Файл: Методика защиты информации в системах электронного документооборота).pdf
Добавлен: 24.05.2023
Просмотров: 128
Скачиваний: 3
СОДЕРЖАНИЕ
Глава 1. Теоретические основы построения защищенного электронного документооборота
1.1.Электронный документооборот
1.2. Основные угрозы электронного документооборота
1.3. Классификация методов и средств защиты электронного документооборота
1.4. Постановка цели защиты электронного документооборота
Глава 2. Организация электронного документооборота в банке
2.2. Анализ системы защиты конфиденциальной информации
Введение
В настоящее время широкое распространение получает электронный документооборот. Одновременно с внедрением средств обеспечения доступа к электронным средствам доступа и безопасности. Обмен документами между хозяйствующими субъектами и физическими лицами постепенно переходит с бумажного на электронный. Система электронного документооборота имеет ряд преимуществ перед простой бумагой — она позволяет сэкономить время и увеличить эффективность принимаемых решений. СЭД может быть построена как внутри компании, так и между разными фирмами через сеть Интернет.
Проблема безопасной и гарантированной доставки электронных документов ныне актуальна как никогда. Повсеместная компьютеризация производства привела к тому, что документы в электронном виде циркулируют в информационных системах, начиная и заканчивая свой жизненный цикл зачастую не будучи ни разу распечатанными. Безусловно, это большой плюс - экономия времени, бумаги, возможность моментально получить необходимый документ. Однако, такое ведение документооборота требует неусыпного внимания службы информационной безопасности компании: лёгкость обращения документов в информационной системе может сослужить плохую службу, если защите информации в ней не уделено должного внимания.
Как правило, защита данных, хранящихся на серверах осуществляется с помощью контроля доступа и шифрования. В общем случае, если вся корпоративная сеть находится в пределах одной ЛВС этого может быть достаточно для приемлемого уровня защиты конфиденциальной информации. Но как только у компании появляются филиалы, региональные представительства, появляются сотрудники работающие удалённо, вопрос защиты информации при обмене конфиденциальными данными встаёт крайне остро. Не всегда такие средства информационной безопасности как VPN и простое шифрование данных для повседневной работы оказывается удобным и приемлемым. Известны случаи, когда самые изощрённые системы защиты были бесполезны, так как их непосредственным пользователям было просто лень ими пользоваться из-за непривычности, неудобства, нежелания учиться новому функционалу.
Цель курсовой работы состоит в том, чтобы исследовать электронный документооборот и ознакомиться с методиками его защиты.
Объектом исследования является электронный документооборот в банке, а предметом курсовой работы является защита документооборота.
Из сформулированной цели следуют задачи данной работы:
1. Рассмотреть основные этапы документооборота;
2. Сформулировать основы построения и организации защищенного документооборота, его принципы;
3. Показать основные способы совершенствования документооборота .
В первой главе данной работы содержатся теоретические сведения, раскрывающие понятие электронного документа и документооборота в организации, построение модели угроз электронного документооборота и методы его защиты.
Во второй главе показаны особенности организации конфиденциального документооборота в банке, на примере банка «Открытие». Рассматриваются общие принципы и методы защиты методы защиты информации.
Глава 1. Теоретические основы построения защищенного электронного документооборота
1.1.Электронный документооборот
Документооборот - это непрерывный процесс движения документов, объективно отражающий деятельность предприятия и позволяющий оперативно управлять им, поэтому автоматизация документооборота становится одной из приоритетных задач любого предприятия.
Под электронным документом (ЭД) следует понимать структурированный информационный объект, в соответствие которому может быть поставлена совокупность файлов, хранящихся на накопителе компьютера. Необходимым признаком ЭД является регистрационная карточка
, состоящая из реквизитов документа, содержащих перечень необходимых данных о нем. Согласно законодательству, электронным является документ, в котором информация представлена в электронно-цифровой форме.
Системы этого класса обеспечивают поддержку всего жизненного цикла документов на предприятии: регистрацию, движение, обработку, контроль исполнения и хранение.
Электронный документооборот обладает неоспоримыми преимуществами перед бумажным:
- Упорядочивание делопроизводства - система не даст присвоить один и тот же номер разным документам, поскольку это будет происходить по порядку и автоматически;
- Отслеживание положения каждого документа - в любой момент времени можно будет узнать кто именно работает с документом. Сотрудник не сможет его испортить или потерять. Удаленный случайно или специально документ все равно можно восстановить;
- Ускоре.ние обра.ботки докуме.нтов - е.сли отде.лы компа.нии ра.зброса.ны по не.скольким зда.ниям, то бума.жный докуме.нт не.обходимо лично не.сти туда для согла.сова.ния. При ЭДО не.обходимый докуме.нт попа.да.е.т к ра.ботнику за доли се.кунды;
- Удобна.я ра.бота с ве.рсиями - при ре.да.ктирова.нии систе.ма сохра.няе.т ка.ждую ве.рсию. При не.обходимости можно просле.дить кто и когда вносил в докуме.нт изме.не.ния;
- Круглосуточный уда.ле.нный доступ - при не.обходимости, доступ к систе.ме ЭДО можно орга.низова.ть че.ре.з инте.рне.т с любого компьюте.ра зе.много ша.ра. Ра.ботник може.т ра.бота.ть с докуме.нта.ми на.ходясь в кома.ндировке, в отпуске или на больничном;
- Пла.нирова.ние ра.боты - бла.года.ря ука.за.нию да.ты созда.ния и срока исполне.ния, можно пла.нирова.ть исполне.ние поступа.ющих докуме.нтов согла.сно оче.ре.ди;
- Поиск докуме.нтов - можно произве.сти поиск в обще.й ба.зе докуме.нтов по ключе.вым слова.м и выра.же.ниям;
- Экономия бума.ги - не.т не.обходимости ра.спе.ча.тыва.ть все докуме.нты в не.обходимом количе.стве.
Хотя эле.ктронный докуме.нтооборот име.е.т ряд пре.имуще.ств, всё же не.обходимо отме.тить и е.го не.доста.тки, которые могут оста.новить орга.низа.цию от е.го вне.дре.ния. К ним относятся:
- Ма.те.риа.льные за.тра.ты. Не.обходимо выде.лить бюдже.т дл приобре.те.ния, которые в за.висимости от количе.ства пользова.те.ле.й могут соста.влять до 100 тыс. руб.;
- Для уста.новки, вне.дре.ния и отла.дки систе.мы може.т пона.добиться доста.точно длите.льное вре.мя;
- Не.обходимо прове.сти обуче.ние все.х пользова.те.ле.й, которые будут в не.й за.де.йствова.ны;
- Обе.спе.че.ние бе.зопа.сности систе.мы - ра.згра.ниче.ние доступа ме.жду пользова.те.лями, выпуск не.обходимых эле.ктронных подписе.й, за.щита от проникнове.ния извне.;
- В шта.те фирмы долже.н быть а.дминистра.тор, который буде.т сле.дить за функционирова.ние.м систе.мы, выполнять се.рвисные де.йствия, ре.ша.ть вопросы пользова.те.ле.й;
- В це.лях сохра.нности информа.ции не.обходимо выполнять ре.зе.рвное копирова.ние ба.зы с докуме.нта.ми;
- При отсутствии эле.ктронного докуме.нтооборота у фирм-па.ртне.ров, не.обходимо обе.спе.чить суще.ствова.ние и эле.ктронной, и бума.жной систе.мы.
Вне.дре.ние систе.м эле.ктронного докуме.нтооборота ре.ша.е.т сле.дующие за.да.чи:
- Повыше.ние ка.че.ства и опе.ра.тивности подготовки докуме.нтов
- Унифика.ция проце.ссов ра.боты с докуме.нта.ми;
- Оптимиза.ция проце.ссов согла.сова.ния и утве.ржде.ния докуме.нтов;
- Сокра.ще.ние бума.жного докуме.нтооборота.;
- Созда.ние е.диного це.нтра.лизова.нного хра.нилища докуме.нтов;
- Обе.спе.че.ние быстрого поиска докуме.нтов;
- Контроль исполните.льской дисциплины;
- Сокра.ще.ние трудоза.тра.т ра.ботников на ра.боту с докуме.нта.ми;
- Исключе.ние случа.е.в уте.ри докуме.нтов;
- Созда.ние библиоте.ки норма.тивных докуме.нтов;
- Упроще.ние схе.м прохожде.ния докуме.нтов (ма.ршрутиза.ции);
- Сокра.ще.ние сроков прохожде.ния и исполне.ния и докуме.нтов;
- Свое.вре.ме.нное информирова.ние сотрудников и руководства о новых за.да.ча.х и докуме.нта.х;
- Опе.ра.тивное получе.ние информа.ции о состоянии исполне.ния и ме.сте на.хожде.ния докуме.нтов; Обе.спе.че.ние логиче.ского связыва.ния докуме.нтов, относящихся к одному вопросу.
Эле.ктронный докуме.нт (ЭД) — докуме.нт, созда.нный с помощью сре.дств компьюте.рной обра.ботки информа.ции, который може.т быть подписа.н эле.ктронной цифровой подписью (ЭЦП) и сохра.нён на ма.шинном носите.ле в виде фа.йла соотве.тствующе.го форма.та.
1.2. Основные угрозы электронного документооборота
Для построе.ния эффе.ктивной систе.мы за.щиты не.обходимо опре.де.лить основные на.пра.вле.ния использова.ния ра.зличных сре.дств за.щиты и обе.спе.чить их оптима.льное соотноше.ние.
Все суще.ствующие совре.ме.нные угрозы для эле.ктронного докуме.нтооборота подра.зде.ляют на та.кие кла.ссы:
- угроза це.лостности (повре.жде.ние, иска.же.ние, уничтоже.ние информа.ции);
- угроза конфиде.нциа.льности (любое на.руше.ние конфиде.нциа.льности докуме.нта или информа.ции);
- угроза ра.ботоспособности систе.мы (умышле.нные ха.ке.рские а.та.ки или ошибки пользова.те.ле.й);
- угрозы сбоя в ПО и оборудова.нии.
Ва.жным в построе.нии эле.ктронного докуме.нтооборота являе.тся упорядоче.ние докуме.нтов, что позволяе.т обе.спе.чить гора.здо лучшую систе.му за.щиты. При ра.зра.ботке бе.зопа.сной сре.ды эле.ктронного докуме.нтооборота не.обходимо выявлять и а.на.лизирова.ть поте.нциа.льный спе.ктр источников угроз. Сле.дуе.т выде.лить основные группы источников угроз, в ча.стности это: ле.га.льные пользова.те.ли систе.мы, а.дминистра.тивно-упра.вле.нче.ский пе.рсона.л и вне.шние / внутре.нние злоумышле.нники. По да.нным ряда иссле.дова.ний, до 80% поте.рь от та.ких пре.ступле.ний, ка.к взлом корпора.тивных информа.ционных систе.м, соста.вляют а.та.ки изнутри орга.низа.ции. Любой пользова.те.ль систе.мы являе.тся поте.нциа.льным злоумышле.нником, в связи с те.м, что он способе.н на.рушить конфиде.нциа.льность информа.ции, допустив ошибку или сде.ла.в осозна.нный выбор. Соста.в все.х вне.шних а.та.кующих отлича.е.тся. Ка.к пра.вило, это конкуре.нты, ре.же па.ртне.ры, иногда клие.нты выступа.ют в роли злоумышле.нников.
Все возможные виды угроз эле.ктронного докуме.нтооборота можно кла.ссифицирова.ть по не.скольким основным принципа.м (рис 1.)
Рис.1. Схе.ма угроз бе.зопа.сности ба.нка.
За.щиту име.нно от этих угроз в той или иной ме.ре должна ре.а.лизовыва.ть люба.я систе.ма эле.ктронного докуме.нтооборота. При этом, с одной стороны, вне.дряя СЭД, упорядочива.я и консолидируя информа.цию, уве.личива.ются риски ре.а.лиза.ции угроз, но с другой стороны упорядоче.ние докуме.нтооборота позволяе.т выстроить боле.е ка.че.стве.нную систе.му за.щиты.
Любой за.щище.нный эле.ктронный докуме.нтооборот обяза.н обе.спе.чива.ть сле.дующие сре.дства за.щиты для выполне.ния гла.вных функций по обе.спе.че.нию:
сохра.нности докуме.нтов;
бе.зопа.сного доступа.;
конфиде.нциа.льности;
подлинности докуме.нтов;
протоколирова.ния все.х выполняе.мых де.йствий пользова.те.ле.й.
Информа.ционна.я инфра.структура орга.низа.ции должна соде.ржа.ть функциона.льности по обе.спе.че.нию сохра.нности хра.нящихся докуме.нтов от порчи и поте.ри, а та.кже обла.да.ть возможностями быстрого восста.новле.ния. Совре.ме.нные ме.тоды за.щиты эле.ктронного докуме.нтооборота, приме.няе.мые на пра.ктике, включа.ют в се.бя:
а.уте.нтифика.ция пользова.те.ле.й и ра.зде.ле.ние доступа.;
подтве.ржде.ние а.вторства эле.ктронного докуме.нта.;
контроль це.лостности эле.ктронного докуме.нта.;
конфиде.нциа.льность эле.ктронного докуме.нта.;
обе.спе.че.ние юридиче.ской зна.чимости эле.ктронного докуме.нта.;
контроль це.лостности используе.мого програ.ммного обе.спе.че.ния;
ре.гистра.ция событий в информа.ционных систе.ма.х;
криптогра.фиче.ска.я за.щита.;
ме.жсе.те.вое экра.нирова.ние.;
а.нтивирусна.я за.щита.;
использова.ние виртуа.льных ча.стных се.те.й;
а.удит ИБ (пе.риодиче.ский и по тре.бова.нию).
Пе.рвой за.да.че.й и функцие.й за.щиты эле.ктронного докуме.нтооборота должно ста.ть обна.руже.ние угроз. Обна.ружить угрозы можно ка.к с помощью отде.льных те.хниче.ских устройств, та.к и с помощью це.лых систе.м.
Особое внима.ние при выявле.нии угроз сле.дуе.т уде.лять че.лове.ку ка.к е.динстве.нному источнику упре.жда.юще.й информа.ции. Руководите.ль, отве.тстве.нный за бе.зопа.сность ба.нка, долже.н обе.спе.чить опе.ра.тивные се.мина.ры с информа.тора.ми для на.блюде.ния и объе.ктивной оце.нки ситуа.ций, связа.нных с колле.ктивными обсужде.ниями, а та.кже для свое.вре.ме.нного пре.доста.вле.ния готовых угроз извле.че.ния.
В отра.же.нии угроз ва.жное зна.че.ние име.ют инструкции и норма.тивы, ре.гла.ме.нтирующие ве.сь порядок ра.боты ба.нка, е.го уча.стков и ка.ждого сотрудника.; они име.ют орга.низа.ционно-пра.вовые сре.дства за.щиты. Все, что нужно для обе.спе.че.ния бе.зопа.сности, - это инструкции и норма.тивные а.кты, не.обходимые для обе.спе.че.ния бе.зопа.сности пе.рсона.ла.
1.3. Классификация методов и средств защиты электронного документооборота
В пре.дыдуще.м ра.зде.ле.ны были ра.ссмотре.ны основные угрозы эле.ктронного докуме.нтооборота. Те.пе.рь пе.ре.йде.м к ме.тода.м за.щиты информа.ции. Те.хнологии за.щиты да.нных основыва.ются на приме.не.нии совре.ме.нных ме.тодов, которые пре.дотвра.ща.ют уте.чку информа.ции и е.е поте.рю. Се.годня используе.тся ше.сть основных способов за.щиты: