Организация защиты информации

 

Содержание

Введение 3

  1. Проектирование организации защиты информации в информационно-документационной системе управления 5
    1. Система электронного документооборота 5
    2. Защита информации и электронно-цифровая подпись в системе электронного документооборота 13
    3. Антивирусная защита информации 15
    4. Компания, организующая защиту информации в организации 18
  2. Расчёт стоимости проекта 22

Заключение 24 

Список литературы 25

 

Введение

Организации защиты информации в информационно-документационной системе управления - это перечень необходимых организационных, инженерно-технических, программно-аппаратных мероприятий по обеспечению сохранности, целостности, достоверности и полноты документа в любой форме его представления.

К основным мероприятиям по защите информации от информационных угроз можно отнести:

  • Разработка политики информационной безопасности
  • Разработка положений о парольной и антивирусной защите
  • Мероприятия для предотвращения утечки информации: мобильные ностиели, парольная защита, разграничение доступа и т.д.
  • Антивирусная защита
  • Безопасная настройка сети, firewall
  • Резервное копирование важной информации
  • Разработка плана немедленного восстановления после сбоев
  • Надежное удаление информации с жестких дисков, flash-носителей, CD

К основным видам информационных угроз для организации относятся:

  • Внутренние угрозы для организации от сотрудников (инсайдеров)
  1. Сбор и вынос сотрудниками (инсайдеры) данных, составляющих коммерческую тайну
  1. Удаление и модификация важной информации «обиженными» сотрудниками
  2. Сбор паролей, позволяющих в дальнейшем получить доступ к важной информации (например пароли от электронной почты, сайта, yandex direct и т.д.)
  • Сетевые атаки и вирусы
  1. Вирусы — попадают на ПК сотрудников через e-mail, интернет страницы, flash-носители
  2. Взлом с целью использование организации и ее компьютеров в целях злоумышленника: взломы других сетей через интернет, рассылка спама и так далее.
  • Конкурентная разведка
  1. Использование троянов и других программ для воровства паролей
  2. Фишинг, cмишинг, фарминг
  3. Социальная инженерия — обман персонала с целью получить необходимую информацию
  • Сбои программного и аппаратного обеспечения
  1. Поломка оборудования
  2. Сбой в работе операционных систем
  3. Сбои в услугах связи (интернет, телефония)
  • Сбор данных об активности персонала
  1. Посещаемые сайты
  2. Загружаемые файлы
  3. Отправленные сообщения
  4. Защита данных от персонала (инсайдеры) 
  5. Защита от внешних угроз 
  6. Защита сайта компании 

В соответствии с приведенной  выше классификацией можно предложить перечень мер по защите информации организации от данных видов угроз.

Примерная классификация:

  • Система электронного документооборота
  • Защита информации и электронно-цифровая подпись в системе электронного документооборота
  • Антивирусная защита информации
  • Компания, организующая защиту информации в организации

Целью данной работы является анализ перечисленных мер по защите информации организации, детальный  анализ вышеперечисленных средств, выявление преимуществ и недостатков. Кроме того необходимо рассчитать примерную  стоимость данного проектного решения  на основе примерной стоимости, представленной на Интернет ресурсах рассматриваемых  компаний.

 

  1. Проектирование организации защиты информации в информационно-документационной системе управления
    1. Система электронного документооборота

По материалам свободной энциклопедии (Википедии):  
Система электронного документооборота (СЭД) — организационно-техническая система, обеспечивающая процесс создания, управления доступом и распространения электронных документов в компьютерных сетях, а также обеспечивающая контроль над потоками документов в организации.

Изначально системы этого  класса рассматривались лишь как  инструмент автоматизации задач  классического делопроизводства, но со временем стали охватывать все  более широкий спектр задач. Сегодня  разработчики СЭД ориентируют свои продукты на работу не только с корреспонденцией и ОРД (организационно-распорядительными  документами), но и с различными внутренними  документами (договорами, нормативной, справочной и проектной документацией, документами по кадровой деятельности и др.). СЭД также используются для решения прикладных задач, в  которых важной составляющей является работа с электронными документами: управление взаимодействием с клиентами, обработка обращений граждан, автоматизация  работы сервисной службы, организация  проектного документооборота и др. Фактически системой электронного документооборота называют любую информационную систему, обеспечивающую работу с электронными документами.

Рынок СЭД в последние  годы является одним из самых динамично  развивающихся сегментов отечественной  ИТ-индустрии. В 2009 году, по данным IDC, на фоне практически 50-процентного сокращения объемов общего рынка программного обеспечения в России, данный сегмент  показал высокую устойчивость. Его спад по данным за 2009 год составил не более 20—25%. В численном выражении объем рынка СЭД на сегодня, по данным CNews Analytics, составляет около 220—250 млн. долл.

Потребителями технологий электронного документооборота являются различные  по масштабу и специфике деятельности организации. Традиционно ключевым потребителем СЭД остается государственный  сектор. По данным экспертов, порядка 30% проектов по внедрению технологий электронного документооборота приходится на государственные  учреждения. При этом важно, что именно интерес со стороны государства  стал основой устойчивости рынка  СЭД, который даже в условиях кризиса  получил существенный импульс развития. Электронный документооборот был  назван ключевым элементом концепции  «электронного правительства», реализация которой должна способствовать устранению бюрократических препон при взаимодействии государства, населения и бизнеса, а также снижению коррупции. В качестве особенности реализации проектов в органах государственной власти и крупных государственных институтах стоит отметить повышенные требования к информационной безопасности. Речь идет о построении (разработке) на базе тиражируемых программных продуктов защищенных систем электронного документооборота.

О разработчиках  СЭД

Выбирая решения класса СЭД, заказчик рассматривает различные  варианты: коробочное решение, решение  на базе платформы или заказная разработка. Российские разработчики в основном предлагают готовые решения, а западные выступают в качестве поставщиков платформ, на базе которых реализуются проектные решения и заказные разработки. По статистике в структуре рынка на долю российских разработчиков приходится порядка 95% от общего количества проектов по внедрению СЭД. Одним из объяснений является то, что в России до сих пор сильна специфика работы с документами, основывающаяся на отечественных традициях управления.

Стоит отметить, что ряд  поставщиков начали предоставлять  СЭД заказчикам в режиме SaaS (Software as a Service), но пока данный подход в силу целого ряда причин (доверие к провайдеру, качество и надежность каналов связи) скорее рассматривается как форма знакомства с возможностями системы, а не как реальный подход к автоматизации документооборота.

Одним из формирующихся трендов  является использование для работы с документами систем класса ECM (Enterprise content management).

По материалам свободной энциклопедии (Википедии):  
Enterprise content management (ECM) — управление информационными ресурсами предприятия или управление корпоративной информацией.

В рамках концепции ECM документооборот  рассматривается как одна из задач  обеспечения работы с корпоративной  информацией. Сторонником данного  подхода являются в основном западные разработчики. И хотя в России спрос  на подобные технологии еще находится  в стадии формирования, во многих отечественных  СЭД уже реализованы различные  компоненты ECM: управление документами, управление образами документов, долговременное хранение документов, управление потоками работ (Workflow), коллективная работа с  документами. Принципиально технологии ECM отличаются от СЭД более глубокой проработанностью вопросов управления веб-контентом и мультимедиа-контентом.

В работе я рассматриваю систему – СЭД «OPTIMA WORKFLOW». Для всестороннего ознакомления с системой, способами защиты информации в ней, выявления ее преимуществ и недостатков необходимо:

    • Изучить назначение системы, ее строение;
    • Выявить используемые средства защиты информации;
    • Выявить возможности и особенности, недостатки защиты информации в СЭД «OPTIMA WORKFLOW»;

ИЗГОТОВИТЕЛЬ СЭД

Компания Optima – это российский технологический холдинг, который работает на рынке с 1990 года, владея широким спектром как отраслевой, так и продуктовой экспертизы. Имеет богатый опыт реализации проектов для государственных органов и более чем 1500 ведущих предприятий России и СНГ, а также зарубежных проектов в Анголе, Аргентине, Вьетнаме, Кубе, Перу.  
Качество услуг холдинга подтверждено уникальным пакетом лицензий и сертификатов, в том числе на работу с государственной тайной и на соответствие международному стандарту системы менеджмента качества ISO 9001-2000, – всего около 40 лицензий и сертификатов. Optima – это более 2500 профессионалов, имеет сеть филиалов в более чем 60 городах страны [2].

OPTIMA-WorkFlow — платформа для создания автоматизированных систем управления документами, существует с 1997 г. Текущая версия продукта — 1.19. Разработчик платформы — компания Optima software (ООО «Документ Менеджмент»), входящая в Группу компаний Optima и являющаяся членом Гильдии Управляющих Документацией.

 

КРАТКАЯ ХАРАКТЕРИСТИКА СИСТЕМЫ

OPTIMA-WorkFlow — программная платформа для  создания систем управления документами  (электронного документооборота) в  государственных и коммерческих  организациях любого масштаба [1].

OPTIMA-WorkFlow обеспечивает комплексную автоматизацию  процессов обработки документов  и позволяет перейти к безбумажной  технологии работы с электронными документами.

Платформа OPTIMA-WorkFlow — это открытая, web-ориентированная  архитектура, функциональность, применение самых современных технологий и  промышленных стандартов, интеграция с лидирующими ИТ-решениями, визуальные средства настройки и адаптации  системы.

Основные  преимущества в контексте надеждности  организации:

  • 15-летний опыт разработки и внедрения систем управления документами, широкая отраслевая и технологическая экспертизой и квалифицированный персонал
  • уникальная лицензионная база, включая работу с государственной тайной
  • членство и активное участие в профессиональных ассоциациях, включая Гильдию Управляющих Документацией и НП «Электронный муниципалитет»
  • заказчики — крупные государственные ведомства и коммерческие компании
  • широкая партнерская сеть в России, СНГ и странах Балтии, взаимодействие с профильными высшими учебными заведениями.

Также в Приложении А представлена сводная  таблица анализа преимуществ  и недостатков других систем на рынке  СЭД.

 

ОСНОВНЫЕ ФУНКЦИИ СИСТЕМЫ

Функции:

  • автоматизация всех видов деятельности по обработке документов:

делопроизводство  и канцелярия,

управление  бизнес-процессами и административными  регламентами,

контроль исполнительской  дисциплины,

мониторинг  эффективности деятельности, формирование отчетности и поддержка процессов  принятия управленческих решений,

архивное хранение бумажных и электронных документов,

электронные библиотеки, управление знаниями,

преобразование  бумажных документов в электронный  вид,

межтерриториальный  и межведомственный обмен документами,

информационная  безопасность, защита информации от несанкционированного доступа, применение ЭЦП и обеспечение  юридической значимости документов.

  • наличие типовых (коробочных) решений

Типовые решения на платформе OPTIMA-WorkFlow представляют собой преднастроенные процессы, регистрационные карточки документов и отчеты, дополнительные компоненты платформы, а также инструкции для  пользователей и эксплуатационного  персонала.

Типовые решения  предлагаются для следующих сфер деятельности организации:

Делопроизводство

Решение «Делопроизводство» на платформе OPTIMA-WorkFlow предназначено для автоматизации  функций ведения делопроизводства и обеспечивает обработку документов на протяжении всего жизненного цикла — от создания проекта документа до его списания в архив.

 

Согласование договоров

Типовое решение «Согласование договоров» предназначено для гибкой автоматизации  процесса согласования договоров, дополнительных соглашений и другой контрактной  документации.

Решение содержит заранее настроенный адаптируемый бизнес-процесс, регистрационные карточки документов, макеты форм отчетности и инструкций пользователей и эксплуатационного персонала.

Контроль исполнительской дисциплины

«Контроль исполнительской дисциплины» на платформе OPTIMA-WorkFlow — это полнофункциональное  решение для автоматизации постановки и контроля исполнения поручений.

Архив бумажных документов

Типовое решение «Архив бумажных документов»  на платформе OPTIMA-WorkFlow предназначено  для автоматизации деятельности архивных служб организации в  соответствии с требованиями ЕГСДОУ, ВНИИДАД и Росархива.

Электронный архив

Типовое решение «Электронный архив» на платформе OPTIMA-WorkFlow предназначено для организации  и управления электронными архивами, библиотеками и базами знаний.

Решение содержит приложения для массового (потокового) сканирования, распознавания, привязки документов и полнотекстового поиска документов с учетом морфологии. Кроме  того, оно может быть дополнено  средствами публикации документов на корпоративном портале Microsoft SharePoint Server.

МФЦ — Многофункциональный центр  предоставления государственных и  муниципальных услуг

Информационная  система приема заявок МФЦ (Многофункциональный  центр предоставления государственных  и муниципальных услуг) на платформе OPTIMA‑WorkFlow предназначена для автоматизации деятельности сотрудников МФЦ в части приема и обработки заявок клиентов (заявителей) — физических и юридических лиц.

  • полнофункциональный Web-клиент

Приложение  «Web-клиент» разработано для компаний, имеющих территориально-распределенную структуру, удаленные офисы, а также  для работы «мобильных» пользователей — доступ к корпоративному документообороту OPTIMA-WorkFlow осуществляется с любого компьютера через сеть Internet (Intranet).

Работа  в приложении «Web-клиент» происходит в режиме реального времени. Пользователь обладает тем же набором прав доступа  к информации, теми же полномочиями, что и в «толстом» клиенте  — приложении «Клиент системы».

«Web-клиент»  во многом повторяет внешний вид  и приемы работы приложения «Клиент  системы», но существенно доработан  с точки зрения простоты, наглядности  и удобства применения для пользователей OPTIMA-WorkFlow.

«Web-клиент»  — это полнофункциональное клиентское приложение OPTIMA-WorkFlow, в нем реализованы  все наиболее востребованные функции  «толстого» клиента, часть из которых  значительно оптимизирована.

«Web-клиент»  реализован с использованием самых  современных технологий Microsoft ASP.NET и SilverLight, и является высокопроизводительным и масштабируемым клиент-серверным  приложением. В качестве веб-браузера для «тонкого клиента» могут выступать Microsoft Internet Explorer, Mozilla Firefox, Google Chrome и Apple Safari.

При использовании «Web-клиента» существенно  сокращаются затраты на эксплуатацию и обновление системы, т. к., в отличие  от традиционного Windows-приложения, «тонкий» клиент не требует установки дистрибутива OPTIMA-WorkFlow на рабочие станции пользователей.

  • Область применения и функциональные возможности:

Делопроизводство  и канцелярия

Электронный документооборот  организации

Поручения и  контроль исполнительской дисциплины

Отчетность  и поддержка процессов принятия управленческих решений

Массовое (потоковое) сканирование и распознавание документов

Архивное хранение бумажных и электронных документов

Межтерриториальный  и межведомственный обмен документами

Платформа OPTIMA-WorkFlow может применяться для  создания иерархической территориально распределенной информационной системы, основанной на частично децентрализованной модели управления. Эта модель подразумевает  применение на всех уровнях организационной  иерархии системы:

программно-аппаратной платформы, базирующейся на единых стандартах и унифицированной материально-технической  базе;

общих правил обработки информации (типовой  функциональности приложений системы);

унифицированных средств и технологий для осуществления  информационного обмена, в том  числе, типового регламента и технического оснащения, единой системы адресации, универсального формата представления  данных, единой системы обеспечения  защиты данных от несанкционированного доступа и искажений при передаче;

единой  системой классификации и кодирования  информации.

 

В то же время, децентрализованная модель управления допускает на объектах автоматизации  определенную независимость в организации  технологических процессов (последовательности выполнения операций, автоматизируемых функциями системы) обработки данных.

Децентрализованная  модель автоматизированной системы  подразумевает создание отдельных  друг от друга фрагментов системы  электронного документооборота, организованных в пределах вычислительных сетей  различных объектов автоматизации. По сути дела, эти фрагменты являются самостоятельными системами, но функционирующими единообразно по общим методическим и организационным регламентам  и в общей предметной области.

Обмен документами и другой системной  информацией между территориальными фрагментами системы производится через специализированные шлюзы  электронной почты или посредством  ведомственных систем гарантированной  доставки сообщений, которые обеспечивают формирование исходящей рассылки из одного фрагмента системы и прием  входящей корреспонденции в другой фрагмент. Такая модель функционирования системы с учетом единства программной  платформы, нормативно-справочной информации и регламентов функционирования во всех фрагментах системы позволяет  не только избежать повторной регистрации  документов, но и обеспечивает накопление сквозной истории обработки документов различными объектами автоматизации.

Вместе  с тем, применение децентрализованной модели функционирования системы не исключает возможности создания центрального архивного хранилища  документов, банка данных документарной  информации. Этот банк данных не содержит промежуточных, черновых документов и  предназначен для накопления только основных (действующих, официальных, важных, нормообразующих и т. д.) документов, в хранении и использовании которых  заинтересованы руководящие органы и руководители структурных подразделений  организации, вне зависимости от того, в каком фрагменте системы  они были созданы.

При использовании программного обеспечения OPTIMA-WorkFlow в автоматизированной системе  может быть обеспечена возможность  работы удаленных и мобильных пользователей. В этом случае удаленные клиенты могут получить доступ к системе, используя web-технологии, публичные и ведомственные каналы связи.

ИНТЕРФЕЙС

К основным характеристикам интерфейса программы можно отнести такие параметры как:

Открытая архитектура, то есть:

открытая архитектура, применение самых современных технологий и промышленных стандартов,

удобный, настраиваемый, многоязычный интерфейс,

простые и не требующие привлечения разработчика визуальные средства настройки и  адаптации решений,

гибкость, функциональная полнота и масштабируемость платформы,

документированный объектно-ориентированный API, открытая модель хранения данных,

XML и Web-сервисы  для обмена информацией между  информационными системами.

Технологии, то есть:

совместимо  с Microsoft Windows 7,

СУБД Microsoft SQL Server и Oracle Database,

Microsoft Internet Explorer, Mozilla Firefox, Google Chrome и Apple Safari в качестве Web-клиента,

рабочее место  руководителя на Apple iPad,

Microsoft Exchange, Lotus Notes, Novell GroupWise и любые другие системы  электронной почты, поддерживающие  стандартные протоколы SMTP / POP3 / IMAP4,

системы гарантированной  доставки сообщений IBM WebSphere MQ Series и MSMQ,

собственная и  доменная аутентификация, поддержка  технологии Single-Sing-On, интеграция с Microsoft Active Directory,

Крипто-Про и  любые другие средства криптографической  защиты информации (СКЗИ) и электронной  цифровой подписи (ЭЦП), реализованные  как Microsoft Windows CSP,

SAP Crystal Reports и Microsoft Reporting Services для формирования отчетности,

решения ABBYY для  поддержки средств сканирования (в т. ч. потокового), распознавания, морфологического анализа и поиска документов,

интеграция с Microsoft SharePoint Server.

 

 

 

    1. Защита информации и электронно-цифровая подпись в системе электронного документооборота

Платформа OPTIMA-WorkFlow обладает средствами разделения уровня полномочий пользователей по вызову различных сценариев обработки, проведению процедур регистрации документов, доступу к тем или иным полям  регистрационных карточек, использованию  словарей для выбора значений полей, вносимых при регистрации, по формированию отчетности на базе тех или иных макетов.

Все документы, правила их обработки, маршруты рассылки и служебная информация защищены системой от любого преднамеренного  и непреднамеренного вмешательства. С помощью OPTIMA-WorkFlow в системе электронного документооборота реализуются механизмы  управления правами субъектов доступа  на объекты доступа, в том числе  правами доступа к:

документам  и версиям документов;

резолюциям  и аннотациям документов;

категориям (типам) документов;

истории обработки документа;

свойствам документов;

регистрационным карточкам документов и отдельным  полям регистрационных карточек;

архивам документов и к логическим порциям (областям) архивов документов (папкам, рабочим столам, доскам объявлений);

шаблонам  документов и решений по документам;

макетам отчетов;

словарям  и справочникам;

технологическим схемам прохождения и исполнения документов, поручениям, сценариям  автоматической обработки документов;

программным приложениям системы и др.

При использовании программно-технических  средств операционных систем и специализированных систем защиты от несанкционированного доступа, Система обеспечивает разграничение  уровней доступа к ресурсам аппаратной инфраструктуры системы: ЛВС, ПЭВМ, терминалам, каталогам дисковой подсистемы, файлам и т.д.

Кроме разграничения уровня доступа к  информационно-техническим ресурсам системы, применение платформы OPTIMA-WorkFlow обеспечивает разграничение функциональных полномочий (доступных функций в  системе) пользователей.

За  счет комбинации прав доступа и функциональных полномочий реализуется настройка  уровней защиты информации на соответствие матрице доступа, утвержденной в  установленном порядке.

Использование платформы OPTIMA-WorkFlow обеспечивает протоколирование всех событий в системе и действий пользователей, управляемое администратором  безопасности через службу системного аудита.

OPTIMA-WorkFlow также обеспечивает использование  современных методов криптографической  защиты и механизмов электронной  цифровой подписи, разработанных  в соответствии с действующими  российскими стандартами, в том  числе, на базе применения СКЗИ, созданных компанией КриптоПро.  Применение СКЗИ в составе  OPTIMA-WorkFlow обеспечивает как шифрование / расшифрование документов, так  и формирование/верификацию электронной  цифровой подписи авторов документов  и/или резолюций и решений по  документу.

Организация защиты информации 📙 Курсовая → 🆔 152864

Организация защиты информации 📙 Курсовая → 🆔 152864

Организация защиты информации