализации защищенного электронного документооборота применяются разнообразные технологии, но все они в своей основе используют криптозащиту. Данный вид защиты использует минимум ресурсов и приносит максимум эффективности.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Федеральный закон от 29 декабря 1994 г. № 77-ФЗ «Об обязательном экземпляре документов» (с изменениями от 03 июля 2016 г.)

2. Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» (с изменениями от 08 ноября 2007 г.)

3. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями от 18 декабря 2018 г.)

4. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями от 31 декабря 2017 г.)

5. Федеральный закон от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (с изменениями от 29 июля 2018 г.)

6. Постановление Правительства РФ от 22 декабря 2012 г. № 1376 «Об утверждении правил организации деятельности многофункциональных центров предоставления государственных и муниципальных услуг» (с изменениями от 29 января 2019 г.)

7. Постановление Правительства РФ от 18 марта 2015 г. № 250 «Об утверждении требований к составлению и выдаче заявителям документов на бумажном носителе, подтверждающих содержание электронных документов, направленных в многофункциональный центр предоставления государственных и муниципальных услуг по результатам предоставления государственных и муниципальных услуг органами, предоставляющими государственные услуги, и органами, предоставляющими муниципальные услуги, и к выдаче заявителям на основании информации из информационных систем органов, предоставляющих государственные услуги, и органов, предоставляющих муниципальные услуги, в том числе с использованием информационно-технологической и коммуникационной инфраструктуры, документов, включая составление на бумажном носителе и заверение выписок из указанных информационных систем» (с изменениями от 5 мая 2016 г.)

8. Постановление Правительства РФ от 15 июня 2009 г. № 477 «Об утверждении Правил делопроизводства в федеральных органах исполнительной власти» (с изменениями от 26 апреля 2016 г.)

9. Постановление Правительства РФ от 16 апреля 2003 г. № 225 «О трудовых книжках» (с изменениями от 25 марта 2013 г.)

10. Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями от 13 июля 2015 г.)

11. ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов

12. ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения

13. ГОСТ 6.10.5-87. Унифицированные системы документации. Требования к построению формуляра-образца

14. ГОСТ 6.10.4-84. Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения