Особенности конфиденциального электронного документооборота

Система защищенного электронного докумантооборота

Реферат

Выполнил: Базаров Ж.В.

Студент 135 гр.

Проверил: Паромонова Е.Г

Улан-Удэ

2019

План

1. Особенности конфиденциального электронного документооборота

2. Основные пилы угроз информационной безопасности организации

3. Основные требования и меры по защите конфиденциальной информации, циркулирующей в эксплуатируемой автоматизированной информационной системе

3.1 Основные требования по защите конфиденциальной информации

3.2 Основные меры по защите конфиденциальной информации

3.3 Особенности и основные требования защиты персональных данных в АИС

4. Примерный состав и функции службы комплексного администрирования АИС

5. Организация работ при создании системы защиты электронного документооборота

5.1 Основные требования по разработке системы защиты информации

5.2 Стадии и этапы разработки системы защиты

 

Особенности конфиденциального электронного документооборота

 

Правительство Российской Федерации утвердило Положение о системе межведомственного электронного документооборота. Федеральная информационная система обеспечивает в автоматизированном режиме защищенный обмен электронными сообщениями, п том числе сообщениями, содержащими информацию, отнесенную к сведениям, составляющим служебную тайну.

Защищенный электронный документооборот, как отмечалось во введении, можно разделить на два вида: внутренний (ВЭД) организации и межведомственный (межсетевой) (МЭД).

Почтовый обмен электронными сообщениями по защищенным каналам связи при МЭД осуществляется с помощью специального программного обеспечения - комплекс программ "Почтовая служба", предназначенного для организации. электронный документооборот конфиденциальный

Электронное сообщение состоит из двух частей: сопроводительной, предназначенной для адресации сообщения, и содержательной, представляющей собой текст сообщения либо текст сообщения с присоединенными файлами, содержащими электронную копию (электронный образ) документа или электронный документ, и их реквизиты, описанные с помощью языка ХМL. Формат файлов, используемых при осуществлении МЭД, должен соответствовать национальным или международным стандартам либо иметь открытый исходный код и открытую структуру. Язык XML расширяемый язык гипертекстовой разметки, используемый для создания и размещения документов в среде WWW. Язык позволяет автоматизировать обмен данными, не прибегая к существенному объему программирования [331].

Стандарт на представление данных - ориентированный, в частности на обмен информацией между независимыми участниками. Формат XML предполагает структурную, а не оформительскую раз - метку информации. Поэтому XML-файл легко обрабатывать, загружать в базы данных, а также "накладывать" на него любой дитайн, необходимый для представления данных в удобной потребителю форме. Именно это делает XML форматом, удобным для трансляций.

Следует отметить, что одни и те желанные в рамках формата XML можно представить разными, несовместимыми друг с другом способами. В тех областях, где обмен информацией - частое и устойчивое явление, разработаны XML-форматы представления данных, которым рекомендуется следовать по мере возможности.

Электронный документ - информационный объект, также состоящий из двух частей:

реквизитной, содержащей идентифицирующие атрибуты (имя, время и место создания, данные об авторе и т.д.) и электронную цифровую подпись:

содержательной, включающей в себя текстовую, числовую и/ил и графическую информацию, которая обрабатывается в качестве единого целого.

Технические требования к организации взаимодействия системы межведомственного электронного документооборота с системами электронного документооборота федеральных органов исполнительной власти утверждены распоряжением Правительства Российской Федерации от 2 октября 2009 г. №1403-р. Основные требования к взаимодействию данных систем других организаций (государственных и негосударственных структур) изложены в разд. 3.2.

Правилами делопроизводства в федеральных органах исполнительной власти определено, что электронные документы создаются, обрабатываются и хранятся в системе электронного документооборота федерального органа исполнительной власти (в нашем случае ВЭД организации). Правилами установлен перечень обязательных сведений о документах, используемых в целях учета и поиска документов в системах электронного документооборота. В соответствии с данным перечнем обязательным сведением является отметка о конфиденциальности электронного документа.

Для подписания электронных документов используются электронные цифровые подписи. Электронная цифровая подпись - реквизит электронного документа, который предназначен для его защиты от подделки, получен в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяет идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Средства ЭЦП представляют собой аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:

· создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП:

· подтверждение с использованием открытого ключа ЭЦП подлинности в электронном документе;

· создание закрытых и открытых ключей ЭЦП.

Используемые средства электронной цифровой подписи должны быть сертифицированы. Сертификат средств ЭЦП - это документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия этих средств установленным требованиям.

При рассмотрении и согласовании электронных документов в системе электронного документооборота могут использоваться способы подтверждения, при которых ЭЦП не используется.

Прием и отправка конфиденциальных электронных документов осуществляются Службой делопроизводства организации. При получении электронных документов Служба делопроизводства осуществляет проверку подлинности ЭЦП.

При передаче поступивших электронных документов на рассмотрение руководству, их направления в структурные подразделения и ответственным исполнителям, отправке электронных документов для их хранения вместе с электронными документами передаются (хранятся) их регистрационные данные.

Единицей учета электронного документа является электронный документ, зарегистрированный в системе ВЭД организации. Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.

Исполненные электронные документы систематизируются в делав соответствии с номенклатурой дел организации. При составлении номенклатуры дел указывается, что дело ведется в электронном виде.

Электронные документы после их исполнения подлежат хранению в установленном порядке в организации в течение сроков, предусмотренных для аналогичных документов на бумажном носителе.

Но истечении срока, установленного для хранения электронных дел (электронных документов), на основании акта о выделении их к уничтожению, утверждаемого руководителем организации, указанные электронные дела (электронные документы) подлежат уничтожению.

Защите подлежит информация, имеющая различную структуру и обрабатываемая средствами вычислительной техники, представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитооптической и иной основе.

В нашем случае автоматизированная информационная система и информация, включая конфиденциальную, циркулирующую в системе, рассматриваются как конфиденциальный электронный документооборот.

Информационная безопасность - это защита конфиденциальности, целостности недоступности информации. Конфиденциальность информации: обеспечение доступа к информации только авторизованным пользователям. Целостность информации: обеспечение достоверности и полноты информации и методов ее обработки. Доступность информации: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность при осуществлении МЭД и ВУД обеспечивается комплексом технических и организационных мероприятий. К техническим мероприятиям относятся:

· организация и использование средств защиты информации в полном объеме их функциональных возможностей;

· обеспечение целостности обрабатываемых данных;

· обеспечение антивирусной защиты информации.

К организационным мероприятиям относятся:

· контроль выполнения требований нормативных документов, регламентирующих обеспечение защиты информации:

· определение должностных лиц участников и организатора МЭД, ответственных за обеспечение информационной безопасности:

· установление порядка резервного копирования, восстановления и архивирования баз данных, находящихся на головном узле, а также порядка обновления антивирусных баз;

· установление порядка допуска для проведения ремонтно-восстановительных работ программно-технических средств:

· организация режимных мероприятий в отношении помещений, в которых размещены узлы участников ВЭД и МЭД. и технических средств этих узлов.

Технические сродства узла участника включают в себя серверное и коммуникационное оборудование, средства защиты информации, автоматизированные рабочие места (АРМ) и перелаются организатором МЭД участнику на безвозмездной основе во временное пользование. Передача оформляется актом приема-передачи технических средств. Технические средства должны быть расположены в помещениях. обеспечивающих их сохранность и конфиденциальность передаваемой и принимаемой информации.

В случае возникновения необходимости размещения у участников дополнительных технических средств и (или) их переноса в другие помещения финансирование выполнения комплекса работ по прокладке объектовых линий связи приобретения оборудования и программного обеспечения, а также проведения и выполнения специальных работ осуществляется за счет средств участника. Указанные работы для обеспечения конфиденциальности и безопасности производятся поставщиком услуг, имеющим соответствующую лицензию. Спецификация па приобретаемое оборудование, программное обеспечение и материалы, а также техническое задание на выполнение специальных работ согласуются с организатором МЭД.

Настройку технических средств и средств зашиты, а также установку специального программного обеспечения выполняет организатор МЭД. Финансирование приобретения расходных материалов (съемные носители информации, картриджи к принтерам и др.) осуществляется участниками МЭД.

 

Основными функциями узлов участников МЭД являются:

· обеспечение защиты обрабатываемой, хранимой и передаваемой информации от несанкционированного доступа и искажения до передачи се в защищенный канал связи;

· доставка электронных сообщений, полученных из головного узла, в автоматизированные информационные системы ВЭД адресатов или, иными словами, их автоматизированные информационные системы:

· отправка электронных сообщений из автоматизированных информационных систем ВЭД на головной узел МЭД:

· хранение электронных сообщений до передачи на головной узел МЭД или в автоматизированную информационную систему ВЭД адресата.

Обмен электронными сообщениями при МЭД осуществляют уполномоченные сотрудники. Отправитель электронного сообщения, содержащего электронную копию документа, несет ответственность за соответствие содержания электронной копии содержанию подлинника документа на бумажном носителе.

Регистрация (учет) электронных сообщений в автомат тированной информационной системе ВЭД участника осуществляется в соответствии с инструкцией по делопроизводству этого участника.

Автоматизированная информационная система внутреннего электронного документооборота участника должна обеспечивать подготовку- уведомлений о ходе рассмотрения электронных сообщений этим участником.

Требования по защите информации и мероприятия по их выполнению, а также конкретные средства защиты должны определяться и уточняться в зависимости от установленного класса защищенности на основании разрабатываемой модели угроз и действий нарушителя.

Зашита информации, циркулирующей в АИС организации, или. иными словами, внутреннем электронном документообороте, осуществляется в соответствии с российским законодательством и требованиями нормативно-технических документов в области защиты информации.

Основными задачами обеспечения защиты информации, циркулирующей в АИС, и самих систем на уровне единой информационной среды организации являются:

· формирование технической политики организации в области зашиты информационно-коммуникационных технологий;

· координация деятельности структурных подразделений организации в сфере защиты информации и АИС, а также оценка эффективности принимаемых мер:

· взаимодействие с уполномоченными федеральными и региональными государственными органами в области защиты информации (ФСО России. ФСТЭК России. ФСБ России):

· организация исследований и анализа состояния защиты информации организации;

· организация учета конфиденциальной информации, циркулирующей в АИС, самих систем и других носителей

· организация мониторинга и контроля эффективности защиты информации, циркулирующей в АИС, и самих систем

· аттестация АИС на соответствие требованиям зашиты информации, предусматривающей комплексную проверку (аттестационные испытания) в реальных условиях эксплуатации в целях оценки соответствия используемого комплекса мер и средств защиты требуемому уровню

· планирование работ по созданию и совершенствованию систем защиты информации на конкретных объектах:

· управление зашитой информации на конкретных объектах;

· анализ и прогнозирование потенциальных угроз для конкретных объектов

· оценка возможного ущерба от реализации угроз:

· контроль эффективности принимаемых защитных мер и разбор случаев нарушения.

 

Для обеспечения информационной безопасности в организации создается служба (подразделение) информационной безопасности или отдельные должности штатного расписания организации, укомплектованные специалистами, ответственными за обеспечение информационной безопасности. Подразделение информационной безопасности может подчиняться непосредственно Службе безопасности организации или входить в состав подразделения информационных технологи1. Варианты могут быть различными в зависимости наличия в организации Службы безопасности или Службы информационных технологий. Но в любом случае подразделение информационной безопасности должно быть предусмотрено штатным расписанием в целях обеспечения системы защиты электронного документооборота.

Специалисты подразделения информационной безопасности должны иметь необходимую квалификацию в области защиты информации и проходить периодическую переподготовку (повышение квалификации) в соответствии с программами послевузовского профессионального образования. Квалификационные характеристики главного специалиста по защите информации предусмотрены Квалификационным справочником должностей руководителей, специалистов и других служащих.

Для проведения работ по созданию и эксплуатации системы защиты электронного документооборота могут привлекаться специализированные организации (предприятия), имеющие лицензии и сертификаты на право проведения работ в области защиты информации.

Сертификация средств защиты информации регулируется I Становлением Правительства Российской Федерации от 12.02.1994 № 100 "Об организации работ по стандартизации, обеспечению единства измерений, сертификации продукции и услуг" и Постановлением Правительства Российской Федерации от 25.06.95 г. № 608 "О сертификации средств защиты информации".

Федеральным законом от 8 августа 2001 г. № 128-ФЗ "О лицензировании отдельных видов деятельности", ст. 17, п. 1, п.п. 5-13 определен перечень видов деятельности в области зашиты информации на осуществление которых требуются лицензии:

· деятельность по распространению шифровальных (криптографических) средств (80):

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в облает шифрования информации [там xej;

· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя):

· деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

· деятельность по технической защите конфиденциальной информации;

· разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность:

· деятельность по изготовлению защищенной от подделок полиграфической продукции, в том числе бланков ценных бумаг, а также торговля указанной продукцией.

Подразделение информационной безопасности осуществляет свою деятельность в соответствии с разрабатываемым Положением о подразделении и выполняет основные задачи и функции по обеспечению защиты информации.

Защита информации при сс автоматизированной обработке производится на этапе эксплуатации автоматизированных информационных систем. При выполнении работ по защите информации следует учитывать организационные меры, обусловленные необходимостью проведения технического обслуживания, устранения неисправностей. обновления программного обеспечения и других мероприятий. задаваемых в соответствии с технологиями проведения эксплуатации систем защиты информации в АИС.

Организация и выполнение подготовительных работ по автоматизированной обработке конфиденциальной информации должны проводиться с учетом требований технологий разработки систем зашиты информации. Объектами зашиты при этом являются: открытая. общедоступная информация и информация ограниченного доступа - это конфиденциальная информация, составляющая секрет производства, служебный секрет производства, служебную, коммерческую, профессиональную тайну, персональные данные и иные сведения, установленные российским законодательством, за исключением сведений, составляющих государственную тайну.

Объекты защиты АИС и циркулирующей в ней информации более подробно рассмотрены в разд. 3.7.

Определение и категорирование подлежащей защите информации осуществляет организация - заказчик создания и эксплуатации АИС в соответствии с действующим российским законодательством. Список источников и литературы), а также Перечня конфиденциальной документированной информации организации и разрабатываемого или уже разработанного на его основе классификатора конфиденциальной информации системы.

Технологии и процессы автоматизированной обработки защищаемой конфиденциальной информации должны быть обеспечены стандартизованными машинными носителями информации, их накопителями, программно-техническими средствами глобальных и локальных вычислительных сетей и протоколами межведомственного (межсетевого) взаимодействия АИС.