Разработка адекватной политики безопасности для автоматизированной системы IТ отдела ЭЛАР

• Автоматизацию процесса наполнения электронных архивов реальными документами (поддержка потокового ввода, загрузка одиночных документов)
• Регистрацию документов (ручное и автоматическое индексирование)

• Надежное  и защищенное хранение документов, сохранение всех версий электронного документа
• Оперативный доступ к документам: быстрый поиск необходимых электронных документов, многообразие форм поиска
• Интеграцию с другими информационными системами для импорта документа и его регистрационной информации, а также обеспечение доступа к электронным документам через интерфес этих систем
• Управление доступом пользователей к документам и регистрацию всех операций, которые производились с электронными документами
• Предоставление статистической информации о документах, автоматизация отчетности и многое другое

Преимущества

    САПЕРИОН  отвечает всем требованиям по созданию электронных информационных ресурсов, эффективному управлению и хранению документов: 
 
 
 

• Загрузка  различных форматов и типов электронных документов с любых носителей
• Надежное хранение документов. Для хранения базы данных используется

собственный формат (мета-файл), который не может  быть прочитан или изменен извне

• Невозможность удаления (документ исключается только из доступа)
• Невозможность изменения (всегда создается новая версия документа)
• Прямое управление оборудованием хранения (Jukebox, HDD. RAID и т.д.)
• Поддержка большинства моделей промышленных и офисных сканеров
• Регламентация прав доступа
• Мониторинг системы и т. д.

    Передовая, высокотехнологичная система управления документами САПЕРИОН, построенная по принципу «все в одном», гарантирует безопасную и непрерывную обработку документов на всех стадиях – от сканирования до хранения документов.

Широкие возможности интеграции

    Благодаря широким возможностям интеграции САПЕРИОН играет роль платформы, которая объединяет разрозненные приложения в единую корпоративную информационную систему (КИС), обеспечивая существенное снижение затрат на интеграцию уже внедренных систем. САПЕРИОН существенно «разгружает» информационные системы, предоставляя возможность оперативного получения необходимых документов без ущерба для производительности этих систем.

    САПЕРИОН  интегрируется практически с  любыми рабочими приложениями используемыми или внедряемыми на предприятии:

• Системы управления предприятием (SAP R3, 1С:Предприятие, Navision/Axapta и др.)
• Системы электронного документооборота (СЭД) (Lotus Notes, Босс-референт, Дело, Documentum, StaffWare и др.)
• Транспортные системы (OutLook, Exchange и др.)
• CAD/CAM/PDM системы (AutoCad, Microstation, Windchill и др.)
• Офисные приложения Windows (MS Office и др.)
• Системы полнотекстовой индексации, логического и нечеткого поиска (Convera RW, Exoleed, Verity и dtSearch)
• Портальные решения (MS SharePoint Portal Server)
• Специализированные системы защиты информации (КриптоПро, Authentidate и др.)

Лицензирование

    САПЕРИОН  может устанавливаться неограниченно  на любом количестве клиентских мест, число пользователей системы  определяется количеством одновременно работающих пользователей в системе. В реально существующем проекте число одновременно работающих пользователей системы составляет 1300 клиентов, имеющих доступ к электронному архиву и возможность работы с документами.

Сертификация

    САПЕРИОН  имеет самые быстрые показатели работы с документами.

    Испытание, проведенное компанией SAP AG, показало, что в настоящее время система САПЕРИОН достигла более чем двойного роста производительности обработки документов по отношению к конкурирующим системам.

Компания SAP AG сертифицировала систему САПЕРИОН в качестве электронного архива для системы SAP.

    Система САПЕРИОН соответствует требованиям  руководящего документа «Защита  от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей» (Гостехкомиссия России, 1999) по 4 уровню контроля и может использоваться в автоматизированных системах до класса защищенности 1Г включительно.

 

 

Перечень  защищаемых информационных ресурсов. 

 

Описание  угроз информационной безопасности предприятия. 

    Защита  информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.

    Угроза – это потенциально возможное событие, процесс или явление, которое может (воздействуя на что-либо) привести к нанесению ущерба чьим-либо интересам.

    Атака на АС - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них.

    Уязвимость – это любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы. При этом неважно, целенаправленно используется уязвимость или это происходит ненамеренно. В качестве нарушителя может выступать любой субъект корпоративной сети, который попытался осуществить попытку несанкционированного доступа к ресурсам сети по ошибке, незнанию или со злым умыслом. 

    Виды  угроз 

    Существуют  четыре действия, производимые с информацией, которые могут содержать в  себе угрозу: сбор, модификация, утечка и уничтожение. Эти действия являются базовыми для дальнейшего рассмотрения.

    Придерживаясь принятой классификации будем разделять  все источники угроз на внешние и внутренние.

    Источниками внутренних угроз являются:

1. Сотрудники организации;
2. Программное обеспечение;
3. Аппаратные средства.

    Внутренние  угрозы могут проявляться в следующих формах:

• ошибки пользователей и системных администраторов;

• нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;

• ошибки в работе программного обеспечения;
• отказы и сбои в работе компьютерного оборудования.

    К внешним источникам угроз относятся:

1. Компьютерные вирусы и вредоносные программы;
2. Организации и отдельные лица;
3. Стихийные бедствия.

    Формами проявления внешних угроз являются:

• заражение компьютеров вирусами или вредоносными программами;
• несанкционированный доступ (НСД) к корпоративной информации;
• информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;
• действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;
• аварии, пожары, техногенные катастрофы.

    Все перечисленные нами виды угроз (формы  проявления) можно разделить на умышленные и неумышленные.

    По  данным Института защиты компьютеров (CSI) и ФБР cвыше 50% вторжений - дело рук  собственных сотрудников компаний. Что касается частоты вторжений, то 21% опрошенных указали, что они испытали рецидивы "нападений". Несанкционированное изменение данных  
 
 
 

    

    

было  наиболее частой формой нападения и в основном применялось против медицинских и финансовых учреждений. Свыше 50% респондентов рассматривают конкурентов как вероятный источник "нападений". Наибольшее значение респонденты придают фактам подслушивания, проникновения в информационные системы и "нападениям", в которых "злоумышленники" фальсифицируют обратный адрес, чтобы перенацелить поиски на непричастных лиц. Такими злоумышленниками наиболее часто являются обиженные служащие и конкуренты.

    По  способам воздействия на объекты  информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

    К информационным угрозам относятся:

1. несанкционированный доступ к информационным ресурсам;
2. незаконное копирование данных в информационных системах;
3. хищение информации из библиотек, архивов, банков и баз данных;
4. нарушение технологии обработки информации;
5. противозаконный сбор и использование информации;
6. использование информационного оружия.

    К программным угрозам относятся:

• использование ошибок и "дыр" в ПО;
• компьютерные вирусы и вредоносные программы;
• установка "закладных" устройств;

    К физическим угрозам относятся:

• уничтожение или разрушение средств обработки информации и связи;
• хищение носителей информации;
• хищение программных или аппаратных ключей и средств криптографической защиты данных;
• воздействие на персонал;

    К радиоэлектронным угрозам относятся:

1. внедрение электронных устройств перехвата информации в технические средства и помещения;
2. перехват, расшифровка, подмена и уничтожение информации в каналах связи.

    К организационно-правовым угрозам относятся:

1. закупки несовершенных или устаревших информационных технологий и средств информатизации;
2. нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

    Анализ  и вяление угроз информационной безопасности является важной функцией административного уровня обеспечения информационной безопасности.

    Во  многим облик разрабатываемой системы  защиты и состав механизмов ее реализации определяется потенциальными угрозами , выявленными на этом этапе.

    Например, если пользователи вычислительной сети организации имеют доступ в Интернет, то количество угроз информационной безопасности резко возрастает, соответственно, это отражается на методах и средствах защиты и т.д.

    Угроза  информационной безопасности – это потенциальная безопасность нарушения режима информационной безопасности.

    Преднамеренная  реализация угрозы называется атакой на информационную систему.

    Лица, преднамеренно реализующие угрозы, являются злоумышленниками.

    Чаще  всего угроза является следствием наличия уязвимых средств в защите информационных систем, например, неконтролируемый доступ к персональным компьютерам или нелицензионное программное обеспечение (к сожалению даже лицензионное программное обеспечение не лишено уязвимостей).