Файл: Федеральное государственное автономное образовательное учреждение высшего образования ЮжноУральский государственный университет (национальный исследовательский университет).pdf
Добавлен: 09.01.2024
Просмотров: 194
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
59
Далее необходимо указать параметры подключения к запущенному экземпляру СУБД (рисунок 3.2).
Рисунок 3.2 – Параметры подключения к СУБД
Следующим шагом необходимо указать имя создаваемой базы данных и пароль для доступа к ней (рисунок 3.3).
Рисунок 3.3 – Заполнение имени базы и пароля доступа
В следующем окне необходимо поставить галочку «Заполнять создаваемую базу подготовленными данными» (Рисунок 3.4), после чего в последнем окне проверить заполненные данные и подтвердить создание новой базы данных, нажав кнопку «Далее» (Рисунок 3.5).
60
Рисунок 3.4 – Окно подтверждения заполнения базы данных готовыми данными
Рисунок 3.5 – Подтверждение создания базы данных
После установки серверной части осуществляется установка клиентской части системы и проверка работоспособность. Для этого необходимо выбрать полную установку и указать параметры подключения к серверу и базе данных
(Рисунок 3.6).
61
Рисунок 3.6 – Параметры подключения к серверу и базе данных
По завершению установки необходимо проверить работоспособность системы (Рисунок 3.7, Рисунок 3.8).
Рисунок 3.7 – Окно авторизации клиента в СЭД посредством подсистемы Web
62
Рисунок 3.8 – Окно кабинета клиента в СЭД в подсистеме Web
63
3.2.3 Техническое обеспечение
На примере внедрения СЭД в компании «Апрель» стоит отметить внесение изменений в структуру локальной вычислительной сети компании, связанное с внедрением еще двух серверных платформ.
Контроллер домена
Контроллер домена коммутатор коммутатор коммутатор коммутатор
Интернет
Маршрутизатор
Маршрутизатор
Сервер СЭД
Сервер СЭД
Рисунок 3.9 – Аппаратная архитектура ИС организации.
Для внедряемых серверных платформ была подобрана конфигурация, представленная в таблице 3.3.
Таблица 3.3 – Характеристики серверов размещения СЭД и резервных копий
Наименование
элемента
Модель элемента
Материнская плата
ASUS
1U
RS100-E7-PI2
<90S-
6WA0000C300UET>(LGA1155, C204, PCI-E, SVGA,DVD-
RW,2xGbLAN, 4DDR3, 220W)
Процессор
CPU Intel Xeon E3-1220 V2 3.1 GHz/4core/69W LGA1155
ОЗУ
2 шт. Kingston ValueRAM
CL11 ECC
Жесткий диск
2 шт. HDD 2 Tb SATA 6Gb/s Western Digital RE
64
3.2.4 Организационное обеспечение
Основные этапы внедрения системы электронного документооборота включают в себя:
Этап 1. Определение базовых процессов и процедур. Цель данного этапа заключается в четком определении состава существующих процессов документооборота и процедур обработки документации. Для этого необходимо провести детальный анализ существующих процессов и процедур.
В ходе этого этапа необходимо:
определить процессы верхнего уровня;
определить детальный состав процессов;
определить бизнес цели для процессов документооборота;
определить технические цели для процессов документооборота.
Этап 2. Определение требований к процессам документооборота. На данном этапе определяется, какие изменения необходимо внести в процессы документооборота, чтобы они работали эффективно и могли быть автоматизированы.
На данном этапе необходимо:
провести технологическую оценку процессов документооборота;
определить бизнес требования к процессам;
подготовить карты процессов «как должно быть»;
установить измеряемые характеристики процессов;
сформулировать технические требования к процессам документооборота и подготовить техническое задание.
Этап 3. Формирование критериев выбора системы электронного документооборота. На основании данных первого и второго этапов необходимо сформулировать набор критериев для выбора системы электронного документооборота. Критерии выбора системы электронного
65 документооборота будут во многом определять объем дальнейших работ и порядок организации взаимодействия с поставщиком системы.
На данном этапе необходимо:
классифицировать существующие документы по видам;
провести оценку существующих форм документов;
определить состав данных, которые будут перенесены в электронный вид;
определить требования к пользовательскому интерфейсу;
составить набор критериев выбора системы электронного документооборота.
Этап 4. Выбор системы электронного документооборота. Этот этап позволяет организации определить основные технологии, на основании которых будет работать система электронного документооборота, выбрать подходящую систему и определить поставщика услуг по внедрению системы электронного документооборота.
На данном этапе необходимо:
определить состав функций системы документооборота;
определить вид системы документооборота, наибольшим образом соответствующий потребностям организации;
сформировать список возможных поставщиков системы электронного документооборота;
выбрать поставщика системы электронного документооборота.
Этап 5. Управление проектом внедрения системы электронного документооборота. После выбора поставщика системы электронного документооборота необходимо разработать план внедрения. Этот этап может занять достаточно много времени, однако время на планирование поможет значительно сократить время на внедрение системы. План может быть разработан совместно с поставщиком услуг.
План управления проектом должен включать следующие работы:
66
проектирование функционала системы;
внедрение системы;
тестирование и оценка работы системы;
опытная эксплуатация системы;
доработка и настройка системы.
Этап 6. Документирование системы. Этот этап может выполняться параллельно с предыдущим этапом. Целью данного этапа является создание определенных организационных правил, которые обеспечат стабильную работу системы электронного документооборота.
На данном этапе необходимо:
провести обучение персонала;
разработать процедуры и регламенты взаимодействия пользователей;
разработать руководства по работе с системой.
Никаких дополнительных вакансий для эксплуатации системы не требуется. Основными пользователями будут сотрудники отдела по кадрам и делопроизводству.
В случае нарушений в работе или для расширения функций системы возможно привлекать стороннего разработчика, на разовые договорные работы.
Также поддержание системы возможно силами системного администратора (уже есть в штате)
1 2 3 4 5
3.2.5 Обеспечение информационной безопасности
Входящее в состав информационной системы программное обеспечение в обязательном порядке должно быть проверено на предмет наличия существующих уязвимостей к различным видам атак, таких как попытки несанкционированного доступа, либо атаки на отказ.
67
Требования, связанные с обеспечением безопасности при выполнении монтажных, наладочных и пусковых работ, связанных с технической частью информационной системы, должны выполняться в полном соответствии с требованиями электробезопасности.
Система электропитания должна предусматривать наличие механизмов защиты от перегрузок и коротких замыканий, а также наличие ручных аварийных выключателей. Общие требования по пожарной безопасности рабочего места оператора персонального компьютера должны соответствовать существующим нормам на бытовое электрооборудование.
При первоначальном запуске системы в эксплуатацию необходимо настроить учетные записи пользователей, которые будут работать в системе, в справочнике «Сотрудники», с целью разграничения прав доступа.
Электронный документооборот позволяет перенести деятельность предприятия в информационное пространство, что значительно оптимизирует бизнес-процессы и увеличивает производительность. Защищенная передача информации подразумевает, что информация в процессе обмена будет доступна строго определенному кругу лиц без возможности ее подмены или искажения в процессе передачи [1].
Для обеспечения защиты электронного документооборота необходимо:
1.
Категорировать передаваемую информацию;
2.
Оценить потенциально возможного нарушителя и угрозы;
3.
Определить целесообразность защиты передаваемой информации;
4.
Сформировать перечень требований к средствам защиты;
5.
Разработать перечень организационно-распорядительной документации;
6.
Обеспечивать мониторинг угроз и актуальность системы.
Каждый пункт представленного алгоритма связан с одним из предыдущих и(или) последующих. Структурно данный алгоритм можно представить в виде схемы (Рисунок 3.10).
68
Рисунок 3.10 – Структурная схема процесса разработки и внедрения системы защиты электронного документооборота
Под категорированием информации подразумевается определение типа передаваемой информации: персональные данные (сотрудников или клиентов), коммерческая тайна, информация ограниченного доступа, общедоступная информация, смешенная и т. д. Каждый тип информации попадает под определенные нормативно-правовые акты и требует различные методы защиты. Так, например, если передаваемая информация является общедоступной или коммерческой тайной данного предприятия, то её защита вообще не регламентируется нормативно-правовой документацией и обеспечивается владельцем по его усмотрению.
При анализе нарушителей необходимо определить, кто и с какой целью может организовывать атаки. Согласно методическим рекомендациям государственных регуляторов в области информационной безопасности [2], нарушителей можно разделить на внешних и внутренних, каждые из которых делятся на определенные категории в зависимости от их потенциала (Рисунок
3.11).
69
Рисунок 3.11 – Классификация нарушителей ИБ
Далее на основе анализа нарушителей необходимо произвести анализ угроз. Анализ угроз отвечает на вопрос: «какие угрозы, с какой вероятностью и последствиями может реализовать актуальный для предприятия нарушитель» [3]. При анализе угроз электронного документооборота учитываются следующие факторы:
1. Тип передаваемой информации
2. Потенциал нарушителя
3. Вероятность реализации угрозы
4. Последствия от реализации угрозы
Решение о целесообразности защиты принимается на основе анализа нарушителей и угроз. Также учитывается экономическая составляющая: затраты на проектирование системы защиты не должны превышать возможные убытки от компрометации информации [4].
Основным этапом является определение требований к системе защиты информации. Они формируются на основе нормативно-правовых актов и модели угроз. В нормативно-правовых актах требования определены в явном виде, например, «для 3-го уровня защищенности ИСПДн необходим межсетевой экран не ниже 4 уровня». Требования на основе модели угроз формируются специалистом по информационной безопасности или комиссией на основе принятия коллективного решения.
Итогом работы
70 специалиста(комиссии) является официальный документ — модель угроз. В качестве примера, фрагмент модели угроз представлен в таблице 3.4.
Таблица 3.4 – Фрагмент модели угроз
Угроза
Программно-
аппаратные средства
Организационные
меры
Угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват управления загрузкой
Установка и настройка средств защиты от НСД с функцией доверенной загрузки
Инструкция администратора
ИС.
Инструкция пользователя ИС
Угрозы, реализуемые после загрузки операционной системы и направленные на выполнение НСД с применением стандартных функций
(уничтожение, копирование, перемещение, форматирование носителей информации и т. п.) операционной системы
Установка и настройка средств защиты от
НСД, установка средств аутентификации
Инструкция пользователя
ИС.
Разграничение прав доступа
Угрозы, реализуемые после загрузки операционной системы и направленные на
Установка и настройка средств защиты от
НСД.
Установка, настройка и
Инструкция пользователя
ИС.
Перечень
ПО, разрешенного к
71
Угроза
Программно-
аппаратные средства
Организационные
меры
выполнение НСД с применением какой- либо прикладной программы своевременное обновление антивирусного ПО установке. Инструкция по организации антивирусной защиты
Угрозы, реализуемые после загрузки операционной системы и направленные на выполнение НСД с применением специально созданных для выполнения НСД программ
Установка и настройка средств защиты от НСД
Инструкция пользователя
ИС.
Перечень
ПО, разрешенного к установке.
Разработкой организационно — распорядительной документации должно заниматься лицо, ответственное за защиту информации.
Организационные меры дополняют программно-технические и в некоторых случаях позволяют избежать излишних затрат.
Сопровождение системы заключается в постоянном мониторинге новых угроз, обновлении модели нарушителя, поддержании средств защиты информации в работоспособном состоянии, обновлении антивирусных баз данных, разработке новых организационно-распорядительных документов.
Таким образом, обеспечения информационной безопасности электронного документооборота территориально распределенного предприятия требует комплексного подхода, согласно которому, с одной стороны, система защиты должна полностью удовлетворять нормативно — правовым актам, а с другой — нейтрализовать актуальные угрозы информационной безопасности. Кроме того, защита электронного
72 документооборота является непрерывным процессом, который требует регулярного обновления и актуализации системы защиты.
3.2.6 Технологическое обеспечение
В начальном окне системы «Дело» находятся папки кабинета. Чтобы открыть их необходимо нажать указателем мыши на название папки или навести на функцию «
Кабинеты»
и выбрать нужную папку из списка
.
Рисунок 3.12 – Главное окно программы
В папке «Поступившие» находится список входящих записей об РК документов, поступивших на исполнение и по пересылке:
73
Рисунок 3.13 – Окно кабинета, папка «Поступившие»
Чтобы просмотреть документ, необходимо щелкнуть указателем мыши по номеру регистрационной карточки (РК). В поле «Файлы» открывшейся РК, находится электронный образ документа, ознакомиться с ним можно щелкнув по названию прикрепленного файла.
Рисунок 3.14 – Раздел «Файлы»
Если документ пришел по поручению, в разделе РК «Поручения» будет указано, что необходимо сделать по данному документу. Возможные варианты исполнения поручения:
1. Исполнение документа для ознакомления. Если документ пришел по поручению, в тексте которого указано «для ознакомления». Необходимо ввести отчет об исполнении поручения, щелкнув мышью по кнопке «написать отчет\исполнить». Откроется окно «отчет об исполнении», в котором
74 необходимо проставить дату отчета (когда произошло ознакомление с документом) и в текстовом поле ввести информацию об ознакомлении. После чего нажать кнопку «Записать».
2. Исполнение поручения с предоставлением информации. Если документ пришел по поручению, в котором указано несколько исполнителей и соисполнителю необходимо предоставить информацию для того, кто будет делать «свод». Аналогично пункту 1, вводим отчет об исполнении, проставив дату и указав в текстовом поле необходимую информацию. Далее, добавить файл с подготовленной информацией, щелкнув по кнопке «Файлы».
Рисунок 3.15 – Окно добавления файла
В открывшемся окне нажать кнопку «добавить файл», чтобы появился доступ к папкам компьютера и возможность выбора нужного файла. После того как файл выбран, необходимо нажать кнопку «Сохранить». Если файлов несколько, то проделываем операцию по добавлению еще раз.
Рисунок 3.16 – Кнопка сохранения информации
В следующем окне нажимаем кнопку закрыть и возвращаемся в окно отчета об исполнении.