Введение 4
Глава 1. Анализ проблем хранения, обработки и защиты информации электронного документооборота в ООО «Гарант-центр» 6
1.1. Анализ современных подходов к защите информации 6
1.2. Анализ нормативно-правовых основ защиты информации 14
1.3. Исследование деятельности объекта исследования ООО «Гарант-центр». Движение информационных потоков системы документооборота 17
1.4. Проблемы и недостатки обработки и защиты информации в ООО «Гарант-центр», формулировка цели, задач и стратегии исследования 22
1.5. Разработка организационных мер и подбор программно-аппаратных средств 31
Выводы и результаты по первой главе 36
Глава 2. Разработка комплексной системы зашиты электронного документооборота в территориально-распределительной организации ООО «Гарант-центр» 41
2.1. Разработка политики информационной безопасности 41
2.2. Построение модели угроз 46
2.3. Формирование требований к системе защиты информации 58
2.4. Описание КСЗИ на ООО «Гарант-центр» и оценка эффективности ее работы 60
Выводы и результаты по второй главе 72
Глава 3. Оценка экономической эффективности от внедрения системы защиты информации 73
3.1. Оценка рисков ИБ 73
3.2. Калькуляция затрат на разработку и внедрение системы защиты электронного документооборота ООО «Гарант-центр» 77
3.3. Расчет показателей экономической эффективности 79
Выводы по третьей главе 79
Выводы и результаты 80
Список сокращений 83
Источники информации 85
Приложение 92
Актуальность темы работы. К числу макро тенденций, определяющих развитие современного мирового хозяйства, относятся глобализация и развитие информационной экономики. Однако, в настоящее время, стремительно уходит эйфория, возникшая в результате феноменально интенсивного и фронтального развития информационных технологий. Вместе с этим приходит осознание того, что возникают и стремительно растут риски, связанные с их использованием, появляются совершенно новые угрозы потери информации, приводящие к конкретному, материально выразимому, ущербу. В этой связи возникает прагматичная и, в то же время, исключительно интеллектуальная проблема обеспечения информационной безопасности.
Обычно когда речь заходит о безопасности документооборота компании, ее руководство недооценивает важность информационной безопасности. Основной упор делается, как правило, на физической защите. Крепкие входные двери, защищенные окна, разнообразные датчики и видеокамеры, надежная служба охраны — эти компоненты помогут предупредить угрозу взлома рабочего помещения. Но как предотвратить компьютерный «взлом»? Для того чтобы проникнуть в тайны компании, нет необходимости перелезать через заборы и обходить периметровые датчики, вторгаться в защищенные толстыми стенами помещения, вскрывать сейфы и т. п. Достаточно проникнуть в информационную систему и перевести сотни тысяч долларов на чужие счета или вывести из строя какой-либо узел корпоративной сети. Все это приведет к огромному ущербу. Причем не только к прямым потерям, которые могут выражаться цифрами со многими нулями, но и к косвенным.
Таким образом, научные исследования, направленные на повышение эффективности системы защиты электронного документооборота территориально-распределительной организацией на основе формирования системы информационной безопасности, способной обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими факторами при создании требуемого уровня информационной безопасности, являются актуальными.
Актуальность указанных вопросов определила выбор темы работы, ее цель и круг решаемых в процессе ее написания задач.
Целью настоящей работы является изучение и анализ существующей системы защиты электронного документооборота ООО «Гарант-центр», разработка и внедрение системы защиты электронного документооборота.
Задачи работы:
провести анализ проблем хранения, обработки и защиты информации электронного документооборота в ООО «Гарант-центр»;
на основании проведенного анализа разработать комплексную системы зашиты электронного документооборота в территориально-распределительной организации;
по итогам работы провести оценку экономической эффективности от внедрения системы защиты информации.
Объектом настоящего исследования являются комплекс мероприятий, в совокупности определяющий целостную систему по защите электронного документооборота территориально-распределительной организации.
Предметом исследования в дипломной работе выступает защита электронного документооборота территориально-распределительной организации.
Структурно работа состоит из введения, трех глав, заключения, списка используемой литературы и приложений.
Проведенный анализ широкого круга вопросов, связанных с разработкой и внедрением системы защиты электронного документооборота в территориально-распределенной организации на примере ООО «Гарант-центр» позволил сделать следующие выводы:
Тенденции развития промышленности России показывают, что большинство руководителей предприятий уже принимают меры по защите важной для них информации. Одним из самых распространенных на сегодня источником получения информации являются компьютерные сети. Они постепенно превратились в такую же повседневность, как и телевидение или телефон. Множество компаний имеют свои собственные официальные страницы в Internet, подразделения компаний используют компьютерные сети для оперативного обмена коммерческой информацией, тысячи рядовых граждан используют сеть для получения важных для них данных (лент новостей, курсов валют и т.д.).
В настоящее время весьма актуальны разработки, направленные на повышение эффективности системы защиты электронного документооборота территориально-распределительной организацией на основе формирования системы информационной безопасности, способной обеспечить согласованность и эффективность действий между организационными, технологическими, техническими, правовыми и экономическими факторами при создании требуемого уровня информационной безопасности.
Ввиду нарастающей информатизации общества за счет использования сетей передачи данных, объединяющих территориально-распределенные организации возникает большая заинтересованностью коммерческих структур в обеспечении надежной защиты персональных данных граждан.
Разработка КСЗЭД проводилась в настоящей работы на примере ООО «Гарант-центр». Компания «Гарант-Центр» основана командой единомышленников в октябре 2000 года. Миссия организации - оказание комплексной профессиональной правовой поддержки с помощью современных информационных технологий.
При помощи ЭВМ в ООО «Гарант-центр» автоматизирован электронной документооборот: прием, обработка и распределение поступающей корреспонденции, отправка исходящей корреспонденции; регистрация внутренних и организационно - распорядительных документов организаций компании; наложение резолюций, выдача поручений; контроль доставки документов адресатам; контроль исполнения документов и поручений; ведение архива официальных документов организации и формирование дел; ведение различных библиотек рабочих документов; контроль исполнительской дисциплины, подготовка справок и отчетов; подготовка, согласование и визирование проектов документов, поиск однотипных документов и т.д.
Система безопасности здания ЦНИИМЭ, в котором располагается офис компании «Гарант-Центр», включает в себя достаточное количество подсистем, эти подсистемы работают достаточно хорошо. Таким образом, нам необходимо спроектировать именно подсистему защиты информации электронного документооборота от НСД в компьютерной системе компании.
В ходе проведения анализа было выявлено, что ИС ООО «Гарант-центр» имеет низкий (Y1=10 уровень исходной защищенности, т. к. не выполняется условие по пунктам 1 и 2 (пункт 1 - если не менее 70% характеристик ИС соответствуют уровню «высокий», а остальные – среднему уровню защищенности; пункт 2 - если не выполняются условия по пункту 1 и не менее 70% характеристик ИС соответствуют уровню не ниже «средний»).
В результате проделанной работы было рассмотрена защита системы электронного документооборота в отдельной территориально-распределительной организации ООО «Гарант-центр». Стало возможным:
увеличить скорость принятия решения внутри организации;
повысить производительность труда сотрудников;
создать единое информационное пространство при работе с документами;
автоматизировать контроль за исполнением документов;
осуществить безопасность доступа к информацию;
повысить уровень защищенности системы электронного документооборота.
Разрабатываемая система защиты предназначена для автоматизации системы электронного документооборота в территориально-распределенной организации и не затрагивает экономическую и хозяйственную деятельность общества СЭД ООО «Гарант-центр» не является изолированной от внешних систем и интегрирована в общую информационную инфраструктуру общества, где взаимодействует с прочими информационными системами организации.
В результате проведенных расчетов в главе 3, мы оценили возможные риски компании, а так же рассчитали стоимость внедрения комплексной системы защиты электронного документооборота в ЛВС ООО «Гарант-Центр». Период окупаемости проекта равен 0,56 года
1. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014)»Об информации, информационных технологиях и о защите информации» // «Российская газета», № 165, 29.07.2006.
2. Федеральный закон Российской Федерации от 27 декабря 2009 г. № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»«: Принят Государственной Думой 16 декабря 2009 г.: Одобрен Советом Федерации 25 декабря 2009 г. // Российская газета – 2009. – 29 декабря.
3. Федеральный закон Российской Федерации от 23 декабря 2010 г. № 359-ФЗ «О внесении изменения в статью 25 Федерального закона «О персональных данных»: Принят Государственной Думой 10 декабря 2010 г.: Одобрен Советом Федерации 15 декабря 2010 г. //Российская газета – 2010. – 27 декабря.
4. О персональных данных: Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ: принят Государственной Думой 8 июля 2006 г.: одобрен Советом Федерации 14 июля 2006 г. // Российская газета – 2006. – 29 июля.
5. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: Постановление Правительства РФ от 1 ноября 2012 г. № 1119 // Российская газета – 2012. – 7 ноября.
6. Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации: Постановление Правительства РФ от 15 сентября 2008 г. № 687 // Российская газета – 2008. – 24 сентября.
7. Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных: Постановление Правительства РФ от 6 июля 2008 года №512// Российская газета – 2008. – 11 июля.
8. Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами: Постановление Правительства РФ от 21 марта 2012 г. №211 // Российская газета – 2012. – 30 марта.
9. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. № 21 // Российская газета – 2013. – 22 мая.
10. Постановление Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» (вместе с «Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации») // «Собрание законодательства РФ», 12.03.2012, № 11, ст. 1297.
11. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утв. решением Гостехкомиссии России от 30.03.1992).
12. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 14.02.2008)
13. «ГОСТ Р ИСО/МЭК 15408-3-2013. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности» (утв. и введен в действие Приказом Росстандарта от 08.11.2013 № 1340-ст) // М.: Стандартинформ, 2014.
14. «ГОСТ Р ИСО/МЭК 15408-2-2013. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (утв. и введен в действие Приказом Росстандарта от 08.11.2013 № 1339-ст)
15. Постановление Президиума Совета судей Российской Федерации от 24 марта 2011 г. № 258 «О ходе выполнения поручения Президента Российской Федерации от 15 декабря 2010 г. № Пр-3645 по повышению открытости и доступности правосудия».
16. Концепция информатизации Верховного Суда Российской Федерации, утв. Приказом Председателя Верховного Суда РФ от 19 ноября 2008 г. № 13-П (п. 1.1, абз. 5).
17. Концепция создания Единой автоматизированной информационно-коммуникационной системы арбитражных судов Российской Федерации, утв. Председателем Высшего Арбитражного Суда Российской Федерации 9 марта 2005 г.
18. Концепция информатизации судов общей юрисдикции и системы Судебного департамента, утв. Постановлением Совета судей Российской Федерации от 11.04.2002 № 75 (в формулировке «Создание государственной автоматизированной системы «Правосудие»).
19. Общая концепция информационной системы Конституционного Суда Российской Федерации, утв. руководителем секретариата Конституционного Суда Российской Федерации 4 октября 2007 г.
20. Авсентьев О.С. Принципы моделирования механизмов воздействия вредоносных программ на защищенные информационные системы в интересах оценки угроз их безопасности / О.С. Авсентьев, В.В. Александров, Г.И. Рябинин, С.В. Скрыль, Р.В. Мещеряков // Доклады ТУСУРа. – 2008. – Т. 2. – № 1.
21. Аксель Зелль «Инвестиции и финансирование, планирование и оценка проектов», издат. «Ось-89», 2011г.
22. Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утв. ФСТЭК России 18 мая 2007 г.
23. Базовая модель угроз безопасности персональным данным при обработке в информационных системах персональных данных, утвержденная 15 февраля 2008 г. заместителем директора ФСТЭК России.
24. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. ФСТЭК России 15 февраля 2008 г.; и др.
25. Байкова И. Ю. Документооборот и делопроизводство. Как организовать работу с документами, М.: Эксмо, 2010 г.
26. Байкова И. Ю. Документооборот и делопроизводство. Как организовать работу с документами, М.: Эксмо, 2010
27. Баласанян В. Концепция автоматизации отечественного документооборота // Открытые системы – 1997. №1 Гавердовский А. Концепция построения систем автоматизации документооборота // Открытые системы – 2007. №1.
28. Баласанян В. Концепция автоматизации отечественного документооборота // Открытые системы – 1997. №1
29. Бондырева Т.Н. Секретарское дело. М.: Высш. шк., 2012 г.
30. Гавердовский А. Концепция построения систем автоматизации документооборота // Открытые системы – 1997. №1
31. Герасименко В. А., Малюк А. А. Основы защиты информации. М., 2007.
32. Давыдова Е.М. Модель образовательного процесса с учетом требований работодателя // Доклады Томского государственного университета систем управления и радиоэлектроники. – 2013. – № 4 (30).
33. Ершов В.В. Правовые проблемы информационного электронного взаимодействия субъектов процессуального доказывания // Информационные технологии, связь и защита информации МВД России: Сборник статей. 2012. Вып. 1.
34. Жеребенкова А.В. Документооборот на предприятии М: Вершина, 2013 г.
35. Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем: Учебник для вузов. М. 2006.
36. Защита конфиденциальности персональных данных с помощью обезличивания // Вестник АГГУ Сер.: Управление, вычислительная техника и информатика 2010, №2. С. 158-162.
37. Защита персональных данных работника // Сибирский торгово-экономический журнал 2008, №7.
38. Зиновьева Н.Б, Сояпина Н.А Документ коммуникации и восприятия. М.: ПРИОР, 2013 г.
39. Информационное право. М.: Российская академия правосудия, 2011. 228 с.
40. Информационно-правовое знание: теоретико-концептуальные аспекты // НТИ РАН. Сер. 2. Информационные процессы и системы. 2004. № 11.
41. Концептуально-логическое моделирование юридического понятия «тайна» // Информационное право. 2009. № 2.
42. Кузнецов С. Л. Выбор и опытное внедрение системы электронного архива // Секретарское дело – 2011. №3
43. Кузнецова Т.В Делопроизводство. М.: «Инфра-М», 2013 г.
44. Кушнаренко Н.Н. Документоведение. М.: Знание, 2012 г.
45. Ловцов Д.А. Информационная теория эргасистем: Тезаурус. М.: РАН. Наука, 2005. 248 с.
46. Ловцов Д.А. Обеспечение информационной безопасности в российских телематических сетях // Информационное право. 2012. № 4.
47. Ловцов Д.А., Верхоглядов А.А. Информационная безопасность судебных автоматизированных информационных систем: правовое регулирование и юрисдикция // Российское правосудие. 2008. № 8.
48. Майкл Дж., Саттон Д. Корпоративный документооборот. Принципы, технологии, методология внедрения, М.: БМикро, Азбука, 2013 г.Майкл Дж., Саттон Д. Корпоративный документооборот. Принципы, технологии, методология внедрения, М.: БМикро, Азбука, 2012 г.Методические рекомендации ФСБ // http://37.rkn.gov.ru/ - 2009. - 3 октября.
51. Миронова В.Г. Модель нарушителя безопасности конфиденциальной информации / В.Г. Миронова, А.А. Шелупанов // Информатика и системы управления. – 2012. – № 1. – С. 28–35.
52. Москалев В.А. Современное делопроизводство. М.: Инфра–М, 2000 г.
53. Москалев В.А. Современное делопроизводство. М.: Инфра–М, 2010 г.
54. Мытник А.А. Опыт внедрения информационной системы E-Decanat для автоматизации управления учебным процессом в ТГПУ / А.А. Мытник, А.П. Клишин // Вестник ТГПУ. – 2013. – Вып. 1 (129). – С. 184–187.
55. Особенности регулирования защиты персональных данных работников на локальном уровне // Российское правоведение на рубеже веков: Трибуна молодого ученого. Ч. 4: Сб. статей. Томск: Изд-во Том. ун-та, 2004. С. 128-132.
56. Пахчанян А. Обзор систем электронного документооборота // Директор информационной службы. – 2011. №2.
57. Пахчанян А. Обзор систем электронного документооборота // Директор информационной службы. – 2001. №2
58. Писенко А.В. Делопроизводство: Документационное обеспечение работы офиса: Учебное пособие. М., 2012 г.
59. Писенко А.В. Делопроизводство: Документационное обеспечение работы офиса: Учебное пособие. М., 2002 г.
60. Погодина И. Защита информации в организации // Кадровик. Трудовое право для кадровика. 2011. № 10.
61. Поспелов А.Л., Ревенков П.В. Как контролировать информационную безопасность в банке // Внутренний контроль в кредитной организации. 2014. № 3. С. 60 - 64.
62. Принципы защиты персональных данных в России и зарубежом // Вестник ЮУГУ Сер. Право 2013, Том 13, №2.
63. Пьяных Е.Г. Проектирование баз данных в среде OpenOffice.org (ПО для управления базами данных): учеб. пособие. – М., 2008. – 62 c.
64. Соловьева А.А. О защите конфиденциальной информации фирмы (индивидуального предпринимателя) // Аптека: бухгалтерский учет и налогообложение. 2014. № 8.
65. Стась А.Н. Информационные системы. – Томск: Изд-во ТГПУ, 2010. – 186 с.
66. Страстенко В. В. НТЦ ИРМ. Для чего нужна автоматизация делопроизводства. -http://www.mdi.ru/library/analit/avtom.html
67. Чернов В. Н. Системы электронного документооборота, РАГС, 2013 г. Шелупанов А.А., Миронова В.Г., Ерохин С.С., Мицель А.А. Автоматизарованная система предпроектного обследования информационной системы персональных данных АИСТ-П // Доклады ТУСУРа. – 2010. –№ 1. – С. 14–22.
69. Электронный документ и документооборот: правовые аспекты М.:ИНИОН РАН, 2014.
70. Электронный документооборот: миф или реальность? // eRussia Форум. – 2011 г.
71. Мytnik A.A. Business process automation in university using E-Decanat 2.0 software / A.A. Мytnik, A.P Klishin // The 1th International Global Virtual Conference–Workshop, April 2013. – Zilina: EDIS, 2013. – P. 308–310.