Делопроизводство. Информационная безопасность в системе делопроизводств

Защита информации - не разовое мероприятие и не простая  совокупность проведенных мероприятий  и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер [7].

Большинству физических и технических средств защиты для эффективного выполнения своих  функций необходима постоянная организационная (административная) поддержка (своевременная  смена и обеспечение правильного  хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

Своевременность предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите системы делопроизводства и реализацию мер обеспечения безопасности информации.

Преемственность и совершенствование предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования системы делопроизводства и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

Принцип разделения функций, требует, чтобы ни один сотрудник организации не имел полномочий, позволяющих ему единолично осуществлять выполнение критичных операций. Все такие операции должны быть разделены на части, и их выполнение должно быть поручено различным сотрудникам. Кроме того, необходимо предпринимать специальные меры по недопущения сговора и разграничению ответственности между этими сотрудниками.

Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат) предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала [10, c. 123].

Персональная ответственность предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Минимизация полномочий означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.

Взаимодействие и сотрудничество предполагает создание благоприятной атмосферы в коллективах подразделении. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений обеспечения безопасности информации.

Принятые меры и установленные  средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на уже работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет от необходимости принятия кардинальных мер по полной замене средств защиты на новые [10, c. 125].

Открытость алгоритмов и механизмов защиты заключается в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это однако не означает, что информация о конкретной системе защиты должна быть общедоступна.

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Информационные технологии, технические и программные средства, средства и меры защиты информации в системе делопроизводства должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации.

Специализация и профессионализм предполагают привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственные лицензии на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными сотрудниками (специалистами подразделений обеспечения безопасности информации).

Взаимодействие и координация предполагают осуществление мер обеспечения безопасности информации на основе взаимодействия всех заинтересованных министерств и ведомств, предприятий и организаций при функционировании системы делопроизводства и системы защиты ее информации, подразделений и специалистов органов МВД специализированных предприятий и организаций в области защиты информации, привлеченных для разработки системы защиты информации в системе делопроизводства [10, c. 126].

Обязательность контроля предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Контроль за деятельностью  любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

 

 

 

 

 

 

 

4. Организация  системы защиты информации

 

Технологические, производственные и коммерческие данные, которые используют предприятия, обладают высокой стоимостью, а их утрата или утечка может привести к серьезным финансовым потерям. Поэтому одной из целей для предприятий отрасли является создание надежной системы защиты информации (СЗИ).

Система защиты информации — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия.

Целями защиты информации являются [2]:

- предотвращение утечки, хищения, утраты, искажения, подделки, несанкционированных действий по уничтожению, модификации, копированию, блокированию документированной информации и иных форм незаконного вмешательства в информационные системы;

- сохранение полноты,  точности, целостности документированной  информации, возможности управления  процессом обработки и пользования в соответствии с условиями, установленными собственником этой информации или уполномоченным им лицом;

- обеспечение прав  физических и юридических лиц  на сохранение конфиденциальности  документированной информации о  них, накапливаемой в информационных системах;

- защита прав субъектов  в сфере информатизации;

- сохранение секретности,  конфиденциальности документированной  информации в соответствии с  правилами, определенными настоящим  Законом и иными законодательными  актами.

Процесс создания системы защиты информации можно разделить на три этапа [11, c. 52]:

• формирование политики предприятия в области информационной безопасности;
• выбор и внедрение технических и программных средств защиты;
• разработка и проведение ряда организационных мероприятий.

При этом следует учитывать  государственные нормативные документы  и стандарты, которые регулируют вопросы информационной безопасности на предприятиях.

Фундаментом для создания системы защиты информации является документ, в котором формулируются  принципы и основные положения политики предприятия в области информационной безопасности. Данный документ охватывает следующие вопросы [7].

1. Разработка  правового обеспечения защиты  информации. Фактически это система нормативно-правовых документов, актуальных для деятельности предприятия. С ее помощью, с одной стороны, определяются правила обеспечения информационной безопасности на предприятии (например, обязанности сотрудников), а с другой — устанавливается ответственность за их нарушение. В состав правового обеспечения включаются государственные законы и акты (например, закон о государственной тайне), внутренние нормативные и организационные документы предприятия (устав, правила внутреннего распорядка, инструкции для сотрудников о сохранении коммерческой или иной тайны и т.д.).

2. Определение  потенциальных угроз безопасности  информации. Их можно разделить на три группы — это угрозы, возникающие:

• вследствие действий человека — это могут быть как случайные ошибки специалистов предприятия при работе с информационной системой (неправильный ввод данных или их удаление), так и предумышленные действия (кража документов или носителей информации);
• вследствие некорректной работы или отказа технических или программных средств (например, сбой в работе операционной системы, вызванный вирусом);
• из-за стихийных бедствий, природных катаклизмов, форс-мажорных обстоятельств (наводнения, пожары, смерчи, военные действия и т.д.).

Список потенциальных  угроз для информационной безопасности предприятия может быть очень  велик. Необходимо оценить каждую из них с позиции здравого смысла или данных статистики, а затем проранжировать по степени вероятности возникновения и объема потенциального ущерба.

3. Составление  перечня данных, подлежащих защите. Информация, которая используется на предприятии, может быть открытой (доступна для всех) или закрытой (доступна для ограниченного круга лиц). К первому типу относятся сведения, которые не составляют государственной или коммерческой тайны, не относятся к категории конфиденциальной информации (согласно законодательству или внутренним документам предприятия). Ущерб от потери подобного рода сведений не является значительным, поэтому их защита не приоритетна.

Ко второму типу относятся: данные, являющиеся государственной тайной — их перечень определяется законодательством; коммерческие или служебные сведения — любая информация, связанная с производством, финансами, использующимися технологиями, утечка или утрата которой может нанести ущерб интересам предприятия; персональные данные сотрудников.

Эта информация должна быть защищена в первую очередь. Для каждого типа такого рода данных указывается, как и где они возникают, с помощью каких программных или технических средств ведется их обработка, какие подразделения (сотрудники) с ними работают и т.д.

4. Создание подразделения, ответственного за вопросы защиты информации. Как правило, на предприятиях существует разделение функций, связанных с обеспечением информационной безопасности. Это подразумевает, что за разработку политики защиты данных, выполнение организационных мер отвечает служба безопасности компании, а вопросы, связанные с применением любых программных и аппаратных средств, включаются в компетенцию ИТ-подразделения. Нередко возникают ситуации, когда стремление как можно надежнее защитить данные вступает в противоречие с потребностями бизнеса предприятия. В том числе это происходит, если меры безопасности разрабатываются без учета возможностей современных ИТ-средств.

5. Определение  основных направлений обеспечения  информационной безопасности. В рамках решения этой задачи, в частности, обозначаются компоненты, которые нуждаются в защите, определяются необходимые программные и технические средства, формулируются организационные меры, направленные на защиту информации.

Основным вопросом в  плане обеспечения информационной безопасности является защита в системе делопроизводства, которая осуществляется за счет применения программных и технических средств.

Сложность решения этой задачи обуславливается двумя факторами. Во-первых, доступ к ресурсам системы  имеет огромное количество пользователей, которые находятся в нескольких территориально-распределенных подразделениях. Во-вторых, ее работа строится на взаимодействии целого ряда программных и аппаратных компонентов.

С точки зрения применения технических и программных средств защиту информации в системе управления можно разбить на три направления — это защита содержания данных, обеспечение сохранности информации при форс-мажорных обстоятельствах (сбои в электропитании, пожары и т.д.) и устранение возможности для несанкционированного доступа к ресурсам системы предприятия.

Для защиты содержания данных обычно применяют криптографические  технологии — шифрование и электронную  цифровую подпись, что позволяет  добиться конфиденциальности и целостности  информации, ее однозначной аутентификации. При этом метод шифрования позволяет защитить информацию даже в случае кражи ее носителя (например, жесткого диска сервера) [14, c. 148].