Защита конфиденциальной информации при электронном документообороте


Министерство образования и науки Российской Федерации НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ





                О.В. МИНИН, И.В. МИНИН




ЗАЩИТА КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ПРИ ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ

Утверждено Редакционно-издательским советом университета в качестве учебного пособия







НОВОСИБИРСК
2011

УДК 004.056(075.8) М618






Рецензент главный специалист информационной безопасности ООО «СекВеб» НГ Гончаренко





        Минин О.В.

М618 Защита конфиденциальной информации при электронном документообороте: учеб. пособие / О.В. Минин, И.В. Минин. -Новосибирск: Изд-во НГТУ, 2011. - 20 с.

         ISBN 978-5-7782-1829-1

         Учебное пособие содержит материалы для более углубленного и качественного обеспечения компетенции выпускника в сфере защиты и обработки конфиденциальных документов.
         Пособие предназначено для студентов специальности 090105 «Комплексное обеспечение информационной безопасности в автоматизированных системах», а также для аспирантов соответствующих специальностей.




Работа подготовлена на кафедре защиты информации








УДК 004.056(075.8)


ISBN 978-5-7782-1829-1

                   © Минин О.В., Минин И.В., 2011
                   © Новосибирский государственный

технический университет, 2011

        ВВЕДЕНИЕ

   В настоящее время широкое распространение получает электронный документооборот как один из видов электронного взаимодействия сторон информационного обмена. Одновременно с внедрением средств обеспечения электронного документооборота и, как следствие, повышением производительности предприятия организации возрастает вероятность реализации угроз информационной безопасности, которым могут быть подвержены информационные ресурсы организации. В связи с этим возрастает роль организации конфиденциального делопроизводства и защиты информации [1-6]. Так, Концепция формирования в РФ электронного правительства до 2010 года указывает: «В целях повышения эффективности государственного управления требуется завершить работы по созданию и внедрению защищенной технологической системы межведомственного электронного документооборота, которая должна обеспечить оперативный информационный и документационный обмен... Система межведомственного электронного документооборота создается для осуществления защищенного обмена электронными сообщениями».
   Организация конфиденциального делопроизводства означает создание необходимых условий для изготовления и получения конфиденциальных документов, организации работы с ними и предотвращения утраты и утечки документированной конфиденциальной информации.
   Под разглашением конфиденциальной информации понимаются умышленные или неосторожные действия допущенных к конфиденциальной информации лиц, приведшие к преждевременному, не вызванному служебной необходимостью распространению указанной информации среди лиц, включая работников предприятия, которым эта информация не была доведена в официально установленном порядке; утечка конфиденциальной информации - это несанкционированное

3

распространение информации за пределы установленного физического пространства.
   Комплексная защита конфиденциальной информации имеет целью решение двух задач: защиту права организации на конфиденциальную информацию, в том числе относящуюся к категории интеллектуальной собственности организации (достигается на основе применения правовых норм действующего законодательства РФ); предотвращение угроз информационной безопасности организации, их выявление и существенное ослабление (достигается на основе реализации совокупности согласованных по цели, месту и времени применения правовых, организационных и технических мер защиты конфиденциальной информации, образующих систему защиты конфиденциальной информации (СЗКИ)).
   СЗКИ дает возможность укрепления экономической безопасности организации, что способствует созданию условий для долгосрочного устойчивого функционирования организации.
   Защита конфиденциальной информации - один из важнейших факторов создания предпосылок для стабильного существования и прогрессивного развития организации. Тем не менее до последнего времени конфиденциальные документы иногда рассылаются без защиты [11].
   Основными условиями обеспечения информационной безопасности организации в контексте намеченного подхода к решению задач защиты конфиденциальной информации являются:
   •    построение моделей злоумышленников и конкурентов на основе поиска и аутентификации информации о их намерениях и устремлениях;
   •    определение перечня сведений, составляющих объект защиты интересов предприятия в конкретных областях его деятельности;
   •    формирование предпочтительной для предприятия структуры системы комплексной защиты конфиденциальной информации на основе синтеза, структурной оптимизации и технико-экономической оценки альтернативных вариантов СЗКИ;
   •    управление процессом реализации избранного замысла защиты конфиденциальной информации и координация работ по организации защиты конфиденциальной информации между всеми заинтересованными структурными подразделениями организации;

4

   •    совмещение организационно-административных мер защиты конфиденциальной информации с активным вовлечением в указанный процесс всего персонала организации;
   •    введение персональной ответственности (в том числе и материальной) должностных лиц всех уровней, а также других работников предприятия, допущенных к конфиденциальной информации, за обеспечение установленного в предприятии режима конфиденциальности.





            1. ОСНОВНЫЕ ПОНЯТИЯ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА [7]


   Документооборот - движение документов в организации с момента их создания или получения (ГОСТ Р 51141-98); комплекс работ с документами: прием, регистрация, рассылка, контроль исполнения, формирование дел, хранение и повторное использование документации, справочная работа.
   Электронный документооборот (ЭДО) - единый механизм по работе с документами, представленными в электронном виде, с реализацией концепции «безбумажного делопроизводства».
   Электронный документ (ЭД) - документ, созданный с помощью средств компьютерной обработки информации, который может быть подписан электронной цифровой подписью (ЭЦП) и сохранен на машинном носителе в виде файла соответствующего формата.
   Электронная цифровая подпись [8] - аналог собственноручной подписи, являющийся средством защиты информации, обеспечивающим возможность контроля целостности и подлинности электронных документов. ЭЦП получается в результате криптографического преобразования информации с использованием закрытого ключа.
   Использование ЭЦП позволяет клиенту:
   •    исключить возможность подделки подписи и подписанных документов;
   •    заключать сделки в электронном виде;



5

   •     усовершенствовать процедуру подготовки, доставки, учета и хранения документов;
   •     построить корпоративную систему обмена документами.
   ЭЦП обладает свойством неотказуемости. Это означает, что никто не может отказаться от своей электронной подписи, потому что ее принадлежность легко, однозначно и неоспоримо доказывается.





            2. КРИТЕРИИ ВЫБОРА КОНКРЕТНОЙ СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА


   Системы электронного документооборота используются для решения следующих функциональных задач:
   •  выполнения функций делопроизводства;
   •  создания электронного архива хранения документов;
   •  маршрутизации и хранения документов.
   Наибольшее распространение на сегодняшний день получили системы смешанного типа, сочетающие в себе все приведенные выше функции.
   Сегодня набор функций, выполняемых данными системами, стандартный, поэтому при выборе конкретной системы документооборота важную роль играют ее дополнительные возможности, расширяющие основные функции. Одними из самых перспективных являются следующие функции:
   •     аналитические функции, представляющие возможности по семантической обработке информации;
   •     функции качественного нечеткого поиска, позволяющие за короткое время найти в массиве требуемый документ, имея минимум исходной информации для поиска;
   •  функции автоматической рубрикации.
   Достоинства систем электронного документооборота:
   •  многокритериальный поиск документов;
   •  контроль исполнения документов;
   •  регистрация документов;
   •  ввод резолюций к документам;

6

   •  распределенная обработка документов в сети;
   •     распределение прав доступа к различным документам и функциям системы;
   •  ведение нескольких картотек документов;
   •  работа с проектами документов;
   •     распределение находящихся на исполнении документов по «папкам» в зависимости от стадии исполнения документа: поступившие, на исполнении, на контроле и т. д.;
   •  формирование стандартных отчетов;
   •  обмен документами по электронной почте;
   •  списание документов в дело;
   •     отслеживание перемещений бумажных оригиналов и копий документов, ведение реестров внутренней передачи документов;
   •     ведение пользовательских списков должностных лиц, организаций, тематических рубрик, групп документов;
   •  редактирование шаблонов выходных печатных форм.
   Приказом Федерального агентства по техническому регулированию и метрологии от 26.10.2010 № 327-СТ утвержден ГОСТ Р 538982010. Системы электронного документооборота. Взаимодействие систем управления документами. Требования к электронному сообщению.
   Основой для национального стандарта послужил стандарт организации «Взаимодействие систем автоматизации документального обеспечения управления. Состав, содержание и описание зон электронного сообщения», разработанный в 2004 году.
   Объектом стандартизации является электронное сообщение, пересылаемое между системами управления документами в процессе информационного взаимодействия. Стандарт устанавливает формат, состав и содержание такого электронного сообщения.
   Использование единого формата обмена документами обеспечивает пересылку электронных документов без потери информации и без необходимости ее дополнительной обработки, уменьшает стоимость разработки интерфейсов и связей между системами управления документами, уменьшает дублирование данных и необходимость их повторного ввода, создает условия для реализации управления документами различных производителей. Применение стандарта способствует интеграции разрозненных систем управления документами в единую межведомственную систему обмена документами.

7

            3.  ДОКУМЕНТООБОРОТ КАК ОБЪЕКТ ЗАЩИТЫ [9]


   При движении конфиденциальных документов по инстанциям увеличивается число источников информации (сотрудников, баз данных, рабочих материалов и т. п.), обладающих ценными сведениями, и расширяются потенциальные возможности для утраты конфиденциальной информации, ее разглашения персоналом, утечки по техническим каналам, исчезновения носителя этой информации. Каналы утраты конфиденциальной документированной информации имеются на всех стадиях и этапах движения документов, при выполнении любых процедур и операций. К ним относятся:
   •    кража (хищение) документа или его отдельных частей (листов, приложений, копий, схем, фотографий и т. д.), носителя чернового варианта документа или рабочих записей; несанкционированное копирование бумажных и электронных документов, баз данных, фото- и аудиодокументов, запоминание злоумышленником или его сообщником текста документа;
   •    тайное или разрешенное ознакомление сотрудника фирмы с документом и сообщение информации злоумышленнику лично или по линиям связи, прочтение текста документа по телефону, разглашение информации с помощью мимики, жестов, условных сигналов;
   •    подмена документов, носителей или их отдельных частей с целью фальсификации или сокрытия факта утери или хищения;
   •    дистанционный просмотр документов и изображения дисплея с помощью технических средств визуальной разведки;
   •    ошибочные (умышленные или случайные) действия персонала при работе с документами (нарушение разрешительной системы доступа, правил обращения с документами, технологии их хранения и обработки);
   •    случайное или умышленное уничтожение документов и баз данных, несанкционированная модификация и искажение текста, реквизитов;
   •    считывание данных в чужих массивах за счет использования остаточной информации на дисках, в памяти и т. д.;

8

   •     утечка информации по техническим каналам при обслуживании и диктовке текста документа, работе с компьютером и другой офисной техникой;
   •    гибель документов в условиях экстремальных ситуаций.
   Для электронных документов угроза утраты конфиденциальной информации особенно опасна, так как факт кражи информации практически трудно обнаружить. Утрата конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, может быть вызвана следующими факторами:
   •     непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, работников службы конфиденциальной документации (СКД), системных администраторов и других лиц, обслуживающих информационные системы;
   •    кражи и подлоги информации;
   •    угрозы, исходящие от стихийных ситуаций внешней среды;
   •    угрозы заражения вирусами;
   •    угрозы «хакерских» атак.
   Главным направлением защиты документированной информации от возможных угроз является формирование защищенного документооборота, т. е. использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.
   Под защищенным документооборотом понимается контролируемое движение конфиденциальной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации.
   Помимо общих для документооборота принципов защищенный документооборот основывается на ряде дополнительных принципов:
   •     ограничение доступа персонала к документам, делам и базам данных деловой, служебной или производственной необходимостью;
   •     персональная ответственность должностных лиц за выдачу разрешения на доступ сотрудников к конфиденциальным сведениям и документам;
   •     персональная ответственность каждого сотрудника за сохранность доверенного ему носителя и конфиденциальность информации;

9

   •    жесткая регламентация порядка работы с документами, делами и базами данных для всех категорий персонала, в том числе первых руководителей.
   Несколько иное содержание приобретает в защищенном документообороте принцип избирательности в доставке и использовании конфиденциальной информации. Его основу составляет действующая в организации (фирме) разрешительная система доступа персонала к конфиденциальной информации, документам, базам данных. Целью избирательности является не только оперативность доставки документированной информации потребителю, но и доставка ему той информации, работа с которой ему разрешена в соответствии с его функциональными обязанностями.
   Защищенность документопотоков достигается за счет:
   •    одновременного использования режимных (разрешительных, ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциальных документов;
   •    нанесения отличительной отметки (грифа) на чистый носитель конфиденциальной информации или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;
   •    использования автономной технологической системы обработки и хранения конфиденциальных документов, не соприкасающихся с системой обработки и хранения открытых документов.
   Под исполнением конфиденциального документа понимается процесс документирования управленческих решений и действий, результатов выполнения руководителями и сотрудниками организации (фирмы) поставленных задач и отдельных заданий, поручений, а также реализации функций, закрепленных за ними в должностных инструкциях. Факторами, инициирующими процесс исполнения, являются:
   •    получение руководителем, сотрудником (исполнителем) поступившего документа;
   •    письменное или устное указание вышестоящего руководителя;
   •    устный запрос на информацию или принятие решения от других фирм, учреждений и отдельных лиц;
   •    задания и поручения, включенные в рабочие планы, графики работы, должностные инструкции и другие организационные и плановые документы;
   •    полезная информация, полученная из реферативных и информационных сборников, рекламных изданий.

10