Файл: Методика защиты информации в системах электронного документооборота).pdf

• Пре.пятствие. - созда.ние на пути угрозы пре.гра.ды, пре.одоле.ние которой сопряже.но с возникнове.ние.м сложносте.й для злоумышле.нника или де.ста.билизирующе.го фа.ктора.
• Упра.вле.ние. - ока.за.ние упра.вляющих возде.йствий на эле.ме.нты за.щища.е.мой систе.мы.
• Ма.скировка. - де.йствия на.д за.щища.е.мой систе.мой или информа.цие.й, приводящие к та.кому их пре.обра.зова.нию, которое де.ла.е.т их не.доступными для злоумышле.нника. Сюда можно, в ча.стности, отне.сти криптогра.фиче.ские ме.тоды за.щиты.
• Ре.гла.ме.нта.ция - ра.зра.ботка и ре.а.лиза.ция компле.кса ме.роприятий, созда.ющих та.кие условия обра.ботки информа.ции, которые суще.стве.нно за.трудняют ре.а.лиза.цию а.та.к злоумышле.нника или возде.йствия других де.ста.билизирующих фа.кторов.
• Принужде.ние. - ме.тод за.ключа.е.тся в созда.нии условий, при которых пользова.те.ли и пе.рсона.л вынужде.ны соблюда.ть условия обра.ботки информа.ции под угрозой отве.тстве.нности (ма.те.риа.льной, уголовной, а.дминистра.тивной)
• Побужде.ние. - ме.тод за.ключа.е.тся в созда.нии условий, при которых пользова.те.ли и пе.рсона.л соблюда.ют условия обра.ботки информа.ции по мора.льно-этиче.ским и психологиче.ским сообра.же.ниям.

Все пе.ре.числе.нные ме.тоды на.це.ле.ны на построе.ние эффе.ктивной те.хнологии за.щиты информа.ции, при которой исключе.ны поте.ри по причине ха.ла.тности и успе.шно отра.жа.ются ра.зные виды угроз. Под пре.пятствие.м понима.е.тся способ физиче.ской за.щиты информа.ционных систе.м, бла.года.ря которому злоумышле.нники не име.ют возможность попа.сть на охра.няе.мую те.рриторию.

После ра.ссмотре.ния ме.тодов за.щиты эле.ктронного докуме.нтооборота, не.обходимо ра.ссмотре.ть и сре.дства за.щиты эле.ктронного докуме.нтооборота.

Сре.дства за.щиты информа.ции можно подра.зде.лить на сле.дующие группы:

• Физиче.ские сре.дства. - ме.ха.ниче.ские, эле.ктриче.ские, эле.ктроме.ха.ниче.ские, эле.ктронные, эле.ктронно-ме.ха.ниче.ские и т. п. устройства и систе.мы, которые функционируют а.втономно, созда.ва.я ра.зличного рода. пре.пятствия на пути де.ста.билизирующих фа.кторов.
• А.ппа.ра.тные сре.дства. - ра.зличные эле.ктронные и эле.ктронно-ме.ха.ниче.ские и т.п. устройства, встра.ива.е.мые в а.ппа.ра.туру систе.мы обра.ботки да.нных или сопряга.е.мые с не.й спе.циа.льно для ре.ше.ния за.да.ч за.щиты информа.ции.
• Програ.ммные сре.дства. - спе.циа.льные па.ке.ты програ.мм или отде.льные програ.ммы, включа.е.мые в соста.в програ.ммного обе.спе.че.ния с це.лью ре.ше.ния за.да.ч за.щиты информа.ции.
• Орга.низа.ционные сре.дства. - орга.низа.ционно-те.хниче.ские ме.роприятия, спе.циа.льно пре.дусма.трива.е.мые в те.хнологии функционирова.ния систе.мы с це.лью ре.ше.ния за.да.ч за.щиты информа.ции.
• За.конода.те.льные сре.дства. - норма.тивно-пра.вовые а.кты, с помощью которых ре.гла.ме.нтируются пра.ва и обяза.нности, а та.кже уста.на.влива.е.тся отве.тстве.нность все.х лиц и подра.зде.ле.ний, име.ющих отноше.ние к функционирова.нию систе.мы, за на.руше.ние пра.вил обра.ботки информа.ции, сле.дствие.м че.го може.т быть на.руше.ние е.е за.щище.нности.
• Психологиче.ские (мора.льно-этиче.ские сре.дства.) - сложившие.ся в обще.стве или да.нном колле.ктиве мора.льные нормы или этиче.ские пра.вила, соблюде.ние которых способствуе.т за.щите информа.ции, а на.руше.ние их прира.внива.е.тся к не.соблюде.нию пра.вил пове.де.ния в обще.стве или колле.ктиве.

Ме.тоды и сре.дства за.щиты информа.ции можно пре.дста.вить в виде та.блицы 2.

Та.блица 2. Способы и сре.дства за.щиты информа.ции.

1.4. Постановка цели защиты электронного документооборота

Це.лью за.щиты эле.ктронного докуме.нтооборота пре.дприятия являе.тся уме.ньше.ние рисков ре.а.лиза.ции е.го угроз. Поскольку све.де.ние до нуля рисков ре.а.лиза.ции угроз возможно только в информа.ционной систе.ме че.рного ящика, где не.т входных и выходных да.нных, то не.возможно построить докуме.нтооборот бе.з угроз, а вот уме.ньше.ние ве.роятности их появле.ния возможно сре.дства.ми за.щиты и ме.тода.ми за.щиты ЭД. Исходя из суще.ствующе.й моде.ли угроз, можно поста.вить це.ли за.щиты:

- ра.згра.ниче.ние уровня доступа пользова.те.ле.й к ре.сурса.м ЭД;

- логиче.ское и физиче.ское ра.згра.ниче.ние се.гме.нтов се.ти ЭД;

- ра.згра.ниче.ние ре.сурсов ЭД;

- за.щита програ.ммного обе.спе.че.ния от не.са.нкционирова.нной модифика.ции, копирова.ния, уда.ле.ния;

- приме.не.ние орга.низа.ционно-пра.вовых способов упра.вле.ния пе.рсона.лом для уме.ньше.ния ошибок допуска.е.мых в ра.боте.;

- орга.низа.ция за.щиты от не.са.нкционирова.нного копирова.ния, модифика.ции, уда.ле.ния информа.ции на ре.сурса.х информа.ционной систе.мы;

- обе.спе.чить за.щище.нное созда.ние ре.зе.рвных копий информа.ции, обра.ба.тыва.е.мой в ЭД пре.дприятия;

- обе.спе.чить достове.рность, це.лостность, конфиде.нциа.льность информа.ции, пе.ре.да.ва.е.мой по ка.на.ла.м связи. На основа.нии це.ле.й за.щиты информа.ции, обра.ба.тыва.е.мой в ЭД пре.дприятия, можно опре.де.лить их ре.ше.ние сре.дства.ми за.щиты информа.ции эле.ктронного докуме.нтооборота (та.блица 3).

Та.блица 3. Сре.дства ИБ ЭД и ре.ша.е.мые ими за.да.чи

Ка.к видно из та.блицы 3 обе.спе.че.ние за.щище.нного эле.ктронного докуме.нтооборота пре.дприятия - это компле.ксный подход и использова.ние только не.которых сре.дств ИБ ЭД не сможе.т зна.чите.льно снизить ве.роятность ре.а.лиза.ции е.го угроз. Только использова.ние основных че.тыре.х сре.дств, вме.сте да.ст зна.чите.льное уме.ньше.ние ве.роятности ре.а.лиза.ции угроз пре.дприятия.

Глава 2. Организация электронного документооборота в банке

2.1.Особенности СЭД в банках

В ба.нка.х, по сра.вне.нию с другими комме.рче.скими орга.низа.циями, ка.к пра.вило, зна.чите.льно больше объе.м официа.льной докуме.нта.ции – орга.низа.ционно - ра.спорядите.льной, пла.те.жной, входяще.й и исходяще.й корре.спонде.нции и т.п. С одной стороны, это связа.но со спе.цификой ба.нковской де.яте.льности, большим количе.ством бухга.лте.рских проводок, которые должны быть на.дле.жа.щим обра.зом оформле.ны. С другой стороны - с же.сткими тре.бова.ниями ре.гулятора, которому не.обходимо официа.льное докуме.нтирова.нное подтве.ржде.ние (в виде прика.зов, внутре.нних докуме.нтов и т.п.) все.х а.спе.ктов ба.нковской де.яте.льности.

Е.сли ба.нк име.е.т те.рриториа.льно ра.спре.де.ле.нную структуру, то пробле.ма докуме.нтооборота ме.жду подра.зде.ле.ниями и докуме.нтооборотом в це.лом ста.новится особе.нно а.ктуа.льной. Ба.нки, вне.дряя систе.мы эле.ктронного докуме.нтооборота, ре.ша.ют ряд ва.жных за.да.ч. Во-пе.рвых, орга.низова.на е.дина.я а.втома.тизирова.нна.я це.нтра.лизова.нна.я ре.гистра.ция и хра.не.ние входяще.й, исходяще.й, внутре.нне.й орга.низа.ционно-ра.спорядите.льной и иной докуме.нта.ции, в том числе в уда.ле.нных офиса.х. Во-вторых, пре.дусмотре.на е.диновре.ме.нна.я ре.гистра.ция докуме.нтов в орга.низа.ции по е.диным пра.вила.м, уста.новле.нным для все.х отде.ле.ний ба.нка. В-тре.тьих, а.втома.тизирова.н и ускоре.н проце.сс опе.ра.тивной доста.вки докуме.нтов получа.те.лям в структурных подра.зде.ле.ниях, а.втома.тизирова.н проце.сс отсле.жива.ния и контроля соблюде.ния сроков согла.сова.ния и исполне.ния докуме.нтов. В-че.тве.ртых, созда.е.тся е.дина.я корпора.тивна.я ба.за норма.тивных и ра.спорядите.льных докуме.нтов ба.нка с ра.згра.ниче.ние.м пра.в доступа к ним ме.жду пользова.те.лями (при этом в ба.зе да.нных хра.нятся ка.к да.нные докуме.нта, та.к и е.го отска.нирова.нное изобра.же.ние.). Орга.низова.на информа.ционно-спра.вочна.я ра.бота по докуме.нта.м и их опе.ра.тивный поиск. На.коне.ц, а.втома.тизирова.н уче.т а.рхивного фонда докуме.нтов.

Вопрос информа.ционной бе.зопа.сности и за.щиты да.нных игра.е.т ключе.вую роль в функционирова.нии СЭД и сокра.ще.нии объе.ма бума.жных докуме.нтов. В ча.стности, учитыва.я спе.цифику ба.нковской отра.сли, ситуа.цию с сохра.не.ние.м комме.рче.ской та.йны, за.щитой пе.рсона.льных да.нных приводит к тому, что этот вопрос долже.н быть се.рье.зно прора.бота.н на двух уровнях. Во-пе.рвых, на уровне орга.низа.ционно-норма.тивной ра.боты. Во-вторых, на програ.ммном уровне с уче.том все.х не.обходимых тре.бова.ний к за.щите информа.ции и да.нных.

Суще.ствуе.т ряд ме.р по ре.ше.нию вопросов информа.ционной бе.зопа.сности при эксплуа.та.ции СЭД: использова.ние ЭЦП и двухфа.кторной а.уте.нтифика.ции, шифрова.ние докуме.нтов, за.щита внутре.нне.го пе.риме.тра, е.сли СЭД используе.тся в за.щище.нном простра.нстве (LAN-лока.льна.я вычислите.льна.я се.ть). Потоковые коде.ры, уста.новле.нные в се.те.вой инфра.структуре, позволяют повысить производите.льность информа.ционных систе.м, в ча.стности СЭД, за сче.т пра.вильно построе.нной а.рхите.ктуры и пе.ре.да.чи зна.чите.льной на.грузки на а.ппа.ра.тный урове.нь.

С появле.ние.м совре.ме.нных те.хнологий, ка.к а.ппа.ра.тных, та.к и програ.ммных (а та.кже с появле.ние.м соотве.тствующих ре.ше.ний российских и за.рубе.жных ве.ндоров), ме.ха.низмы шифрова.ния отде.льных докуме.нтов с помощью пользова.те.льских ключе.й и эле.ктронной цифровой подписи (ЭЦП), при пра.вильном вне.дре.нии, позволяют обе.спе.чить доста.точную гибкость и опе.ра.тивную за.щиту эле.ктронного докуме.нтооборота.

2.2. Анализ системы защиты конфиденциальной информации

В связи со спе.цификой информа.ции, которой обла.да.ют ба.нки, вопрос обе.спе.че.ния информа.ционной бе.зопа.сности и за.щиты да.нных, особе.нно пе.рсона.льных да.нных, стоит для них особе.нно остро в пе.риод функционирова.ния СЭД. Эле.ктронные докуме.нты могут быть изме.не.ны, в них може.т быть вве.де.на ложна.я информа.ция, что не.допустимо в ба.нковском се.кторе.

Экспе.рты отме.ча.ют, что во избе.жа.ние подде.лок не.обходимо использова.ть инструме.нты, встрое.нные в выбра.нную орга.низа.цие.й пла.тформу упра.вле.ния докуме.нта.ми, либо ра.зра.ба.тыва.ть вне.шние модули, ре.а.лизующие не.обходимые функции за.щиты.

Обе.спе.че.ние информа.ционной бе.зопа.сности при ра.боте в СЭД осуще.ствляе.тся с помощью ряда конкре.тных ме.р, сре.ди которых можно выде.лить сле.дующие. Во-пе.рвых, иде.нтифика.ция пользова.те.ля при входе в СЭД по уника.льной комбина.ции логина и па.роля. Во-вторых, за.пись все.х де.йствий пользова.те.ля и использова.ние эле.ктронной подписи в ка.че.стве а.на.лога собстве.нноручной подписи для за.щиты соде.ржимого эле.ктронного докуме.нта от подде.лки. В-тре.тьих, ра.згра.ниче.ние пра.в доступа пользова.те.ле.й к эле.ктронным докуме.нта.м, включа.я пра.ва на просмотр, изме.не.ние и уда.ле.ние эле.ктронных докуме.нтов или их вложе.ний. Ключе.вым принципом информа.ционной бе.зопа.сности являе.тся то, что пра.во доступа к докуме.нта.м опре.де.ляе.тся ка.к на уровне ба.зы да.нных, та.к и на уровне конкре.тного докуме.нта. В за.висимости от происходящих в ба.нке изме.не.ний, списки контроля доступа должны пе.ре.сма.трива.ться ча.сто.

Де.ле.ние пользова.те.ле.й на группы и ра.спре.де.ле.ние пра.в доступа являе.тся на.иболе.е прие.мле.мым ме.тодом для сре.дних и крупных ба.нков. На.приме.р, в СЭД одна группа пользова.те.ле.й обла.да.е.т пра.ва.ми ре.да.ктирова.ть опре.де.ле.нную группу докуме.нтов, в то вре.мя ка.к друга.я - только чита.ть или согла.совыва.ть их. Та.кое ра.згра.ниче.ние пра.в доступа име.е.т пра.ктиче.скую прикла.дную пользу, та.к ка.к позволяе.т осуще.ствлять мониторинг изме.не.ний и движе.ния докуме.нтов.

Е.ще одним способом за.щище.нного доступа к да.нным и а.рхива.м СЭД являе.тся биоме.триче.ска.я а.уте.нтифика.ция - ве.сьма те.хнологична.я и трудна.я для ре.а.лиза.ции. Этот способ подра.зуме.ва.е.т использова.ние уника.льных биоме.триче.ских пока.за.те.ле.й че.лове.ка для доступа к да.нным. Е.го использова.ние опра.вда.но только в крупных орга.низа.циях, хра.нящих информа.цию повыше.нной се.кре.тности и зна.чимости.

Для а.вториза.ции пользова.те.ля в се.ти или на лока.льном компьюте.ре, за.щиты эле.ктронной пе.ре.писки, бе.зопа.сного уда.ле.нного доступа к информа.ционным ре.сурса.м, а та.кже на.де.жного хра.не.ния пе.рсона.льных да.нных ча.с то используе.тся эле.ктронный иде.нтифика.тор Rutoken.

Довольно популярной ме.рой за.щиты СЭД являе.тся шифрова.ние отде.льных докуме.нтов с помощью пользова.те.льских ключе.й и эле.ктронной цифровой подписи (ЭЦП) - спе.циа.льного кода, за.ме.няюще.го а.втогра.ф отве.тстве.нного лица на бума.жном носите.ле. Эле.ктронна.я цифрова.я подпись используе.тся во многих кре.дитных орга.низа.циях. В не.которых ба.нка.х суще.ствуют спе.циа.льные отде.лы ра.боты се.ртифика.ционного це.нтра, которые за.нима.ются криптогра.фиче.ской за.щитой эле.ктронных докуме.нтов.

С помощью ЭЦП обме.н докуме.нта.ми, их визирова.ние и подписа.ние происходят гора.здо быстре.е и удобне.е ка.к внутри орга.низа.ции, та.к и за е.е пре.де.ла.ми (при пе.ре.сылке докуме.нтов вне.шним ре.спонде.нта.м, не являющимся пользова.те.лями СЭД ба.нка.).

Та.кже для за.щиты информа.ции используются сре.дства криптогра.фиче.ской за.щиты, та.кие ка.к КриптоПро CSP R2, КриптоПро Etoken CSP, КриптоПро Рутоке.н CSP,Сигна.л-Ком (продукты: СКЗИ Message Pro 3, Crypto Com 3.2, се.рве.р се.ртифика.ции Notary PRO).

Для за.щиты ра.бочих ста.нций и фа.йловых се.рве.ров от все.х видов вирусов используют прошра.мму Kaspersky Business Space Security. Она та.кже обе.спе.чива.е.т сохра.нность информа.ции и мгнове.нный доступ пользова.те.ле.й к се.те.вым ре.сурса.м.

Для выявле.ния не.са.нкционирова.нных се.а.нсов связи (не де.кла.рируе.мых возможносте.й) с использова.ние.м ста.нда.ртных используе.тся програ.ммно-а.ппа.ра.тный компле.кс Тритон. Принцип де.йствия прибора основа.н на возде.йствии провоцирующе.го шумового ра.диосигна.ла на иссле.дуе.мый пре.дме.т с после.дующим а.на.лизом ре.а.кции на это возде.йствие. Е.го за.да.ча за.ключа.е.тся в ра.сстройстве синхрониза.ции за.кла.дных устройств, за.ма.скирова.ть их под ста.нда.ртные ра.диоинте.рфе.йсы и те.м са.мым за.ста.вить выйти е.го в эфир для поиска утра.че.нных ка.на.лов синхрониза.ции