Общая характеристика технологий защиты информации

Документооборот как объект защиты представляет собой совокупность (сеть) каналов распространения документированной конфиденциальной информации по потребителям в процессе управленческой и производственной деятельности. При движении документов (в том числе электронных) по инстанциям возникают потенциальные возможности утраты этой информации за счет расширения числа источников, обладающих ценной информацией.

С развитием информационных технологий для документооборота открылись огромные возможности, но появилась и проблема — защита информации, которую содержит электронный документ. Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота, то есть использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

Угрозы документам в документопотоках включают в себя:

  • кражу (хищение), утерю документа или его отдельных частей (приложений, экземпляров, листов, вклеек, вставок, черновиков, редакций и т. п.);
  • копирование бумажных и электронных документов, фото-, видео-, аудиодокументов и баз данных;
  • подмену документов, носителей и их отдельных частей с целью фальсификации или сокрытия факта утери, хищения;
  • тайное или разрешенное ознакомление с документами и базами данных, запоминание и пересказ информации злоумышленнику;
  • дистанционный просмотр документов и изображений дисплея с помощью специальных технических средств;
  • ошибочные действия персонала при работе с документами (нарушение разрешительной системы, порядка обработки документов, правил обращения с документами и т. п.);
  • случайное или умышленное уничтожение ценных документов и баз данных, их несанкционированная модификация, искажение и фальсификация;
  • считывание данных в чужих массивах за счет работы с остаточной информацией на копировальной ленте, бумаге, дисках ЭВМ;
  • маскировка под зарегистрированного пользователя;
  • утечка информации по техническим каналам при обсуждении и диктовке текста документа, изготовлении документов.

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации.

Помимо общих для документооборота принципов, защищенный документооборот базируется на ряде дополнительных принципов:

  • персональной ответственности сотрудников за сохранность носителя и тайну информации;
  • ограничении деловой необходимости доступа персонала к документам, делам и базам данных;
  • операционном учете документов и контроле за их сохранностью в процессе движения, рассмотрения, исполнения и использования;
  • жесткой регламентации порядка работы с документами, делами и базами данных для всех категорий персонала.

Переход в настоящее время государственных структур на электронный документооборот предполагает, в первую очередь, обеспечить защиту информации, циркулирующей в государственных информационных системах (ГИС).
Федеральная информационная система обеспечивает в автоматизированном режиме защищенный обмен электронными сообщениями, в том числе сообщениями, содержащими информацию, отнесенную к сведениям, составляющим служебную тайну.

Защищенный электронный документооборот можно разделить на два вида: внутренний (ВЭД) организации и межведомственный (межсетевой) (МЭД) между организациями различного уровня. Технические требования к организации взаимодействия системы межведомственного электронного документооборота с системами электронного документооборота федеральных органов исполнительной власти утверждены распоряжением Правительства Российской Федерации от 2.10.2009 № 1403-р.

Правилами делопроизводства в федеральных органах исполнительной власти определено, что электронные документы создаются, обрабатываются и хранятся в СЭД федерального органа исполнительной власти. Правилами установлен перечень обязательных сведений о документах, используемых в целях учета и поиска документов в СЭД. В соответствии с данным перечнем обязательными сведениями являются отметки о конфиденциальности электронного документа. Защита информации при осуществлении МЭД и ВЭД обеспечивается комплексом технических и организационных мероприятий.

К техническим мероприятиям относятся:

  • организация и использование средств защиты информации в полном объеме их функциональных возможностей;
  • обеспечение целостности обрабатываемых данных;
  • обеспечение антивирусной защиты информации.

К организационным мероприятиям относятся:

  • контроль выполнения требований нормативных документов, регламентирующих обеспечение защиты информации;
  • определение должностных лиц участников и организатора МЭД, ответственных за обеспечение защиты информации;
  • установление порядка резервного копирования, восстановления и архивирования баз данных, находящихся на головном узле, а также порядка обновления антивирусных баз;
  • установление порядка допуска для проведения ремонтно-восстановительных работ программно-технических средств;
  • организация режимных мероприятий в отношении помещений, в которых размещены узлы участников ВЭД и МЭД, и технических средств этих узлов.

Защита информации, циркулирующей в ГИС организации, или, иными словами, ВЭД, осуществляется в соответствии с российским законодательством и требованиями нормативно-технических документов в области защиты информации.

Основными задачами обеспечения защиты информации, циркулирующей в ГИС, и самих систем на уровне единой информационной среды организации являются:

  • формирование технической политики организации в области защиты информационно-коммуникационных технологий;
  • координация деятельности структурных подразделений организации в сфере защиты информации и ГИС, а также оценка эффективности принимаемых мер;
  • взаимодействие с уполномоченными федеральными и региональными государственными органами в области защиты информации (ФСО России, ФСТЭК России, ФСБ России);
  • организация исследований и анализа состояния защиты информации организации;
  • организация учета конфиденциальной информации, циркулирующей в ГИС, самих систем и других носителей;
  • организация мониторинга и контроля эффективности защиты информации, циркулирующей в ГИС, и самих систем;
  • аттестация ГИС на соответствие требованиям защиты информации, предусматривающей комплексную проверку (аттестационные испытания) в реальных условиях эксплуатации в целях оценки соответствия используемого комплекса мер и средств защиты требуемому уровню;
  • планирование работ по созданию и совершенствованию систем защиты информации на конкретных объектах;
  • управление защитой информации на конкретных объектах;
  • анализ и прогнозирование потенциальных угроз для конкретных объектов;
  • оценка возможного ущерба от реализации угроз;
  • контроль эффективности принимаемых защитных мер и разбор случаев нарушения.

Защита информации при ее автоматизированной обработке производится на этапе эксплуатации автоматизированных информационных систем (АИС). При выполнении работ по защите информации следует учитывать организационные меры, обусловленные необходимостью проведения технического обслуживания, устранения неисправностей, обновления программного обеспечения и других мероприятий, задаваемых в соответствии с технологиями проведения эксплуатации систем защиты информации в АИС.

Организация и выполнение подготовительных работ по автоматизированной обработке конфиденциальной информации должны проводиться с учетом требований технологий разработки систем защиты информации.

Объектом защиты при этом является открытая, общедоступная информация и информация ограниченного доступа (конфиденциальная информация, составляющая секрет производства, служебный секрет производства, служебную, коммерческую, профессиональную тайну, персональные данные и иные сведения, установленные российским законодательством, за исключением сведений, составляющих государственную тайну).

Узнай цену консультации

"Да забей ты на эти дипломы и экзамены!” (дворник Кузьмич)