Файл: Методика защиты информации в системах электронного документооборота (1. Построение защищенного электронного документооборота на предприятии).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 04.07.2023

Просмотров: 1242

Скачиваний: 50

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

1. Построение защищенного электронного документооборота на предприятии

1.1 Построение модели угроз электронного документооборота предприятия

1.2 Классификация средств и методов защиты электронного документооборота предприятия на основе угроз

1.3 Постановка цели защиты электронного документооборота предприятия

2. Описание исследуемого объекта

2.1 Краткая характеристика ООО «Торговый дом «Демидовский»

2.2 Анализ документов, регулирующих защиту электронного документооборота

2.3 Анализ системы защиты конфиденциальной информации

3. Анализ документооборота организации

3.1 Структурирование защищаемой информации на объекте

3.2 Оценка рисков информационных угроз безопасности защищённого документооборота

3.3 Оценка общего информационного риска в организации

3.4 Организационно-правовые мероприятия

3.5 Инженерно-технические средства защиты

3.6 Программно-аппаратные средства защиты

3.7 Этапы обработки документов

3.8 Система электронного документооборота «Дело»

Заключение

Список использованной литературы

    • организацию охраны, режима, работу с кадрами, с документами;
    • использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

    • организацию режима и охраны. Их цель – исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
    • организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
    • организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
    • организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
    • организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
    • организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Программно-аппаратная защита информации

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др [1]. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей в различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя:


    • автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;
    • программы защиты информации, работающие в комплексе с программами обработки информации;
    • программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных).

Криптографическая защита информации

Криптографические методы защиты информации – это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования [1]. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.

Современная криптография включает в себя четыре крупных раздела:

  1. симметричные криптосистемы. В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. (Шифрование – преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом, дешифрование – обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный);
  2. криптосистемы с открытым ключом. В системах с открытым ключом используются два ключа – открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения;
  3. электронная подпись. Системой электронной подписи называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения;
  4. управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии. Элемент включает:

    • регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;
    • определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;
    • регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радио связи;
    • регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;
    • регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.

На основании анализа угроз электронного документооборота предприятия, можно сформировать основные средства защиты информации и методы обеспечения информационной безопасности (ИБ) электронного документооборота (таблица 1.2).

Таблица 1.2 – Основные средства обеспечения ИБ ЭД и их методы

Средства обеспечивающие ИБ ЭД

Методы обеспечения ИБ ЭД

I.Технические

а) использование аппаратных фаерволов и маршрутизаторов

б) физическое разграничение сетевого оборудования

в) автоматическое создание резервных копий

II.Программные

а) использование антивирусное ПО

б) логическое разграничение сети

в) использование программных средств идентификации и аутентификации пользователей

III.Организационно-правовые

а) введения учета ознакомления сотрудников с информацией ограниченного распространения

б) организация учета ключей шифрования и подписи, их хранения, эксплуатации и уничтожения

в) предоставление прав доступа в соответствии с должностью

IV.Криптографические

а) использования криптографических средств шифрования конфиденциальной информации

б) использования технологии открытых ключей для обеспечения подлинности и целостности информации

Описанные средства и методы являются общими для любой информационной системы электронного документооборота предприятия, и их применение может значительно уменьшить риск реализации угроз ЭД.

На основе средств и методов защиты электронного документооборота можно построить защиту от угроз ЭД.

1.3 Постановка цели защиты электронного документооборота предприятия

Целью защиты электронного документооборота предприятия является уменьшение рисков реализации его угроз. Поскольку сведение до нуля рисков реализации угроз возможно только в информационной системе черного ящика, где нет входных и выходных данных, то невозможно построить документооборот без угроз, а вот уменьшение вероятности их появления возможно средствами защиты и методами защиты ЭД. Исходя из существующей модели угроз, можно поставить цели защиты:

  • разграничение уровня доступа пользователей к ресурсам ЭД;
  • логическое и физическое разграничение сегментов сети ЭД;
  • разграничение ресурсов ЭД;
  • защита программного обеспечения от несанкционированной модификации, копирования, удаления;
  • применение организационно-правовых способов управления персоналом для уменьшения ошибок допускаемых в работе;
  • организация защиты от несанкционированного копирования, модификации, удаления информации на ресурсах информационной системы;
  • обеспечить защищенное создание резервных копий информации, обрабатываемой в ЭД предприятия;
  • обеспечить достоверность, целостность, конфиденциальность информации, передаваемой по каналам связи. На основании целей защиты информации, обрабатываемой в ЭД предприятия, можно определить их решение средствами защиты информации электронного документооборота (таблица 1.3).

Таблица 1.3 – Средства ИБ ЭД и решаемые ими задачи

Средства обеспечивающие ИБ ЭД

Решаемые задачи

I.Технические

Создание резервных копий на случай выхода оборудования из строя

Разграничение локального и сетевого трафика предприятия

Средства аутентификации и авторизации пользователей к ресурсам сети

II.Программные

Защиту ПО и информации от вирусов

Защиту от НСД

Аутентификация и авторизация пользователей

III.Организационно-правовые

Уменьшение количества допускаемых ошибок в процессе обработки информации

IV.Криптографические

Разграничение прав пользователей к конфиденциальной информации

Контроль целостности информации

Подлинность информации

Защита информации в случаи кражи или утечки по каналам связи

Как видно из таблицы 1.3 обеспечение защищенного электронного документооборота предприятия – это комплексный подход и использование только некоторых средств ИБ ЭД не сможет значительно снизить вероятность реализации его угроз. Только использование основных четырех средств, вместе даст значительное уменьшение вероятности реализации угроз предприятия.

2. Описание исследуемого объекта

2.1 Краткая характеристика ООО «Торговый дом «Демидовский»

Краткая характеристика ООО «Торговый дом «Демидовский» приведена в таблице 2.1.

Таблица 2.1 – Описание предприятия

Название

«Торговый дом «Демидовский»

Форма собственности

Общество с ограниченной ответственностью

Вид деятельности

Оптовая и розничная торговля

Руководитель

Майоров Юрий Станиславович

Количество штатных единиц

18

В соответствии с федеральным законом «Об обществах с ограниченной ответственностью» (Об ООО) от 08.02.1998 N 14-ФЗ обществом с ограниченной ответственностью признается учрежденное одним или несколькими лицами хозяйственное общество, уставный капитал которого разделен на доли определенных учредительными документами размеров; участники общества не отвечают по его обязательствам и несут риск убытков, связанных с деятельностью общества, в пределах стоимости внесенных ими вкладов.


Особенностью ООО по сравнению с другими формами собственности является то, что учредители общества не отвечают по его обязательствам и несут риск убытков, связанных с деятельностью общества, в пределах стоимости внесенных ими вкладов. За текущую деятельность отвечают должностные лица (Генеральный директор, Главный бухгалтер).

Структурная схема организации представлена на рисунке 1.1

Начальник отдела

Начальник отдела

Секретарь

Директор

Директор

Бухгалтерия

Отдел по работе с клиентами

Гл. Бухгалтер

Бухгалтер

Секретарь

Начальник отдела

Юрист

Рисунок 2.1 – Структурная схема ООО «Торговый дом «Демидовский»

На рассматриваемом предприятии отсутствует служба безопасности, так как для предприятия таких масштабов содержание данного подразделения экономически не целесообразно.

План исследуемого объекта

План-схема офисного помещения ООО «Торговый дом «Демидовский» представлена на рисунке А.1. Далее рассмотрим отделы предприятия, и определим, какие функции выполняют сотрудники описанных отделов.

Закрытая информация циркулирует повсеместно, во всех отделах фирмы. Рассмотрим деятельность каждого отдела в отдельности.

Бухгалтерия

Основными задачами данного подразделения на исследуемом предприятии являются:

осуществление приема и контроля первичной документации по соответствующим участкам бухгалтерского учета;

учет основных средств, товарно-материальных ценностей, затрат на производство, реализации продукции, результатов хозяйственно-финансовой деятельности;

начисление и перечисление платежей в государственный бюджет и внебюджетные фонды;

отражение в бухгалтерском учете операций, связанных с движением денежных средств и товарно-материальных ценностей;

подготовка данных по участкам бухгалтерского учета для составления отчетности.

Также на предприятии бухгалтерия выполняет функции отдела кадров, такие как:

оформление трудовых контрактов;

оценка трудовой деятельности каждого работника;

перевод, повышение, понижение, увольнение в зависимости от результатов труда;

профориентация и адаптация – включение набранных работников в коллектив, в процесс производства;

определение заработной платы и льгот в целях привлечения, сохранение, закрепления кадров;

организация обучения кадров.

В состав бухгалтерии входят три человека: главный бухгалтер, бухгалтер, секретарь бухгалтерии.