Особенности обеспечения информационной безопасности электронного документооборота территориально распределенного предприятия | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 23 ноября, печатный экземпляр отправим 27 ноября.

Опубликовать статью в журнале

Авторы: ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №3 (137) январь 2017 г.

Дата публикации: 23.01.2017

Статья просмотрена: 2640 раз

Библиографическое описание:

Калужин, Е. А. Особенности обеспечения информационной безопасности электронного документооборота территориально распределенного предприятия / Е. А. Калужин, Д. С. Монастырский. — Текст : непосредственный // Молодой ученый. — 2017. — № 3 (137). — С. 32-35. — URL: https://moluch.ru/archive/137/38616/ (дата обращения: 15.11.2024).



В сложившемся информационном обществе все большее внимание уделяется процессу передачи информации по открытым каналам связи. Происходит все больше случаев кражи или подмены сообщений, что оказывает негативное воздействие на предприятие. Для организации защищенной передачи информации между территориально распределенными подразделениями предприятия необходимо использовать комплекс программно-аппаратных и организационных мер. В данной статье представлен анализ особенностей разработки и внедрения таких мер.

Ключевые слова: электронный документооборот, информационная безопасность, программно-аппаратные средства защиты

Электронный документооборот позволяет перенести деятельность предприятия в информационное пространство, что значительно оптимизирует бизнес-процессы и увеличивает производительность. Защищенная передача информации подразумевает, что информация в процессе обмена будет доступна строго определенному кругу лиц без возможности ее подмены или искажения в процессе передачи [1].

Для обеспечения защиты электронного документооборота необходимо:

  1. Категорировать передаваемую информацию
  2. Оценить потенциально возможного нарушителя и угрозы
  3. Определить целесообразность защиты передаваемой информации
  4. Сформировать перечень требований к средствам защиты
  5. Разработать перечень организационно-распорядительной документации
  6. Обеспечивать мониторинг угроз и актуальность системы

Каждый пункт представленного алгоритма связан с одним из предыдущих и(или) последующих. Структурно данный алгоритм можно представить в виде схемы (Рисунок 1).

Рис. 1. Структурная схема процесса разработки и внедрения системы защиты электронного документооборота

Под категорированием информации подразумевается определение типа передаваемой информации: персональные данные (сотрудников или клиентов), коммерческая тайна, информация ограниченного доступа, общедоступная информация, смешенная и т. д. Каждый тип информации попадает под определенные нормативно-правовые акты и требует различные методы защиты. Так, например, если передаваемая информация является общедоступной или коммерческой тайной данного предприятия, то её защита вообще не регламентируется нормативно-правовой документацией и обеспечивается владельцем по его усмотрению.

При анализе нарушителей необходимо определить, кто и с какой целью может организовывать атаки. Согласно методическим рекомендациям государственных регуляторов в области информационной безопасности [2], нарушителей можно разделить на внешних и внутренних, каждые из которых делятся на определенные категории в зависимости от их потенциала (Рисунок 2).

Рис. 2. Классификация нарушителей ИБ

Далее на основе анализа нарушителей необходимо произвести анализ угроз. Анализ угроз отвечает на вопрос: «какие угрозы, с какой вероятностью и последствиями может реализовать актуальный для предприятия нарушитель» [3]. При анализе угроз электронного документооборота учитываются следующие факторы:

  1. Тип передаваемой информации
  2. Потенциал нарушителя
  3. Вероятность реализации угрозы
  4. Последствия от реализации угрозы

Решение о целесообразности защиты принимается на основе анализа нарушителей и угроз. Также учитывается экономическая составляющая: затраты на проектирование системы защиты не должны превышать возможные убытки от компрометации информации [4].

Основным этапом является определение требований к системе защиты информации. Они формируются на основе нормативно-правовых актов и модели угроз. В нормативно-правовых актах требования определены в явном виде, например, «для 3-го уровня защищенности ИСПДн необходим межсетевой экран не ниже 4 уровня». Требования на основе модели угроз формируются специалистом по информационной безопасности или комиссией на основе принятия коллективного решения. Итогом работы специалиста(комиссии) является официальный документ — модель угроз. В качестве примера, фрагмент модели угроз представлен в таблице 1.

Таблица 1

Фрагмент модели угроз

Угроза

Программно-аппаратные средства

Организационные меры

Угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват управления загрузкой

Установка и настройка средств защиты от НСД с функцией доверенной загрузки

Инструкция администратора ИС. Инструкция пользователя ИС

Угрозы, реализуемые после загрузки операционной системы и направленные на выполнение НСД с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т. п.) операционной системы

Установка и настройка средств защиты от НСД, установка средств аутентификации

Инструкция пользователя ИС.

Разграничение прав доступа

Угрозы, реализуемые после загрузки операционной системы и направленные на выполнение НСД с применением какой- либо прикладной программы

Установка и настройка средств защиты от НСД.

Установка, настройка и своевременное обновление антивирусного ПО

Инструкция пользователя ИС.

Перечень ПО, разрешенного к установке.

Инструкция по организации антивирусной защиты

Угрозы, реализуемые после загрузки операционной системы и направленные на выполнение НСД с применением специально созданных для выполнения НСД программ

Установка и настройка средств защиты от НСД

Инструкция пользователя ИС. Перечень ПО, разрешенного к установке.

Разработкой организационно — распорядительной документации должно заниматься лицо, ответственное за защиту информации. Организационные меры дополняют программно-технические и в некоторых случаях позволяют избежать излишних затрат.

Сопровождение системы заключается в постоянном мониторинге новых угроз, обновлении модели нарушителя, поддержании средств защиты информации в работоспособном состоянии, обновлении антивирусных баз данных, разработке новых организационно-распорядительных документов.

Таким образом, обеспечения информационной безопасности электронного документооборота территориально распределенного предприятия требует комплексного подхода, согласно которому, с одной стороны, система защиты должна полностью удовлетворять нормативно — правовым актам, а с другой — нейтрализовать актуальные угрозы информационной безопасности. Кроме того, защита электронного документооборота является непрерывным процессом, который требует регулярного обновления и актуализации системы защиты.

Литература:

  1. Гришина, М. В. Организация комплексной системы защиты информации: Учебное пособие.- Гелиос АРВ.-2007.-340 с
  2. «Базовая модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных» Утверждена заместителем директора ФСТЭК 15 февраля 2008 года..- Электрон.дан. — Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_1228520/
  3. Ахлюстин, С. Б. Модель нарушителя в задачах анализа надежности информационных систем// Вестник воронежского института МВД.- 2013
  4. Бердникова О. И. Алгоритм разработки и внедрения системы защиты информации// Вестник Северного (Арктического) федерального университета. Серия: Естественные науки.-2014.-№ 3.-с. 139–142.
Основные термины (генерируются автоматически): электронный документооборот, информационная безопасность, операционная система, передаваемая информация, инструкция пользователя ИС, настройка средств защиты, анализ угроз, угроза, модель угроз, основа анализа нарушителей.


Ключевые слова

Информационная безопасность, Электронный документооборот, программно-аппаратные средства защиты

Похожие статьи

Проблемы учета, анализа и аудита в условиях экономической безопасности субъектов хозяйствования

В настоящее время количество внешних и внутренних опасных факторов, которые могут влиять на работу предприятий разных форм собственности, растет неукоснительно. Такое положение дел требует создания и введения, определенных мер, позволяющих обезопасит...

Особенности обнаружения подложных записей в условиях автоматизированного ведения бухгалтерского учета

Обнаружение подложных записей в системе бухгалтерского учета, ведение которого осуществляется с помощью программных продуктов, представляет сложный процесс. В статье раскрываются особенности, которые необходимо учесть при проведении проверок в услови...

Особенности цифровой трансформации и внедрения процессного подхода в управлении в государственных бюджетных учреждениях

В статье рассматривается важность перехода от функционального к процессному подходу в управлении в государственных бюджетных учреждениях как федеральных, так и региональных, предлагаются некоторые общие рекомендации. Также рассматривается взаимосвязь...

Роль IT-технологий в сфере бухгалтерского учета

В рамках функционирования современного экономического общества и пространства существует весьма существенное и контролируемое человеком явление, а именно развитие научно-технического прогресса, который по своей специфике контролирует процесс осуществ...

Современные проблемы документационного обеспечения системы управления персоналом организации

В современной социально-экономической ситуации, в условиях поиска оптимальных путей компьютеризации общества и вхождения России в мировое информационное пространство, решение многоплановой проблемы управления документацией приобретает первостепенное ...

Особенности коммуникативных технологий в деятельности органов государственной власти

Функционирование компании, органов власти, любого юридического лица невозможно без ежедневного осуществления нескольких видов коммуникаций. Использование информационно-коммуникационных технологий в органах государственной власти обусловливается высок...

Актуальность прохождения производственной практики по направлению «Управление ассортиментом, оценка качества и обеспечение сохраняемости товаров» на железнодорожной станции

В данной статье рассматривается актуальность прохождения производственной практики в области управления ассортиментом, оценки качества и обеспечения сохраняемости товаров на железнодорожной станции. Железнодорожные станции играют важную роль в трансп...

Электронный документооборот в финансовой сфере

Любая компания работает с большим объемом первичных финансовых документов (накладные, счета-фактуры, акты выполненных работ, счета на оплату и т. д.). Как правило, эта работа заключается в оперативной обработке исходящих и входящих документов, их хра...

Системы электронного документооборота в управлении информацией в бюджетных учреждениях

В данной статье речь идет об особенностях систем управления документооборотом в управлении информацией в бюджетных учреждениях Российской Федерации. Автор обосновывает необходимость внедрения систем электронного документооборота в управлении информац...

Анализ требований к Автоматизированной Информационной Системе оценивания знаний обучающихся

В настоящее время одной из приоритетных задач Западно-Казахстанского аграр-но-технического университета в сфере информатизации является разработка АИС для оценивания знаний обучающихся, как одного из важных компонентов корпоративной АИС. В статье рас...

Похожие статьи

Проблемы учета, анализа и аудита в условиях экономической безопасности субъектов хозяйствования

В настоящее время количество внешних и внутренних опасных факторов, которые могут влиять на работу предприятий разных форм собственности, растет неукоснительно. Такое положение дел требует создания и введения, определенных мер, позволяющих обезопасит...

Особенности обнаружения подложных записей в условиях автоматизированного ведения бухгалтерского учета

Обнаружение подложных записей в системе бухгалтерского учета, ведение которого осуществляется с помощью программных продуктов, представляет сложный процесс. В статье раскрываются особенности, которые необходимо учесть при проведении проверок в услови...

Особенности цифровой трансформации и внедрения процессного подхода в управлении в государственных бюджетных учреждениях

В статье рассматривается важность перехода от функционального к процессному подходу в управлении в государственных бюджетных учреждениях как федеральных, так и региональных, предлагаются некоторые общие рекомендации. Также рассматривается взаимосвязь...

Роль IT-технологий в сфере бухгалтерского учета

В рамках функционирования современного экономического общества и пространства существует весьма существенное и контролируемое человеком явление, а именно развитие научно-технического прогресса, который по своей специфике контролирует процесс осуществ...

Современные проблемы документационного обеспечения системы управления персоналом организации

В современной социально-экономической ситуации, в условиях поиска оптимальных путей компьютеризации общества и вхождения России в мировое информационное пространство, решение многоплановой проблемы управления документацией приобретает первостепенное ...

Особенности коммуникативных технологий в деятельности органов государственной власти

Функционирование компании, органов власти, любого юридического лица невозможно без ежедневного осуществления нескольких видов коммуникаций. Использование информационно-коммуникационных технологий в органах государственной власти обусловливается высок...

Актуальность прохождения производственной практики по направлению «Управление ассортиментом, оценка качества и обеспечение сохраняемости товаров» на железнодорожной станции

В данной статье рассматривается актуальность прохождения производственной практики в области управления ассортиментом, оценки качества и обеспечения сохраняемости товаров на железнодорожной станции. Железнодорожные станции играют важную роль в трансп...

Электронный документооборот в финансовой сфере

Любая компания работает с большим объемом первичных финансовых документов (накладные, счета-фактуры, акты выполненных работ, счета на оплату и т. д.). Как правило, эта работа заключается в оперативной обработке исходящих и входящих документов, их хра...

Системы электронного документооборота в управлении информацией в бюджетных учреждениях

В данной статье речь идет об особенностях систем управления документооборотом в управлении информацией в бюджетных учреждениях Российской Федерации. Автор обосновывает необходимость внедрения систем электронного документооборота в управлении информац...

Анализ требований к Автоматизированной Информационной Системе оценивания знаний обучающихся

В настоящее время одной из приоритетных задач Западно-Казахстанского аграр-но-технического университета в сфере информатизации является разработка АИС для оценивания знаний обучающихся, как одного из важных компонентов корпоративной АИС. В статье рас...

Задать вопрос