Общая характеристика технологий защиты информации
Документооборот как объект защиты представляет собой совокупность (сеть) каналов распространения документированной конфиденциальной информации по потребителям в процессе управленческой и производственной деятельности. При движении документов (в том числе электронных) по инстанциям возникают потенциальные возможности утраты этой информации за счет расширения числа источников, обладающих ценной информацией.
С развитием информационных технологий для документооборота открылись огромные возможности, но появилась и проблема — защита информации, которую содержит электронный документ. Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота, то есть использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.
Угрозы документам в документопотоках включают в себя:
- кражу (хищение), утерю документа или его отдельных частей (приложений, экземпляров, листов, вклеек, вставок, черновиков, редакций и т. п.);
- копирование бумажных и электронных документов, фото-, видео-, аудиодокументов и баз данных;
- подмену документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;
- тайное или разрешенное ознакомление с документами и базами данных, запоминание и пересказ информации злоумышленнику;
- дистанционный просмотр документов и изображений дисплея с помощью специальных технических средств;
- ошибочные действия персонала при работе с документами (нарушение разрешительной системы, порядка обработки документов, правил обращения с документами и т. п.);
- случайное или умышленное уничтожение ценных документов и баз данных, их несанкционированная модификация, искажение и фальсификация;
- считывание данных в чужих массивах за счет работы с остаточной информацией на копировальной ленте, бумаге, дисках ЭВМ;
- маскировка под зарегистрированного пользователя;
- утечка информации по техническим каналам при обсуждении и диктовке текста документа, изготовлении документов.
Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации.
- персональной ответственности сотрудников за сохранность носителя и тайну информации;
- ограничении деловой необходимости доступа персонала к документам, делам и базам данных;
- операционном учете документов и контроле за их сохранностью в процессе движения, рассмотрения, исполнения и использования;
- жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала.
Переход в настоящее время государственных структур на электронный документооборот предполагает, в первую очередь, обеспечить защиту информации, циркулирующей в государственных информационных системах (ГИС).
Федеральная информационная система обеспечивает в автоматизированном режиме защищенный обмен электронными сообщениями, в том числе сообщениями, содержащими информацию, отнесенную к сведениям, составляющим служебную тайну.
Правилами делопроизводства в федеральных органах исполнительной власти определено, что электронные документы создаются, обрабатываются и хранятся в СЭД федерального органа исполнительной власти. Правилами установлен перечень обязательных сведений о документах, используемых в целях учета и поиска документов в СЭД. В соответствии с данным перечнем обязательными сведениями являются отметки о конфиденциальности электронного документа. Защита информации при осуществлении МЭД и ВЭД обеспечивается комплексом технических и организационных мероприятий.
- организация и использование средств защиты информации в полном объеме их функциональных возможностей;
- обеспечение целостности обрабатываемых данных;
- обеспечение антивирусной защиты информации.
К организационным мероприятиям относятся:
- контроль выполнения требований нормативных документов, регламентирующих обеспечение защиты информации;
- определение должностных лиц участников и организатора МЭД, ответственных за обеспечение защиты информации;
- установление порядка резервного копирования, восстановления и архивирования баз данных, находящихся на головном узле, а также порядка обновления антивирусных баз;
- установление порядка допуска для проведения ремонтно-восстановительных работ программно-технических средств;
- организация режимных мероприятий в отношении помещений, в которых размещены узлы участников ВЭД и МЭД, и технических средств этих узлов.
Защита информации, циркулирующей в ГИС организации, или, иными словами, ВЭД, осуществляется в соответствии с российским законодательством и требованиями нормативно-технических документов в области защиты информации.
Основными задачами обеспечения защиты информации, циркулирующей в ГИС, и самих систем на уровне единой информационной среды организации являются:
- формирование технической политики организации в области защиты информационно-коммуникационных технологий;
- координация деятельности структурных подразделений организации в сфере защиты информации и ГИС, а также оценка эффективности принимаемых мер;
- взаимодействие с уполномоченными федеральными и региональными государственными органами в области защиты информации (ФСО России, ФСТЭК России, ФСБ России);
- организация исследований и анализа состояния защиты информации организации;
- организация учета конфиденциальной информации, циркулирующей в ГИС, самих систем и других носителей;
- организация мониторинга и контроля эффективности защиты информации, циркулирующей в ГИС, и самих систем;
- аттестация ГИС на соответствие требованиям защиты информации, предусматривающей комплексную проверку (аттестационные испытания) в реальных условиях эксплуатации в целях оценки соответствия используемого комплекса мер и средств защиты требуемому уровню;
- планирование работ по созданию и совершенствованию систем защиты информации на конкретных объектах;
- управление защитой информации на конкретных объектах;
- анализ и прогнозирование потенциальных угроз для конкретных объектов;
- оценка возможного ущерба от реализации угроз;
- контроль эффективности принимаемых защитных мер и разбор случаев нарушения.
Защита информации при ее автоматизированной обработке производится на этапе эксплуатации автоматизированных информационных систем (АИС). При выполнении работ по защите информации следует учитывать организационные меры, обусловленные необходимостью проведения технического обслуживания, устранения неисправностей, обновления программного обеспечения и других мероприятий, задаваемых в соответствии с технологиями проведения эксплуатации систем защиты информации в АИС.
Объектом защиты при этом является открытая, общедоступная информация и информация ограниченного доступа (конфиденциальная информация, составляющая секрет производства, служебный секрет производства, служебную, коммерческую, профессиональную тайну, персональные данные и иные сведения, установленные российским законодательством, за исключением сведений, составляющих государственную тайну).
- Особенности технических средств защиты информации электронного документооборота
- Единая система информационно-аналитического обеспечения деятельности МВД России
- Понятие и принципы работы интегрированной мультисервисной телекоммуникационной сети МВД России
- Основные тенденции развития информационных технологий и электронного защищенного документооборота в органах внутренних дел
- Технология электронной подписи
- Технологии аутентификации и идентификации
- Система электронного документооборота в защищенном исполнении
- Современные системы электронного документооборота
- Технологии электронного документооборота
- Оформление отчета по практике по ГОСТу 2021/2022
- Оформление ВКР по ГОСТу
- Как составить бизнес-план своими силами
- Оформление эссе по ГОСТу
- Оформление презентации по ГОСТу
- Оформление статьи по ГОСТу
- Оформление дипломной работы по ГОСТ 2021/2022
- Оформление курсовой работы по ГОСТу
- Оформление контрольной работы по ГОСТу