Разработка комплексной системы защиты электронного документооборота предприятия тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Киселев, Антон Валерьевич

  • Киселев, Антон Валерьевич
  • кандидат технических науккандидат технических наук
  • 2006, Москва
  • Специальность ВАК РФ05.13.19
  • Количество страниц 169
Киселев, Антон Валерьевич. Разработка комплексной системы защиты электронного документооборота предприятия: дис. кандидат технических наук: 05.13.19 - Методы и системы защиты информации, информационная безопасность. Москва. 2006. 169 с.

Оглавление диссертации кандидат технических наук Киселев, Антон Валерьевич

ВВЕДЕНИЕ.

Глава первая. АНАЛИЗ ТРЕБОВАНИЙ К ОРГАНИЗАЦИИ ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ПРЕДПРИЯТИЯ.

1.1. Анализ условий, влияющих на организацию защиты электронного документооборота предприятия.

1.2. Факторы, определяющие структуру системы защиты электронного документооборота предприятия.

1.3. Угрозы и атаки, учитываемые при формировании архитектуры системы защиты электронного документооборота.

Выводы.

Глава вторая. РАЗРАБОТКА ЭФФЕКТИВНОЙ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ПРЕДПРИЯТИЯ.

2.1. Методика оценки эффективности защиты электронного документооборота предприятия.

2.2. Разработка функционального, организационного и структурного содержания архитектуры комплексной системы защиты.

2.3. Основные пути повышения эффективности защиты электронного документооборота.

Выводы.

Глава третья. ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ПОСТРОЕНИЮ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ПРЕДПРИЯТИЯ И ЕЕ УПРАВЛЕНИЮ.

Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Введение диссертации (часть автореферата) на тему «Разработка комплексной системы защиты электронного документооборота предприятия»

В современных условиях быстрота принятия решений и их оперативная реализация выступают решающими факторами успешной работы и достижения поставленных целей, а наличие и широкое использование информационно-телекоммуникационных систем становится залогом эффективной работы любого предприятия.

В условиях экспоненциального роста объемов информации, требуемой для обеспечения коммерческой деятельности, переход предприятий к электронным формам управления и электронному документообороту позволил получить ряд преимуществ:

- повысить эффективность управления бизнес-процессами за счет улучшения исполнительской дисциплины, оптимизации контроля выполнения задач, анализа организационно-распорядительной деятельности;

- повысить оперативность и качество управленческих решений;

- повысить эффективность работы и надежность функционирования предприятия;

- сократить непроизводительные затраты рабочего времени сотрудников;

- создать единое информационное пространство предприятия (организации);

- обеспечить надежность учета и хранения документов;

- организовать эффективный контроль различных направлений деятельности предприятия (организации) и другие.

Информационные ресурсы и информационные системы относятся к ряду основных защищаемых элементов во всех сферах жизнедеятельности современных предприятий. Сегодня активно развиваются средства негативного информационного воздействия на эти элементы, противодействие которым требует широких разноплановых исследований и разработок соответствующих концепций, программ организации конкретных работ в области создания средств, методов и методик обеспечения информационной безопасности. Создание и организация функционирования любых современных структур и систем, прежде всего, требует обеспечения их информационного взаимодействия с внешней средой. Это взаимодействие должно быть максимально надежно и безопасно, что в условиях отмечаемого экспертами экспоненциального ежегодного роста числа признанных инцидентов становится сложной задачей (по данным международного координационного центра CERT в 2000 году официально заявлено о 21756 успешных атаках, в 2001 г. - 52658, в 2002 г. - 82094 и в 2003 г. - 137529).

Незаконное (несанкционированное) использование, хищение или искажение деловой (банковской, коммерческой, статистической) информации неизбежно ведет к значительным экономическим потерям (по оценкам mi2g в результате проведенных успешных атак в 2003 году мировая экономика потеряла 254 млрд. долларов, а в 2004 - 507 млрд. долларов). Именно поэтому «Исследование проблем создания и развитие защищенных информационно-телекоммуникационных систем, в том числе разработка методов выбора архитектуры и расчета параметров этих систем, математических моделей и технологий управления, системного и прикладного программного обеспечения с интеграцией функций защиты» признано одним из приоритетных направлений научных исследований в области информационной безопасности Российской Федерации («Приоритетные проблемы научных исследований в области информационной безопасности Российской Федерации». Одобрены секцией по информационной безопасности Научного совета при Совете Безопасности Российской Федерации, протокол от 28 марта 2001г. №1).

Крупный вклад в развитие теории и практики безопасности сложных информационных систем, информационного взаимодействия, защиты технических, программных и информационных ресурсов внесли отечественные ученые. В их числе академики Н. А. Кузнецов, В. А. Садовничий, К. В. Фролов, а также такие известные ученые, как В. А. Герасименко, А. А. Грушо, П. Д. Зегжда, В. А. Конявский, Г. О. Крылов, А. А. Малюк, Б. А. Погорелов, С. П. Расторгуев, В. Н. Саблин, А. А. Стрельцов, М. П. Сычев, А. Ю. Щербаков и другие. Ими была сформирована теоретическая и практическая база для разработки теоретических положений и практического использования средств защиты информации, электронных документов и информационных технологий электронного документооборота.

В научных исследованиях в области информационной безопасности вышеперечисленных ученых выделяются два качественно разных направления. Первое - это защита информации в форме сведений на традиционном носителе (бумажном, магнитном, оптическом). Второе -защита процессов преобразования информации - технологий, инвариантных к содержанию защищаемой информации. Несмотря на значительные достоинства каждого из этих направлений, проблема комплексного применения методов и средств защиты обоих направлений к настоящему времени недостаточно полно изучена и освещена, отсутствуют методики оценки эффективности системы защиты электронного документооборота на предприятиях.

На практике, на большинстве предприятий и в организациях существуют два основных подхода к созданию защищенных автоматизированных информационных систем: фрагментарный и комплексный. При фрагментарном подходе вначале организуется защита от одной угрозы, затем от другой и т. д. При этом внимание уделяется только одному из направлений: защита информации в форме сведений на носителе или защита технологий преобразования информации. Основной недостаток фрагментарного подхода очевиден - при применении этого подхода подсистема защиты автоматизированной информационной системы (АИС) представляет собой набор разрозненных программных, аппаратных и программно-аппаратных продуктов, поступающих, как правило, от разных производителей. Эти продукты работают независимо друг от друга, организовать их тесное взаимодействие практически невозможно. Кроме того, отдельные элементы такой подсистемы защиты могут некорректно работать в присутствии друг друга, что приводит к снижению надежности системы. Поскольку подсистема защиты, созданная на основе фрагментарного подхода, не является неотъемлемой компонентой АИС, при отключении отдельных защитных функций в результате несанкционированных действий пользователя-злоумышленника, остальные элементы АИС продолжают нормально работать, что еще более снижает надежность защиты.

При комплексном подходе защитные функции внедряются в АИС на этапе ее разработки и развертывания, и являются ее неотъемлемой частью, при этом защищается не только информация в форме сведений на носителе, но и процессы преобразования информации. Отдельные элементы подсистемы защиты, созданной на основе комплексного подхода, тесно взаимодействуют друг с другом при решении различных задач, связанных с организацией защиты электронного документооборота. Поскольку вся подсистема защиты разрабатывается и тестируется в совокупности, конфликты между ее отдельными компонентами исключены. Подсистема защиты, созданная на основе комплексного подхода, может быть устроена так, что при фатальных сбоях в функционировании ее ключевых элементов она все равно остается способной не допустить проникновение злоумышленника путем отключения АИС или автоматического ввода в строй запасных элементов защиты взамен поврежденных.

Несмотря на свои достоинства второй подход имеет существенный недостаток — он не обеспечивает полную и достаточную защиту информационной системы предприятия от новых и перспективных угроз. Он не дает возможности персоналу предприятия самостоятельно, в короткий период времени, изменять архитектуру системы защиты, адекватную воздействию новых видов атак. Этот недостаток можно исключить путем создания стандартизованных интерфейсов взаимодействия элементов системы защиты АИС предприятия. Тогда становится возможным подключение новых механизмов защиты, поддерживающих этот стандартный интерфейс взаимодействия и предотвращающих нанесение вреда от новых видов угроз, а так же изменение конфигурации архитектуры системы защиты электронного документооборота предприятия в короткий промежуток времени.

В практической деятельности по обеспечению режима информационной безопасности предприятия уделяют основное внимание выполнению требований и рекомендаций соответствующей российской нормативно-методической базы в области защиты информации. Однако расчетами, проведенными в настоящем исследовании, установлено, что выполнение требований существующих руководящих документов позволяет обеспечить только минимальный уровень защиты электронных документов и электронного документооборота в целом. Поэтому многие ведущие отечественные предприятия сегодня используют дополнительные инициативы, направленные на обеспечение устойчивости и стабильности функционирования корпоративных информационных систем для поддержки непрерывности бизнеса в целом.

Необходимость взаимной оценки и увязки разных по содержанию направлений и практических подходов к построению эффективных систем защиты электронного документооборота на предприятии, с использованием современных научных достижений, определяют актуальность темы диссертации.

Создание комплексной системы защиты электронного документооборота и поддержка ее функционирования на предприятии предусматривает совместное использование физических, организационно-технических мер и мероприятий, юридических и законодательных норм и др.

Целью диссертации является разработка комплексной системы защиты электронного документооборота (КСЗЭД) предприятия и мероприятий по ее внедрению и управлению. Исследование посвящено поиску и обоснованию повышения эффективности КСЗЭД в рамках существующих автоматизированных систем предприятий. Объектом исследования в диссертации является предприятие, а предметом исследования - комплексная система защиты электронного документооборота предприятия.

Для достижения поставленной цели в работе решались следующие задачи:

• на основе анализа условий функционирования автоматизированных информационных систем предприятия определить актуальные требования, предъявляемые к системе защиты электронного документооборота;

• разработать методику оценки эффективности защиты электронного документооборота предприятия, с помощью которой провести оценку степени соответствия механизмов защиты существующих автоматизированных информационных систем актуальным требованиям;

• разработать архитектуру системы защиты электронного документооборота предприятия адекватную актуальным требованиям и определить пути повышения ее эффективности;

• разработать практические рекомендации по созданию, внедрению и управлению системой защиты электронного документооборота.

Методологическую основу исследования составляют системный анализ, метод сравнения и аналогии, метод статистических испытаний, методы сетевого программирования, теория массового обслуживания, методы моделирования действий персонала, методы оценки экономической эффективности и другие.

Научная новизна проведенных исследований и полученных в работе результатов заключается в следующем:

• разработана универсальная архитектура, позволяющая создавать комплексную систему защиты электронного документооборота предприятия, способную противостоять актуальным угрозам и атакам;

• показано, что архитектура системы защиты должна строиться исходя из требуемого уровня защиты, определяемого на основе требований руководящих документов ФСТЭК России, расширенных дополнительными требованиями, сформулированными на основе статистики осуществленных и прогнозируемых атак на АИС предприятия;

• разработана методика количественной оценки эффективности защиты электронного документооборота предприятия, позволяющая использовать в расчетах данные статистики реализованных атак, удельную стоимость защищаемых электронных документов, стоимость механизмов системы защиты, а также производительность автоматизированной информационной системы;

• с использованием существующих международных стандартов и рекомендаций разработана система управления КСЗЭД, уточнены границы ответственности должностных лиц предприятия, а также определены их функции.

Практическая значимость работы заключается в следующем:

• разработанная методика позволяет моделировать архитектуру комплексной системы защиты АИС предприятия в зависимости от финансовых средств, выделяемых бюджетом предприятия на ее создание или развитие, а также допустимого снижения производительности АИС при внедрении новых механизмов защиты;

• разработанные рекомендации по выбору архитектуры комплексной системы защиты электронного документооборота предприятия ' позволяют повысить эффективность защиты электронного документооборота и вкладываемых денежных средств;

• разработанные мероприятия по внедрению и управлению КСЗЭД позволяют руководителям предприятия определять порядок ее создания, содержание работ и функции обслуживающего персонала.

Проведенные исследования и полученные результаты могут быть использованы для создания, внедрения и управления комплексной системой защиты электронного документооборота на предприятии.

Структурно диссертационная работа состоит из введения, трех глав, заключения и приложений.

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Киселев, Антон Валерьевич

1. Для управления КСЗЭД предприятия, в зависимости от штатной

численности сотрудников необходимо иметь специальные органы

управления. В круппых предприятиях (штат свыше 1000 человек), в службе

информационной безопасности отдела собственной безопасности

необходимо иметь: секцию защиты локальной сети; секцию защиты

серверов предприятия и секцию защиты АИС предприятия. На малом производстве (штатная численность до 100 человек) где

отсутствует отдел собственной безопасности предприятия возможно

совмещение ряда функций сотрудниками службы администрирования. Анализ взаимодействия секции защиты АИС службы информационной

безонасности с различными подразделениями предприятия позволил выявить

восемь основных информационных нотоков, необходимых для обеспечения

ее деятельности. Форма и содержание предоставляемой информации этими

подразделениями в секцию защиты АИС, как правило, определяются общими

требованиями, разработанными на данном нредприятии. 2. На основе выявленных особенностей защиты информации,

предлагается организацию КСЗЭД предприятия осуществлять

применительно к современной системе информационной безопасности в

соответствии с требованиями международного стандарта ISO 17799. Для чего

уточнены содержание работы должностных лиц службы информационной

безопасности, ряда этапов организации КСЗЭД; предложена

соответствующая методика работы сотрудников секций службы и

взаимодействующих подразделений предприятия; уточнено содержание

информации и работ, согласуемых в интересах обеспечения защиты

электронного документооборота между различными должностными лицами

предприятия; определены границы ответственности каждого из сотрудников

службы безопасности предприятия, порядок выполнения ими различных

задач и взаимодействия в различных ситуациях. 3. Функционирование КСЗЭД предприятия определяется следующими

нормативно-распорядительными документами:

• политикой информационной безопасности;

• общими требованиями к системе обеспечения информационной

безопасности;

• перечнем конфиденциальных электронных документов;

• архитектурой системы обеспечения информационной

безопасности;

• специализированными политиками информационной

безопасности;

• правилами и процедурами информационной безопасности в том

числе:

правилами и процедурами проведения регламентных работ;

правилами и процедурами реагирования на попытки НСД к

электронным документа;

правилами и процедурами управления доступом сотрудников

к информационным ресурсам, содержащим ЭлД;

• инструкциями администраторам;

• инструкциями пользователям;

• журналами регистрации и учета событий;

• отчетами но событиям. 4. Функционирование механизмов КСЗЭД предприятия обеспечивается

проведением регламентов технического обслуживания, которые должны

включать в себя следующий перечень работ:

• анализ файлов-журналов учета событий, определение отклонений

в работе системы и устранение ошибок (не реже 1 раза в сутки);

• протоколирование всех проводимых работ на АИС предприятия,

обеснечивающего ЭД (регистрация новых сотрудников; удаление

права доступа для уволенных сотрудников);

• обновление ПО, связанного с защищенным ЭД предприятия;

• создание резервных коний ЭлД, конфигураций программ,

связанных с ЭД и его защитой;

• составление отчетов о функционировании КСЗЭД предприятия за

определенные отчетные промежутки времени (неделя, месяц,

квартал, год) и предоставление этих отчетов начальнику службы

информационной безопасности. ЗАКЛЮЧЕНИЕ

Успешность функционирования нреднриятия зависит от его

способности оперативно реагировать на динамично изменяющийся рынок и

удовлетворять все потребности потребителей. Для этого необходимо не

только развивать сам процесс производства, но и все сопутствующие

процессы, в частности документооборот. Усложнение технологии

производства, рост номенклатуры и объемов выпускаемой продукции,

оказание сопутствующих услуг потребителю - все это становится причиной

роста объема документооборота на предприятии. В результате без средств

автоматизации сотрудники предприятия перестают справляться с таким

объемом документооборота. Благодаря стремительному процессу развития информационных

технологий стал возможным переход от традиционного бумажного

документооборота к электронному с использованием вычислительной

техники и специальных программ в качестве средств автоматизации. В

отличие от традиционного, электронный документооборот позволяет

получить предприятию ощутимые преимущества. Именно поэтому полный

отказ от традицион1юго документооборота в пользу электронного для

нредприятий оказывается экономически выгодным. Однако при переходе к

электронному документообороту возникает необходимость в его защите. Основными причинами этого являются:

- электронные документы предприятия могут содержать в себе

сведения, разглашение или утеря которых нриводит к значительному

ущербу;

- электронные документы всегда можно копировать, изменять

содержание, удалять безвозвратно;

- передача электронных документов, как правило, осуществляется по

открытым линиям связи;

- наличие возможиости у злоумышлеиников проникать во внутренние

сети и базы данных нреднриятия для кражи или норчи документов, находясь

вне его пределов и другие. В настоящее время задача защиты электронного документооборота

нреднриятия решается по нескольким направлениям:

• защита электронного документооборота, как потока информации;

• защита технологий, обеснечивающих электронный

документооборот;

• защита информационно-телекоммуникационных сетей, но

которым нередаются электронные документы;

• защита компьютеров, участвующих в электронном

документообороте. При этом стоит отметить, что в настоящее время организации системы

комплексной защиты электронного документооборота уделяется

недостаточное внимание. В диссертации была ноставлена и решена задача

разработки комнлексной системы защиты электронного документооборота

предприятия и мероприятий но ее внедрению и унравлению. В ходе исследования выделены и решены следующие задачи:

• онределены нуги решения поставленной научной задачи;

• определены основные факторы, влияющие на организацию и

осуществление защиты электронного документооборота предприятия;

• определены актуальные требования, предъявляемые к системе защиты

электронного документооборота, и ее задачи;

• разработана методика оценки эффективности комнлексной системы

защиты электронного документооборота предприятия и степени ее соответствия

современным требованиям защиты;

• проведена оценка современного состояния систем автоматизации

электронного документооборота но требованиям защиты и онределены

основные нанравления совершенствования их архитектуры;

• разработан вариант архитектуры комплексной системы защиты

электронного документооборота, как совокунности функциональных,

организационных и структурных элементов;

• определены способы и методы организации защиты электронного

документооборота на предприятии;

• выявлены наиболее эффективные нути организации комплексной

системы защиты электрош1ого документооборота предприятия;

• разработаны практические рекомендации по разработке, внедрению и

управлению комплексной системы защиты электронного документооборота

предприятия. В результате проведенного исследования получены следующие

результаты. 1. На систему защиты электронного документооборота предприятия

оказывают существенное влияние внутренние и внешние факторы. Причем

эти факторы оказывают свое воздействие на все характеристики систем

защиты электронного документооборота, изменяя их в достаточно широких

нределах. Среди их многообразия можно выделить:

• содержание электронного документооборота;

• линии связи, используемые в электронном документообороте;

• наличие возможности подключения к глобальной сети Интернет и

использования электронной почты;

• наличие на предприятии документов, содержащих сведения

конфиденциального характера;

• наличие финансовых средств для нриобретения программ1юго

обеспечения и техники для организации защиты электронного

документооборота и другие. Для обеспечения деятельности предприятия в электронном

документообороте применяются различные финансовые, производственные,

маркетинговые, кадровые и другие автоматизированные информационные

системы. Разновидность электронных документов, циркулирующих в них,

требует организации соответствующей степени защищенности. Кроме этого,

наличие на предприятии внещнего и внутреннего электронного

документооборота, имеющих свои принципиальные отличия, также

оказывает влияние на организацию и осуществление защиты электронного

документооборота. Во внутреннем электронном документообороте (документооборот,

циркулирующий внутри самого предприятия) документы нередаются в

форме должностных инструкций, расписаний, нриказов, расноряжений,

служебных записок, докладных записок и так далее. Во внешнем электронном документообороте (документооборот,

циркулирующий между предприятием и внешними но отношению к нему

контрагентами) оборот документов осуществляется в форме писем,

протоколов, справок, отчетов, сводок и других документов,

В качестве субъектов, оказывающих влияние на структуру

электронного документооборота, выделяются следующие группы

сотрудников: канцелярия, руководители, исполнители, разработчики

автоматизированной информационной системы, системные администраторы. Список сведепий, содержащихся в электронных документах,

определяемых категориями "конфиденциальная информация", "коммерческая

тайна" и подлежащих защите, определен в рядом нормативно-правовых

документов. Требования по защите таких электронных документов

сформулированы в Руководящих документах ФСТЭК России, Согласно этим

требованиям система защиты электронного документооборота нредприятия

должна состоять не менее чем из трех базовых подсистем: подсистемы

управления доступом, подсистемы регистрации и учета, подсистемы

обеспечения целостности,

В ходе анализа статистики успешных атак на электронный

документооборот предприятий за последние 5 лет, была определена

недостаточность требований ФСТЭК России по защите электронного

документооборота и составлена классификация 23 угроз и 22 атак на

электронный документооборот нреднриятия, из числа которых выделено 8

наиболее значимых вероятных угроз электронному документообороту

нредприятия:

• НСД к документам внешнего ЭД;

• раскрытие, модификация и нодмена трафика данных, нолучаемых

(отнравляемых) сервером АИС нредприятия;

• получение программ-вирусов через внешние линии связи;

• фальсификация документов, отказ от факта нолучения документа,

изменение времени его приема;

• перехват документов внешнего ЭД;

• раскрытие конфигурации и настроек АИС, обеспечивающих

внешний ЭД;

• НСД к информационным ресурсам;

• раскрытие и модификация информации, содержаш,ейся в ЭлД и

ПО, обеспечиваюш,его ЭД.

Не отрицая значимость и актуальность прежних угроз и атак,

требования, определенные в руководяш;их документах ФСТЭК России по

заш,ите ипформации были определены как исходные минимальные. Вместе с

тем, результаты расчетов, проведенных в ходе исследований позволили

сделать вывод о том, что комплексная система защиты электронного

документооборота должна отвечать донолнительным требованиям,

позволяющим повысить эффективность защиты ЭД предприятия и

отвечающим актуальным условиям. Для внешнего ЭД донолнительными

требованиями к комнлексной системе защиты являются:

• обязательное наличие средства антивирусной защиты с

автоматически обновляемым сниском вредоносных нрограмм;

• наличие средств идентификации атак с реализованным

алгоритмом ответных действий;

• наличие механизма контроля корректности загруженных в

намять компьютера данных;

• наличие механизма предотвращения перегрузки АИС от

множественных запросов;

• наличие средства нредотвращения внешнего сканирования АИС;

• наличие средства предотвращения раскрытия информации,

содержащей коммерческую тайну и передаваемой в электронных

документах внешним корреспондентам. Дополнительные требования к защите внутреннего ЭД следующие:

• наличие механизма проверки правильности задаваемых паролей

для доступа к защищаемым ресурсам;

• паличие механизма идентификации атак на средства

аутентификации, с реализованным алгоритмом ответных

действий;

• наличие механизма контроля целостности ИО;

• наличие механизма автоматического обновления;

• наличие средства управляющего правами доступа к различным

услугам и сервисам;

• наличие средства предотвращения внутреннего сканирования

2. Для проведения количественно-качественной оценки системы

защиты электронного документооборота, оценки эффективности

планируемых мероприятий по изменению ее архитектуры разработана

методика, позволяющая, в отличии от существующих, использовать в

единстве такие показатели как стоимость защищаемых электронных

документов, вероятность взлома, стоимость СЗИ и производительность АИС,

которые объективно и с достаточной точностью определяют полноту и

качество защиты электронного документооборота, количественно оценивают

вклад в общую систему защиты каждого вводимого нового механизма. Отличительной особениостью данной методики является возможность

количественной оценки стенени защищенности, а так же варьирование

основных параметров, характеризующих комплексную систему защиты ЭД

предприятия, с целью снижения затрат на разрабатываемую систему защиты. Проведенные расчеты по методике оценки эффективности защиты ЭД

предприятия на основе коэффициента защищенности показали, что степень

защищенности АИС, обеспечивающей защищенность ЭД согласно

требованиям ФСТЭК России составляет 0,94, в то время как система защиты

является эффективной при степени защищенности 0,99 и выше. Что

подтверждает необходимость выполнения дополнительных требований по

защите ЭД предприятия. 3. Совершенствование системы защиты электронного

документооборота предприятия предлагается осуществить

организационными и техническими мероприятиями объединенными в три

комплекса: модификация архитектуры КСЗЭД; количественно-качественное

изменение механизмов защиты; совершенствование методов и способов

управления КСЗЭД.

На основе проведенных расчетов, и сформулированных требований,

разработана новая архитектура КСЗЭД предприятия, представляющая собой

совокупность функционального, организационного и структурного

построения. Как показали расчеты она удовлетворяет всем современным

требованиям и является самой защищенной - степень защищенности

составляет 0,999. В связи с тем, что при создании такой архитектуры КСЗЭД

предприятия потребуются значительные финансовые ресурсы, были

определены пути снижения затрат за счет перераспределения использовапия

отдельных механизмов защиты. При этом выявлено, что степень

защищенности допустимо снижать без ущерба, до значений от 0,990753 до

0,993164. Это позволяет при организации КСЗЭД выбирать из нескольких

вариантов архитектуры один, исходя из имеющихся финансовых средств без

ущерба снижения эффективности защиты, планировать доиолнительные

мероприятия по ее наращиванию. КСЗЭД предприятия в своем составе должна иметь: механизмы

обеспечения защиты ЭД, механизмы управления механизмами защиты и

механизмы общей организации работы системы. Разработанная архитектура КСЗЭД предприятия обеспечит

информациоппую совместимость всех ее составных элементов,

автоматизированное управление процессами защиты по времени, близкому к

реальному, системное взаимодействие служб предприятия, привлекаемых

для обеспечения защиты информации, возможность наиболее эффективной

защиты электронных документов предприятия. 4. На основе выявленных особенностей защиты электронного

документооборота, предлагается организацию КСЗЭД предприятия

осуществлять применительно к современной системе информационной

безопасности в соответствии с требованиями международного стандарта ISO

В диссертации уточнены содержание работы должностных лиц службы

информационной безопасности, ряда этапов организации КСЗЭД;

разработана соответствующая методика работы сотрудников секций службы

и взаимодействующих подразделений предприятия; уточнено содержание

информации и работ, согласуемых в интересах обеспечения защиты

электронного документооборота между различными долл^ностпыми лицами

предприятия; определены границы ответственности каждого из сотрудников

службы безопасности предприятия, порядок выполнения ими задач и

взаимодействия в различных ситуациях, уточнена иерархия и содержание

нормативно-распорядительной документации системы обеспечения

информационной безопасности комплекса информационных систем. В целом, реализация практических рекомендаций по

совершенствованию организации комплексной системы защиты

электронного документооборота предприятия обеспечит достаточную защиту

электронного документооборота предприятия, и с учетом тенденции роста

угроз в ближайшие 3-5 лет, позволит увеличить эффективность защиты на 5-

10% и сократить время реагирования на атаки злоумышленников. В диссертации исследованы лишь основные процессы,

непосредственно связанные с организацией комнлексной системы защиты

электронного документооборота предприятия. Некоторые выдвинутые в

работе предложения требуют дальнейшего изучения и развития. Основные результаты исследования докладывались на VIII и IX

Международных научно-практических конференциях "Комплексная защита

информации" в 2004 и 2005 годах, а так же на семинарах ВНИИПВТИ,

основные результаты диссертации опубликованы в 4-х печатных работах. Выводы и рекомендации по организации и осуществлению защиты

электронного документооборота предприятия проверены в ходе разработки,

внедрения и эксплуатации системы защиты в ЗАО "Московская

межбанковская валютная биржа", ЗАО "ОКБ САПР" и ФГУП ВНИИПВТИ.

Рекомендации по организации комплексной системы защиты

электронного документооборота предприятия и управлению защитой в

процессе производства, могут быть использованы при разработке и

совершенствовании существующих систем защиты электронного

документооборота предприятия, а также в учебном процессе высших

учебных заведений Российской Федерации и при разработке научно исследовательских работ. •

Некоторые нредложения и рекомендации нуждаются в

дополнительном уточнении и проверке на практике. Аспирант ВНИИПВТИ

Киселев А.В.

Список литературы диссертационного исследования кандидат технических наук Киселев, Антон Валерьевич, 2006 год

1. Конституция Российской Федерации Принята всеиар.голосоваиием 12.12.93. -Спб: Маиускриит, 1996. 47 с. Доктрина информационной безонасности Российской Федерации. М.: Ось-89, 2004. 47 с. Указ Президента РФ от 6 марта 1997 года 188 «Об утверждении перечня сведений конфиденциального характера» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2

2. Федеральный закон Российской Федерации от 20 февраля 1995 года N2 24-ФЗ «Об информации, информатизации и защите информации» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2

3. Федеральный закон от 29 июля 2004 года ]\Г298-Ф3 «О коммерческой тайне» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2

4. Федеральный закон от 29 декабря 1994 года 77-ФЗ «Об обязательном экземпляре документов» Электронная справочная система Гарант Платформа F1 -М.: ППП Гарант-Сервис, 2

5. Закон Российской Федерации от 23 сентября 1992 года J f 3523-1 «О Se правовой охране программ для электронных вычислительных машин и баз данных» Электронная справочная система Гарант Платформа F1 -М.: ИПП Гарант-Сервис, 2

6. Федеральный закон Российской Федерации от 16 февраля 1995 года 15-ФЗ «О связи» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2

7. Федеральный закон Российской Федерации от 04 июля 1996 года 85-ФЗ «Об участии в международном информационном обмене» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2005. 4. 5. 6. 7. 8. 9.

8. Федеральный закон от 10 января 2002 года 1-ФЗ «Об электронной цифровой подписи» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2005.

9. Постановление Правительства Российской Федерации от 23 сентября 1998 года JT 691 «О лицензировании отдельных видов деятельности» S» Электронная справочная система Гарант Платформа F1 -М.: НПП Гарант-Сервис, 2005.

10. Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (Утвержден Председателем Гостехкомиссии России 25 ноября 1994 г.).

11. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации» (Гостехкомиссия России, 1997 г.).

12. Положения о сертификации средств защиты информации по требованиям безопасности информации, утвержденного Постановлением Правительства РФ от 26 июня 1995 года N2 608 "О сертификации средств защиты информации".

13. Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от ПСД к информации» (Гостехкомиссия России, 1992 г.).

14. Руководящий документ «Концепция защиты средств вычислительной техники от НСД к информации» (Гостехкомиссия России, 1992 г.).

15. Руководящий документ «Защита от ПСД к информации. Термины и определепия» (Гостехкомиссия России, 1992 г.).

16. Руководящий документ «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от ПСД в АС и СВТ» (Гостехкомиссия России, 1992 г.).

17. Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от ПСД к информации. Показатели 18. Руководящий документ «Защита от несанкционированного доступа к информации. Часть

19. Программное обеспечение средств защиты информации. Классификация но уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.).

20. Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Гостехкомиссия России, 2001г.). 27. ISOIEC 17799-2000 «Информационная технология. Практический кодекс по менеджменту информационной безопасности» Пер. с англ. М: GlobalTrust Solutions, 2005. 85 с.

21. Аграновский А.В. Конфиденциальный доступ и защита информации в информационно-вычислительных сетях/ А.В.Аграновский, Н.П.Костечко. -М.: Радио и связь, 2004. 238 с.

22. Альбеков А.Ш. Правовые основы защиты информации Учеб. пособие/ А.Ш.Альбеков, А.С.Омельченко. -Краснодар: "Юж. ин-т менеджмента", 2002.-94 с

23. Анин Б.Ю. Защита компыотерпой информации -СПб: БХВ-СанктПетербург, 2000. 368 с.

24. Анкета для оценки надежности хранения информации. Подход фирмы ИВМ: Пер. с англ. М.: ВЦП, 1986. 24 с.

25. Амарян Р.А. Защита информации в интегрированной информационно-вычислительной сети при ее взаимодействии с внешними сетями Учеб.пособие/ Р.А.Амарян, М.Чудинов; Под общ.ред. Р.А.Амаряна. -М.: ГОУ "Мартит", 2001. 59 с.

26. Астахов А.В. Анализ защищенности корпоративных автоматизированных систем Jet info. 2002. №7. 3 28.

27. Астахов А.В. ПТ-АУДПТ в соответствии со стандартом COBIT "Information security. Информационная безопасность." 2004. №2, апрель. -С. 15 -20.

28. Барченков А.И. Документоведение и защита конфиденциальной информации Учеб. пособие/ А.И. Барченков. -СПб.: Изд-во СПбГПУ, 2003.- 154 с. 36. "Белая книга" Интернет. Пруденциальные последствия. Франция, декабрь 2000.

29. Бобылева М.П. Эффективный документооборот: от традиционного к электронному/ М.П. Бобылева. -М.: Изд-во МЭИ, 2004. 172 с.

30. Завгородний В.И. Комплексная защита информации в компьютерных системах Учеб.пособие для студентов вузов -М.: Логос, 2001.-263 с.

31. Замула А.А. Методология анализа рисков и управления рисками. Радиотехника: Всеукр. межвед. науч.-техн. сб. 2002. Вып. 126.

32. Защита объектов и информации от несанкционированного доступа/ В.И.Дикарев, В.А.Заренков, Д.В.Заренков, Б.В.Койнаш; Под ред. В.А. Заренкова. -СПб.: Стройиздат СПб., 2004. 319 с.

33. Захаров А.П. Методология оценки информационной безопасности профиля защиты, http://beda.stup.ac.ru/rv-conf/

34. Израйлев А.И. Электронный документооборот: перспективы па 2005 год Information security. Информационная безопасность. 2004. 25, ноябрь. С 14.

35. Инструкция по безопасности информации. документу С 2001-70, редакция 1-0 от 06.08.2

37. Информационная безопасность. Защита информации от компьютерных вирусов в сетях ЭВМ Учеб. пособие/ В.Молотков, Д.П.Зегжда, Ю.И.Мазничка, В.А.Петров. -М., 1993. 68 с.

38. Информационная безопасность: экономические аспекты Jet info. 2003.№10.-С. 3 2 4

39. Информационные ресурсы развития Российской Федерации: Правовые проблемы Ин-т государства и права. М.: Паука, 2003. 403 с.

40. Календарев А.С. Защита корпоративных сетей Учеб. пособие/ А.С.Календарев, М.Г.Пантелеев. -СПб, 1999. 63 с.

41. Киселев А.В. О соответствии систем автоматизации электронного документооборота требованиям ФСТЭК России. IX Международная конференция "Комплексная защита информации": материалы конференции (1-3 марта 2005 года, Раубичи (Беларусь)). Мн.: ОИПИ ПАП Беларуси, 2005. 74-77

42. Киселев А.В. Методы фильтрации "спама" во входящих электронных документах. IX Международная конференция "Комплексная защита информации": материалы конференции (1-3 марта 2005 года, Раубичи (Беларусь)). Мн.: ОИПИ ПАП Беларуси, 2005. 127-129

43. Киселев А.В. Электронная цифровая подпись, как один из способов защиты электронного документооборота. VIII Международная конференция "Комплексная защита информации": материалы

44. Киселев А.Н. Информационные системы управления промышленными предприятиями. Учебное пособие А.Н.Киселев, А.А.Копанев, Р.Э.Францев Издание второе, переработанное. СИб.: СПГУВК,2001-128с.

45. Клименко С В Электронные документы в корпоративных сетях: второе пришествие Гутенберга В.Клименко, И.В.Крохин, В.М.Кущ, Ю.Л.Лагунин -М.: Эко-Трендз, 1999. 272 с.

46. Кобзарь М., Сндак А. Методология оценки безопасности информационных технологий по общим критериям Jet info. 2004. №6.-С. 2-16.

47. Компьютерная преступность и информационная безопасность Под общ. ред. А.П.Леонова -Мн: АРИЯ, 2000.— 552 с.

48. Конеев И.Р., Беляев А.В. Информационная предприятия. СПб: БХВ-Петербург, 2003. 752с. безонасность

49. Конявский В.А. Основы понимания феномена электронного обмена информацией В.А. Конявский, В.А. Гадасин -Мн: "Беллитфонд", 2004. 282 с.

50. Конявский В.А. Техническая защита электронных документов в компьютерных системах Управление защитой информации 2003. Том 7, 4 С 437-443.

51. Конявский В.А. Управление защитой информации на базе СЗИ ИСД "Аккорд" -М.: Радио и связь, 1999. 324 с.

52. Коул Э. Руководство по защите от хакеров: Пер. с англ. -М.: Вильяме, 2002. 634 с.

53. Кузьминов Т.В. Криптографические методы защиты информации/ Т.В.Кузьминов; Отв.ред. В.А.Евстигнеев. -Новосибирск: Наука. Сиб.предприятие РАН, 1998. 185 с.

54. Куликов Г.Г. Системы управлепия деловыми процессами и документами в унравлении безопасностью и риском Г.Г. Куликов, О.М. Куликов, И.У. Ямалов -Уфа УГАТУ, 2000. 121с.

55. Лиховидов М.В., Полещенко В.Я. Применение цифровой подписи в системах электронного документооборота Управление защитой информации 2004. Том 8, .№1. 63 68.

56. Макклуре Секреты хакеров. Проблемы и решения сетевой защиты/ Макклуре, Д.Скембрэй, Д.Куртц.: Пер. с англ. -М.: ЛОРИ, 2001. 434 с.

58. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации Учеб. пособие -М.: Горячая линия-Телеком, 2004.-280 с,

59. Малюк А.А. Основы защиты информации А.А. Малюк, В.А. Герасименко -М.: МИФИ, 1997. 542 с.

60. Малюк А.А. Теоретические основы формализации прогнозной оценки уровня безопасности информации в системах обработки данных/ А.А.Малюк. -М., 1998.-39 с.

61. Мельников П.И. Защита информации в автоматизированных системах финансовых и коммерческих организаций Учеб.пособие/ П.П.Мельников. -М., 1998. 73 с.

62. Мельников В.В. Защита информации в компьютерных системах -М.: Финансы и статистика; Электронинформ, 1997,-364 с.

63. Милославская Н.Г. Практические рекомендации по построению системы защиты информации для интрасетей/ П.Г.Милославская, А.И.Толстой. -М., 1999. 89 с.

64. Михайлов Ф. Информационная безопаспость. Защита информации в автоматизированных системах. Основные концепции Учеб.нособие/ Ф.Михайлов, В.А.Петров, Ю.А.Тимофеев. -М., 1995. 110 с.

65. Морозов Н.П. Защита деловой информации для всех Компьютер, программы и оборудование. Работа офиса. Законодательство/ Н.П.Морозов, Б.Чернокнижный. -СПб.: Весь, 2003. 159 с.

66. Мысин М.Н. Документооборот: от традиционного к электронному Учеб.-практ. пособие/ М.П.Мысин, Л.М.Сушкова, АСущков. Самара: Офорт; СИОТО, 2004. 211 с.

67. Насыпный В.В. Комплексная защита нроцесса обработки информации в компьютерных системах от несанкционированного доступа, программных закладок и вирусов Учеб.пособие по дисциплине Методы контроля и защиты информации/ В.В.Пасынный. М., 2000. 58 с.

68. Никитина Т.П. Электронные системы управления документооборотом Учеб. пособие -Ярославль: МУБиНТ, 2002.-104 с.

69. Оглтри Т.В. Firewalls. Нрактическое применение экранов: Hep. с англ. -М.: ДМК, 2001. 396 с. межсетевых

70. Организация работы с документами: Учебник Нод ред. проф. В.А. Кудряева. -2-е изд., перераб. и доп. -М.: ИНФРА-М, 2002. 592 с.

71. Основы организации защиты информации в компьютерных сетях/ В.И.Денисов, В.В.Лавлинский, А.Н.Обухов и др.. -Воронеж, 1999. 172 с.

72. Организация и современные методы заш,иты информации Метод, пособие для руководителей и сотрудников служб безопасности/ Нод обш;.ред. А.Диева, А.Г.Шаваева. -М.: Концерн "Банков.деловой центр", 1998.-472 с.

73. Организационные и технические методы защиты информации Учеб. пособие/ Г.Т.Гордин,А.А.Кичкидов,В.В.Сладков,В.М.Зефиров;Гордин Г.Т., Кичкидов А.А., Сладков В.В. и др. -Ненза: Нзд-во Нензенского гос. ун-та, 2003. 116 с.

74. Охрименко А., Черней Г.А. Угрозы Безопасности автоматизированным информационным системам (программные злоупотребления). Статья. Электронный адрес: http://www.security.ase.md/publ/ru/pubruO5.html

75. Навлюк Л.В. Справочник по делопроизводству, архивному делу и основам работы на компьютере Л.В.Навлюк, Т.И.Киселева, Н.И.Воробьев, 7-е изд. -СНб.: Издательский дом Герда, 2002. -288 с.

76. Нетраков А.В. Основы практической защиты информации -М.: Радио и связь, 1999.-361 с.

77. Нетров А. А. Компьютерная безопасность. методы защиты -М.: ДМК, 2000. 445 с. Криптографические

78. Нроворотов В.Д. Защитить, чтобы не проиграть Information security. Информационная безопасность. 2004. №5, ноябрь. 18-20.

79. Нроскурин В.Г. Нрограммно-аппаратные средства обеспечения информационной безопаспости. Защита в операционных системах Учеб. пособие для вузов по спец. "Защищен, телекоммуникацион. системы", "Орг. и технология защиты информ.", "Комплекс, обеспечение информ. безонасности автоматизир. систем"/

80. Романец Ю.В. Защита информации в комньютерных системах и сетях/ Ю.В.Романец, П.А.Тимофеев, В.Ф.Шаньгин; Под ред. В.Ф.Шаньгина. -2.изд.,перераб.и дон. -М.: Радио и связь, 2001. 376 с.

81. Романов Д.А. Правда об электронном документообороте Д.А. Романов, Т.Н. Ильина, А.Ю. Логинова-М.: АйТи-Пресс, 2004. 219 с.

82. Руководящие указания по обеспечению безонасности в области обработки данных. Подход фирмы IBM: Пер. с англ. М.: ВЦП, 1986. 35 с.

83. Рынок систем документооборота и делопроизводства. Электронный адрес: http://www.cnews.ru/newcom/index.shtml72004/09/16/163533

84. Сапожников А.Ю. Электронный документооборот: обычаи управленцев на языке информационных технологий Intelligent Enteфrise Russia Корпоративные системы. 2003. JVo07(72). 10 15.

85. Семененко В.А., Приступа А.С. Системный анализ угроз безопасности экономических информационных систем коммерческого назначения Международная научно-практическая Intemetконференция "Системы, процессы и модели в экономике и управлении", 2

86. Электронный адрес: http://www.msiu.ru/conference/conference_info.html

87. Симонов СИ. Анализ рисков, управление рисками Jet info. 1999. Joi._C. 3-28.

88. Симонов СИ. Аудит информационных систем Jet info. 1999. №9. С 3-24.

89. Симонов СИ. Технологии и инструментарий для управления рисками Jet info. 2003. №2. 3 32.

90. Скудис Э. Противостояние хакерам Пошаговое руководство по компьютер, атакам и эффектив. защите: Пер. с англ. -М.: ДМК Пресс, 2003. -507 с.

91. Слепов О.И. Архив электронной почты Jet info. 2004. №5. 2 16.

92. Слепов О.И. Борьба со спамом Jet info. 2004. N9. 3 20.

93. Слепов О., Тарапов А. Безопасность систем электронной почты Jet info. 2003. №6. 2 20.

94. Соколов А.В. Методы информационной защиты объектов и компьютерных сетей/ А.В.Соколов, О.М.Степанюк. -СПб.;М.: ПОЛИГОН; ACT, 2000. 269 с.

95. Соколов А.В. Защита от компьютерного терроризма. Справочное пособие А.В.Соколов, О.М.Степанюк СПб.: БХВ-Петербург; Арлит 2002. 496 с.

96. Солнцев М.В. Методы оценки экономической эффективности комплексных систем защиты информации телекоммуникационных систем передачи и обработки данных Автореферат диссертации на соискание ученой степени канд. экон. наук: 08.00.13. -СПб., 2000. 18 с.

97. Соловьев Э.Я. Коммерческая тайна и ее защита -2 изд., перераб. и доп.. -М.: Ось-89, 2002.-128 с.

98. Столлингс В. Криптография и защита сетей Принципы и практика 2-е изд.: Пер. с англ. -М.: Вильяме, 2001. 669 с.

99. Стрельцов А.А. Обеспечепие информационной безопасности России. Теоретические и методологические основы Под ред. В. А. Садовничего и В. П. Шерстюка. М., МЦПМО, 2002. 296 с.

100. Сурнин А.Ф. Муниципальные информационные системы. Опыт разработки и эксплуатации -Обнинск: ОГИЦ, 1998. 234 с.

101. Теория и практика обеспечения информационной безопасности/ Под ред. П.Д.Зегжды. -М.: Изд-во Агентства "Яхтсмен", 1996. 298 с.

102. Технические методы и средства защиты информации/ Ю.П.Максимов, В.Г.Сонников, В.Г.Петров и др.; Под общ. ред. Сонникова В.Г.. -СПб.: Полигон, 2000. 314 с.

103. Халяпин Д.Б. Основы защиты промышленной и коммерческой информации. Термины и определения Словарь/ Д.Б.Халяпин, В.И.Ярочкин. -2-е изд., доп. и испр.. -М., 1994. 70 с.

104. Цветков В.Я. Защита информации в системах обработки данных и управления Аналитический обзор -М., 2000. 55 с.

105. Шаньгин В.Ф. Защита информации и информационная безопасность Учеб. пособие: В 2-х кн. -М.. -В надзаг.:Моск.гос.ин-т электрон, техники (техн. ун-т), 1999. 84 с.

106. Шнайдер Б. Секреты и ложь. Безопасность данных в цифровом мире СПб.: Питер, 2003. 368 с.

107. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб: Наука и техника, 2004. 384 с.

108. Ярочкин В.И. Основы защиты информации. Служба безопасности предприятия Учеб.пособие/ В.И.Ярочкин, Д.Б.Халяпин. -М., 1993. 42 с.

109. Ярочкин В.И. Словарь терминов и определений по безопасности и защите информации/ В.И.Ярочкин, Т.А.Шевцова. -М., 1996. 47 с.

110. CobiTR. 3-е издание. Цели контроля. Руководящий комитет CobiT, институт управления ИТ, 2000. 137. "Global information security survey", bCPMG International, 2002.

111. Отчет "CSI/FBI Computer Crime and Электронный адрес: http://www.eocsi.com Security Survey 2003". 139. CERT/CC Statistics. Электронный адрес: http://www.cert.ore

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.