УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
В СИСТЕМАХ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
О.Ю. Жук
«Белорусский научно-исследовательский центр электронной документации, г. Минск, Республика Беларусь
Использование информационных технологий в управлении организацией, создание и функционирование систем электронного документооборота (СЭД), позволяющих эффективно организовать процесс документационного обеспечения управления дают большие преимущества в работе, но и влекут за собой специфические проблемы. Одна из них – необходимость управления информационной безопасностью в СЭД и обеспечение защиты электронных документов, хранящихся в системах.
Сегодня наиболее распространенными и опасными угрозами информационной безопасности являются кража информации, халатность сотрудников организаций, вредоносные программы, саботаж, хакерские атаки, финансовое мошенничество, спам, аппаратно-программные сбои, кража оборудования [1, с. 180-181; 2, с. 224-225].
Вопрос управления информационной безопасностью в рамках СЭД организаций решается путем создания и функционирования системы защиты электронного документооборота, представляющей собой организованную совокупность органов, методов и средств, предусматриваемых в СЭД для обеспечения защиты информации от разглашения, утечки, несанкционированного доступа [3, с. 208].
Существует два подхода к проблеме обеспечения информационной безопасности и построению системы защиты: фрагментарный и системный [4, с. 15-17].
Первый основан на использовании отдельных средств защиты (автономные средства шифрования, специализированные антивирусные программы), направлен на противодействие определенным угрозам безопасности и применяется для защиты информации простых систем. Достоинство подхода – высокая избирательность к конкретной угрозе. Существенные недостатки отсутствие единой защищенной среды обработки информации, снижение защиты при изменении угроз, конфигурации СЭД, внешней среды, деятельности организации.
Современные условия процесса информатизации диктуют необходимость использования системного подхода к защите информации, базирующегося на методологических принципах конечности цели, единства, связанности, модульности построения, иерархии, функциональности. Подход ориентирован на создание защищенной среды обработки информации, объединяющей в единую систему методы и средства противодействия угрозам, что позволяет гарантировать определенный уровень безопасности СЭД, и является его достоинством. Недостатки подхода – ограничение на свободу действий пользователей системы, сложность управления [5, с. 176].
Применение системного подхода в управлении информационной безопасностью в СЭД заключается в:
• защите всех компонентов СЭД (информационный массив системы, представленный электронными документами, базами и банками данных, аппаратно-программное обеспечение, персонал организации), • комплексном применении методов (препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение) и средств (физические, аппаратные, программные, криптографические, организационные, законодательные, морально-этические) защиты, • взаимодействии всех структурных подразделений организации (руководство, функциональные подразделения, служба документационного обеспечения управления, архив организации, отдел информационных технологий, кадровая и юридическая службы) по обеспечению информационной безопасности СЭД с четкой регламентацией задач и функций, их документировании в организационно-распорядительных документах (положения об отделах, должностные инструкции работникам, приказы о распределении ответственности).
Создание системы защиты электронного документооборота организации осуществляется в несколько этапов:
• аудит информационной безопасности СЭД, • выбор методов и средств защиты, • проектирование, реализация и сопровождение системы защиты.
Аудит информационной безопасности СЭД представляет собой процесс сбора и анализа информации, необходимой для оценки существующего уровня защиты, анализа риска и формулирования требований к системе защиты. Как правило, аудит проводится с целью подготовки технического задания на систему защиты либо после внедрения - для оценки ее эффективности [6, с. 313-315].
В процессе аудита информационной безопасности определяются электронные документы и информационные ресурсы, подлежащие защите, идентифицируются и анализируются угрозы безопасности, уязвимости СЭД, строится модель потенциального нарушителя, проводится оценка рисков реализации угроз.
На основе данных аудита определяется оптимальный набор методов и средств защиты информации, которые на этапе проектирования трансформируются в систему защиты - совокупность механизмов обеспечения информационной безопасности и механизмов управления ими для заданной СЭД. На данном этапе разрабатывается техническое решение и графическое представление системы в виде соответствующей модели.
В рамках системного подхода наилучшим вариантом разработки системы защиты является параллельное проектирование системы с проектированием СЭД организации. При этом в работах по проектированию должны принимать участие сотрудники, занимающиеся общими вопросами организации делопроизводства, документооборота и функционирования СЭД (сотрудники службы документационного обеспечения управления, канцелярии, архива организации).
В целях повышения эффективности защиты проектирование системы необходимо осуществляться в соответствии со следующими общеметодологическими принципами: концептуальное единство, соответствие требованиям, адаптируемость, функциональная самостоятельность, удобство эксплуатации, минимизация привилегий, полнота контроля, активность реагирования, невидимость защиты, невозможность перехода в небезопасное состояние, невозможность миновать средства защиты, принцип равнопрочности границ, разделение обязанностей, экономичность [7, с. 32-33].
Заключительными этапами разработки системы защиты являются реализация и сопровождение. На этапе реализации производится настройка средств защиты. Реализация проекта осуществляется в соответствии с планом внедрения, утвержденным руководителем организации и содержащим сведения о сроках внедрения, лицах ответственных за проект.
Сопровождение системы заключается в контроле использования средств защиты в процессе функционирования СЭД, сборе и анализе информации, относящейся к вопросам защиты, мониторинге происходящих событий, анализе защищенности СЭД, разработке предложений по корректировке системы.
Для организации контроля функционирования системы защиты необходимо разработать соответствующий план проведения контрольных мероприятий, содержащий сведения о степени автоматизации и последовательности контрольных действий, времени, периодичности, полноте контроля, количестве контролируемых элементов [8, с. 404].
На этапе внедрения и в процессе функционирования системы защиты необходимо проводить мероприятия по повышению уровня грамотности сотрудников в области защиты информации, что предусматривает организацию семинаров, тренингов для персонала, а также периодическую переподготовку специалистов по защите информации. Особенно важно организовывать подобные мероприятия при изменении структуры СЭД, принятии новых правил, инструкций по обеспечению информационной безопасности.
Для непосредственного функционирования системы должна быть создана служба защиты электронного документооборота, структурное подразделение, непосредственно занимающееся вопросами информационной безопасности СЭД.
Особое внимание в вопросе управления информационной безопасностью в СЭД необходимо уделить научно-методологическому, нормативно-правовому и документационному обеспечению работ по защите информации.
В данном случае речь идет о разработке документов, обеспечивающих системность решения вопросов управления информационной безопасностью, практическую реализацию положений теории защиты информации, законодательное регулирование процессов обеспечения информационной безопасности.
Например, законодательное регулирование вопросов защиты информации должно предусматривать постоянное совершенствование действующей нормативно-правовой базы, представленной законами, стандартами по информационной безопасности, руководящими документами и т.д. В данном случае речь может идти о разработке нормативных правовых актов (стандарты, инструкции, правила), регламентирующих вопросы создания, функционирования и взаимодействия СЭД, организации работ с электронными документами, подтверждения подлинности и целостности электронных документов при архивном хранении.
Документационное обеспечение работ по управлению информационной безопасностью в рамках СЭД заключается в строгом документировании всех этапов работ по созданию и функционированию системы защиты, разработке и оформлении комплекса организационнораспорядительных документов, регламентирующих вопросы защиты информации (положение о службе защиты, должностные инструкции сотрудникам службы, перечень сведений конфиденциального характера, договоры о неразглашении коммерческой тайны и соблюдении политики безопасности, приказы о распределении ответственности по обеспечению защиты информации и др.).
Так как создание и функционирование системы защиты электронного документооборота осуществляется в рамках организации, то и дальнейшая разработка данного вопроса должна происходить в направлении развития менеджмента информационной безопасности, предусматривающего разработку моделей систем защиты СЭД и управления информационной безопасностью с учетом структуры организации и электронного документооборота, объектов СЭД, качественных и количественных характеристик защищаемой информации, материальной базы, внутренней и внешней среды организации.
Литература 1. Доля, А. Внутренние ИТ-угрозы в России 2006 / А. Доля // Компьютер-пресс. – 2007. – Май. – С. 180-184.
2. Чурко, О.В. Некоторые вопросы информационной безопасности в Беларуси в современных экономических условиях / О.В. Чурко // Управление защитой информации. – 2007. - № 2, Том 11. – С. 219-227.
3. Ярочкин, В.И. Безопасность информационных систем / В.И. Ярочкин. – М.: Ось-89, 1996. – 320 с.
4. Леонов, А.П. Безопасность автоматизированных банковских и офисных систем / А.П. Леонов. – Минск: НКП Беларуси, 1996. – 280 с.
5. Зубик, В.Б. Экономическая безопасность предприятия (фирмы) / В.Б. Зубик. – Минск: Выш. шк., 1998. 391 с.
6. Ярочкин, В.И. Информационная безопасность / В.И. Ярочкин. – М.: Фонд «Мир»: Акад. Проект, 2003. – 640 с.: ил.
7. Алгулиев, Р.М. Методы синтеза адаптивных систем обеспечения информационной безопасности корпоративных сетей / Р.М. Алгулиев. М.: УРСС, 2001. 248 с.
8. Герасименко, В.А., Малюк, А.А. Основы защиты информации / В.А. Герасименко, А.А. Малюк М.: Инкомбук, 1997. 537 с.
ЗАЩИТА ИНФОРМАЦИОННЫХ СИСТЕМ НА ОСНОВЕ БАЗ ДАННЫХ
Е.В. Шашкова, Е.А. Юрчак Академия управления при Президенте Республики Беларусь, г. Минск, Беларусь [email protected] Защита баз данных на сегодняшний день является актуальной проблемой. Так как способность засекречивать информацию дает возможность быть уверенным в том, что информация, содержащаяся в базе данных, будет использоваться только определенными людьми для определенных целей.База данных (БД) — структурированный организованный набор данных, описывающих характеристики какой-либо физической или виртуальной системы. В свою очередь система управления базами данных (СУБД) — специализированная программа (чаще комплекс программ), предназначенная для манипулирования базой данных [1].
Современная СУБД содержит следующие компоненты:
• ядро, которое отвечает за управление данными во внешней и оперативной памяти и журнализацию;
• процессор языка базы данных, обеспечивающий оптимизацию запросов на извлечение и изменение данных, и создание, как правило, машинно-независимого исполняемого внутреннего кода;
• подсистему поддержки времени исполнения, которая интерпретирует программы манипуляции данными, создающие пользовательский интерфейс с СУБД;
• а также сервисные программы (внешние утилиты), обеспечивающие ряд дополнительных возможностей по обслуживанию информационной системы.
Основными способами защиты баз данных являются:
• административный метод;
• маскировка;
• защита на уровне доменных политик;
• защита при помощи макроса AutoExec и блокировки Shift;
• использование пароля БД;
• использование пароля пользователя;
• защита при помощи терминального доступа к серверу;
• изменение расширения файла;
• модификация файла;
• изменение версии БД;
• шифрование значений таблиц [2].
«