Файл: Методика защиты информации в системах электронного документооборота (1. Построение защищенного электронного документооборота на предприятии).pdf
Добавлен: 04.07.2023
Просмотров: 1248
Скачиваний: 50
СОДЕРЖАНИЕ
1. Построение защищенного электронного документооборота на предприятии
1.1 Построение модели угроз электронного документооборота предприятия
1.2 Классификация средств и методов защиты электронного документооборота предприятия на основе угроз
1.3 Постановка цели защиты электронного документооборота предприятия
2. Описание исследуемого объекта
2.1 Краткая характеристика ООО «Торговый дом «Демидовский»
2.2 Анализ документов, регулирующих защиту электронного документооборота
2.3 Анализ системы защиты конфиденциальной информации
3. Анализ документооборота организации
3.1 Структурирование защищаемой информации на объекте
3.2 Оценка рисков информационных угроз безопасности защищённого документооборота
3.3 Оценка общего информационного риска в организации
3.4 Организационно-правовые мероприятия
3.5 Инженерно-технические средства защиты
3.6 Программно-аппаратные средства защиты
3.7 Этапы обработки документов
• параллельно-последовательный.
ДЕЛО содержит стандартные отчетные формы, генерируемые на основе шаблона в файл MS Word. Шаблоны формы легко редактируются пользователем в MS Word. А любые дополнительные отчеты разрабатываются при помощи специального API, поставляемого с системой.
В ДЕЛЕ также отсутствует система ролей – механизма обеспечения информационной безопасности, который формирует пользовательские роли и определяет объем информации и операций, к которым допущена каждая конкретная роль. В дальнейшем роли можно указывать вместо конкретных исполнителей, что позволяет организовать работу в режиме реального времени или постоянного замещения одного сотрудника другим. Однако в модуле Администрирование имеется функция, позволяющая скопировать права пользователя. Таким образом, достаточно легко создать нового пользователя, наследующего все (или часть) прав и личных настроек от уже существующего в системе пользователя.
В системе ведется полное протоколирование действий пользователя и действий администратора по изменению прав пользователей. Но, не реализован механизм обработки данных протоколов: поиск в протоколе по критериям т.п.
Однако стоит оценить по достоинству встроенные в систему средства электронной почты, позволяющие проводить рассылку прямо из регистрационной карточки, что позволяет значительно экономить время и силы. Предусмотрена передача, как копий, так и оригиналов документов.
Кроме того, ДЕЛО, единственная поддерживает наличие нескольких картотек в системе. Каждое подразделение с большим объемом документооборота может иметь собственную картотеку. Все картотеки могут взаимодействовать между собой.
Ну и самое главное, в ней реализована поддержка всех наиболее важных делопроизводственных функций, таких как: реестр рассылки, опись дел, списание документов в дело с соблюдением всех архивных норм и правил. Что позволяет избежать ведения дополнительных журналов, специализированных программ, Excel- и Word-документов, облегчая тем самым труд персонала.
Подводя итог, хотелось, чтобы в системе были учтены недоработки и появился полноценный редактор регистрационной карточки для обеспечения возможности настройки вида РК для «нетипичных» документов. Возможно стоит увеличить количество предлагаемых стандартных отчетов. Но в целом, это действительно удобный и продуманный продукт.
Заключение
В курсовой работе были даны основные понятия и определения, классифицированы основные угрозы и способы из реализации на предприятии, обрабатывающем электронные документы.
Исследованы общие методы защиты информации, на основании проведенного анализа был выбран программный метод защиты электронного документооборота, основанный на: легкой масштабируемости приложений, гибкости реализации и экономической эффективности. Проанализировав полученные данные, была построена типовая модель защищенной информационно-телекоммуникационной системы предприятия, с применением программных средств криптографической защиты.
В ходе проведения работы была дана краткая характеристика ООО «Торговый дом «Демидовский», проанализирована законодательная база в области защиты конфиденциальной информации, проведено структурирование защищаемой информации на рассматриваемом объекте, оценены риски угроз информационной безопасности. Результатом работы являются выработанные рекомендации по совершенствованию системы защищённого документооборота для ООО «Торговый дом «Демидовский».
Поставленная задача была решена достаточно полно, разработанные рекомендации, при следовании им обеспечат необходимый уровень безопасности документооборота на рассматриваемом предприятии.
Для реализации защищенного электронного документооборота применяются разнообразные технологии, но все они в своей основе используют криптозащиту. Данный вид защиты использует минимум ресурсов и приносит максимум эффективности.
Список использованной литературы
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 2 мая 2006 г. N 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»
- Федеральный закон от 1 июня 2005 г. № 53-ФЗ «О государственном языке Российской Федерации»
- Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» (с изменениями на 13 мая 2008 г.)
- Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» (с изменениями на 24 июля 2007 г.)
- Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» (с изменениями на 8 ноября 2007 г.)
- Федеральный закон от 29 декабря 1994 г. № 77-ФЗ «Об обязательном экземпляре документов» (с изменениями на 23 июля 2008 г.)
- Федеральный закон от 21 июля 1993 г. № 5485-1 «О государственной тайне» (с изменениями на 1 декабря 2007 г.)
- Постановление Правительства от 15 июня 2009 г. № 477 «Об утверждении Правил делопроизводства в федеральных органах исполнительной власти»
- Распоряжение Правительства РФ от 5 января 2005 г. № 5-р «Об утверждении перечней федеральных государственных учреждений и федеральных государственных унитарных предприятий, подведомственных Росархиву, Роскультуре и Роспечати» (с изм. на 10 марта 2009 г.)
- Постановление Правительства РФ от 17 июня 2004 г. № 290 «О Федеральном архивном агентстве» (с изменениями на 8 августа 2009 г.)
- Постановление Правительства РФ от 7 апреля 2004 г. № 177 «Вопросы Федерального архивного агентства» (с изменениями на 29 мая 2008 г.)
- Постановление Правительства РФ от 16 апреля 2003 г. № 225 «О трудовых книжках» (с изменениями на 19 мая 2008 г.)
- Постановление Правительства РФ от 13 августа 1997 г. № 1009 «Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации» (с изменениями на 17 марта 2009 г.)
- Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями на 23 сентября 2005 г.)
- Постановление Правительства РФ от 27 декабря 1995 г. № 1268 «Об упорядочении изготовления, использования, хранения и уничтожения печатей и бланков с воспроизведением Государственного герба Российской Федерации» (с изменениями на 14 декабря 2006 г.)
- Указ Президента РФ от 30 ноября 1995 г. № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне» (с изменениями на 10 июня 2009 г.)
- Постановление Правительства РФ от 4 сентября 1995 г. № 870 «Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности» (с изменениями на 22 мая 2008 г.)
- Распоряжение Правительства РФ от 21 марта 1994 г. № 358-р «О сохранности документов по личному составу высвобождаемых работников»
- Письмо Федерального архивного агентства от 18 ноября 2008 г. N 2/2062-К «Об «Информационно-справочной системе архивной отрасли»
- Приказ Министерства культуры и массовых коммуникаций Российской Федерации от 8 ноября 2005 г. № 536 «О Типовой инструкции по делопроизводству в федеральных органах исполнительной власти»
- Постановление Госкомстата России от 5 января 2004 г. N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»
- Приказ Минфина России от 22 декабря 2003 г. № 117н «О трудовых книжках»
- Письмо Росархива от 24 ноября 2003 г. № 2/2047-А «О модернизации «Информационно-справочной системы архивной отрасли»
- Постановление Минтруда России от 10 октября 2003 г. № 69 «Об утверждении Инструкции по заполнению трудовых книжек»
- Постановление Федеральной комиссии по рынку ценных бумаг от 16 июля 2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ»
- Письмо Росархива от 7 апреля 2003 г. № 6/464-к «О присвоении тематическому комплекту «Информационно-справочная система архивной отрасли (ИССАО)» статуса «официальной базы данных Федеральной архивной службы России»
- Постановление Минтруда России от 26 марта 2002 г. № 23 «Об утверждении Норм времени на работы по документационному обеспечению управленческих структур федеральных органов исполнительной власти»
- Основные правила работы архивов организаций, одобренные решением коллегии Росархива от 6 февраля 2002 г.
- Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения, утвержденный руководителем Росархива 6 октября 2000 г.
- Приказ Росархива от 19 января 1995 г. № 2 «Об утверждении примерного положения о постоянно действующей экспертной комиссии учреждения, организации, предприятия»
- Постановление Минтруда России от 25 ноября 1994 г. № 72 «Об утверждении межотраслевых укрупненных нормативов времени на работы по документационному обеспечению управления»
- Приказ Росархива от 18 августа 1992 г. № 176 «О Примерном положении об архиве государственного учреждения, организации, предприятия»
- Государственная система документационного обеспечения управления. Основные положения. Общие требования к документам и службам документационного обеспечения. Одобрено коллегией Главархива СССР 27 апреля 1988 г. Приказ Главархива СССР от 25 мая 1988 г. № 33
- ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов
- ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения
- ГОСТ Р 50922-2006. Защита информации. Основные термины и определения
- ГОСТ 6.10.4-84. Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения
- ГОСТ 6.10.5-87. Унифицированные системы документации. Требования к построению формуляра-образца
- ГОСТ 17914-72. Обложки дел длительных сроков хранения. Типы, размеры и технические требования
- ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи
- ГОСТ ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. – Введ. – М.: Стандартинформ, 2006
- Руководящий документ; Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации [Текст].; Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
- Петров, М.И. Безопасность и персонал.; Изд: журнал «Управление персоналом».; 240 с.; 2006.; 10000 экз.; ISBN 5-9563-0053-1
- Сабинин, В.Н. Организация конфиденциального делопроизводства начало обеспечения безопасности информации в фирме [Электронный ресурс]; Режим доступа: http://www.informost.ru/news/05-09/13. php, свободный; Загл. с экрана.
- Распределительная система управления документами эпохи WEB – технологий // F1. – 1998. – №2. – c.34 – 37. – Рус.
- Документация в информационном обществе: электронное делопроизводство и электронный архив / Кобелькова Л.А. // Отеч. архив. – 2000. – №1 – с.110 – 112. – Рус.
- От изоляции к кооперации: Развитие систем электронной доставки документов и электронного МБА в региональных библиотеках / Терехович В.А. // 6 –аяМеждунар. конф. «Библиотеки и ассоциации в меняющемся мире: новые технологии и новые формы сотрудничества», Судак и др., 5-13 июня, 1999 г., «Крым 99»: Матер.конф. Т.1. – Симферополь, 1999.- с. 71-74.- Рус., рез. англ.
- Развитие электронной доставки документов в библиотеках России. Глухов В.А., Лаврик О.Л. 275 лет на службе науке: библиотеки и институты информации в системе РАН: Сборник науч. трудов. Инф.- библ. совет. М.: Изд-во Инф.- библ. совет., 2000, с. 192-204. Библ. 18. Рус.
- Создание корпоративной системы электронной доставки документов г. Новосибирска. Лаврик О.Л., Баженов С.Р. 8-ая Междунар. конф. «Крым – 2001». «Библиотеки и ассоциации в меняющемся мире: новые технологии и новые формы сотрудничества», Судак, 9 – 17 июня, 2001: Тема 2001 г. «Производители и пользователи печатной и электронной информацией на пути к информационному обществу»: Труды конф. Т. 2. М.: Изд-во ГПНТБ России, 2001., с. 780 – 784, 1 кл., табл.1, Библ. 7. Рус, рез. англ.,укр.
План-схема офисного помещения ООО «Торговый дом «Демидовский»
Принципиальная схема локальной вычислительной сети ООО «Торговый дом «Демидовский»
Перечень сведений, составляющих коммерческую тайну ООО «Торговый дом «Демидовский»
УТВЕРЖДАЮ
Генеральный директор
ООО «Торговый дом «Демидовский»
______________С.А. Иванов
«16» апреля 2016 г.
ПЕРЕЧЕНЬ сведений, составляющих коммерческую тайну ООО «Торговый дом «Демидовский»
1. Настоящий Перечень сведений, составляющих коммерческую тайну ООО «Торговый дом «Демидовский», (далее Перечень) содержит совокупность сведений в области управленческой, финансово-коммерческой, производственно-технической и иной деятельности ООО «Торговый дом «Демидовский» (далее Общество), имеющих действительную или потенциальную ценность в силу неизвестности их третьим лицам, несанкционированное распространение которых в детализированном виде (т.е. содержащих цифры, фамилии, сроки, даты, названия и пр) может нанести ущерб имиджу и экономическим интересам Общества.
2. Информация имеет действительную или потенциальную коммерческую ценность, если она позволяет или может позволить обладателю коммерческой тайны при существующих или возможных обстоятельствах в силу неизвестности ее третьим лицам увеличить доходы, избежать убытков, сохранить положение на рынке или получить иную коммерческую выгоду.
3. Обладателем коммерческой тайны в отношении информации, созданной работником в связи с выполнением служебных обязанностей или по заданию работодателя, является работодатель, если условиями трудового договора между ними не предусмотрено иного.
4. В Перечне указаны наименования структурных подразделений Общества, наделенные полномочиями по распоряжению сведениями соответствующей тематической направленности в рамках их компетенции.
5. Внесение изменений и дополнений в настоящий Перечень осуществляется Генеральным директором по представлению структурных подразделений.
6. В Перечень также включены сведения, не относящиеся к коммерческой тайне, но представляемые ограниченному кругу лиц по требованию органов государственной власти и управления, в том числе контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством Российской Федерации, а также трудового коллектива Компании.
7. Настоящий Перечень является методическим руководством для менеджеров при принятии решения об ограничении распространения сведений и соблюдения режима коммерческой тайны при работе с документами. Окончательное решение об ограничении распространения сведений, подготовленных структурным подразделением, принимает руководитель соответствующего структурного подразделения.
Общие требования и порядок работы со сведениями, составляющими коммерческую тайну ООО «Торговый дом «Демидовский», определены «Положением о режиме коммерческой тайне».
По вопросам маркетинга
1.1 Сведения о концепции стратегического развития ООО «Торговый дом «Демидовский» (далее – Общества), если их разглашение может нанести ущерб интересам Общества.
1.2 Сведения о проводимых маркетинговых исследованиях рынка и их результатах (показатели спроса, конкурентоспособности и т.д.).
1.3 Обобщенные сведения о клиентах и партнерах Общества, в тои числе о поставщиках.
2. Сведения по организационно-правовым вопросам
2.1 Сведения о предполагаемом создании, реорганизации (ликвидации) Обществом дочерних предприятий, если их разглашение может нанести ущерб интересам Общества.
2.2 Сведения по делам, рассматриваемым в судах (в том числе арбитражных и третейских), относительно Общества.
3. Сведения по вопросам торгово-экономических отношений и финансово-хозяйственным вопросам
3.1 Сведения о конкретных параметрах сделок, проводимых Обществом.
3.2 Сведения, раскрывающие предмет переговоров или позицию Общества по тактике и условиям ведения переговоров.
3.3 Сведения, раскрывающие размеры комиссий, агентских вознаграждений и скидок от компаний-партнеров.
3.4 Сведения, раскрывающие методы расчета и размеры премий сотрудников.
3.5 Сведения, раскрывающие ставки внутренней доходности в сделках с различными клиентскими группами.
3.6. Сведения, раскрывающие условия, цели или стоимость заключаемых договоров во время переговоров (проработки заключения договора), если это не касается стандартных договоров.
3.6. Сведения о средствах на счетах Общества и об оборотах Общества.
3.7. Обобщенные сведения о собственности Общества.
4. По вопросам эксплуатации и развития информационно-вычислительных сетей
4.1 Сведения, раскрывающие детальные планы (схемы) информационно-вычислительных сетей Общества.
4.2 Сведения, раскрывающие порядок доступа к информационно-вычислительным ресурсам Общества.
Положение о режиме коммерческой тайны ООО «Торговый дом «Демидовский»
УТВЕРЖДАЮ
Генеральный директор
ООО «Торговый дом «Демидовский»
______________С.А. Иванов
«16» апреля 2016 г.
ПОЛОЖЕНИЕ
о режиме коммерческой тайны ООО «Торговый дом «Демидовский»
1. Общие положения
1.1 Настоящее Положение о коммерческой тайне (далее – Положение) в целях обеспечения экономической безопасности общества с ограниченной ответственностью «Торговый дом «Демидовский» (далее – Общество), устанавливает общие нормы о сведениях, составляющих коммерческую тайну (далее – коммерческая тайна), режиме конфиденциальной информации и условиях ее защиты, а также меры ответственности, применяемые за нарушение требований, установленных настоящим Положением.
1.2 Настоящее Положение разработано в соответствии с действующим законодательством РФ, Уставом Общества, должностными инструкциями и иными локальными (внутренними) актами Общества, утвержденными в установленном порядке.
1.3 Действие настоящего Положения распространяется на работников Общества, работающих по трудовому договору, заключенному сообществом, которые дали обязательство о неразглашении коммерческой тайны, а также на лиц, работающих по договорам, заключенным сообществом, взявших на себя обязательство о неразглашении коммерческой тайны, в порядке и на условиях, предусмотренных настоящим Положением.
2. Понятия, используемые в настоящем Положении
2.1 РУКОВОДИТЕЛЬ ОБЩЕСТВА – директор или иное должным образом уполномоченное им лицо.
2.2 ИНФОРМАЦИОННАЯ ЗАЩИТА – это совокупность организационно-технических и режимных мероприятий, а также мероприятий скрытого контроля, направленных на предотвращение вступления сведений, составляющих коммерческую тайну, лицам, не имеющим право доступа к ним на законном основании.
2.3 ДОПУСК ККОММЕРЧЕСКОЙ ТАЙНЕ – процедура оформления права работника на доступ к сведениям, составляющим коммерческую тайну.
2.4 НОСИТЕЛИ СВЕДЕНИЙ СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ ТАЙНУ – материальные объекты, в которых сведения находят свое отображение.
2.5 РАЗГЛАШЕНИЕ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ ТАЙНУ – передача в устной, письменной, электронной или иной форме, раскрытие и подобные действия, совершенные работником умышленно или по неосторожности, включая халатное отношение к своим должностным обязанностям, повлекшие ознакомление со сведениями, составляющими коммерческую тайну, любых лиц, не имеющих права доступа на законном основании к указанным сведениям.