ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Як перекласти правила режимного паперового документообігу в електронні системи
         

     

    Інформатика, програмування

    Як перекласти правила режимного паперового документообігу в електронні системи

    Віктор Іванівський

    Дії співробітників підрозділів внутрішньої (або інформаційної) безпеки описані у Федеральному законі № 98-ФЗ "Про комерційну таємницю" від 29 липня 2004 р., де в загальних словах визначено, які відомості підпадають під "комерційну таємницю" і якими способами власник інформації може її захищати (ст. 10 "Охорона конфіденційності інформації "; ст. 11" Охорона конфіденційності інформації в рамках трудових відносин ").

    Класичний підхід до оцінки безпеки інформаційної системи зводиться до визначення пріоритетів трьох критеріїв -- доступності, конфіденційності і цілісності. Якщо в базі даних зберігаються відомості загального доступу, на перше місце виходить перший параметр -- "доступність". Інші два будуть мати менший пріоритет, з точки зору розробника. Коли ж з'являються відомості, що становлять комерційну таємницю (у відповідності із згаданим законом № 98-ФЗ і внутрішніми розпорядчими документами), "доступність" відходить на другий план і поступається місцем "конфіденційності".

    Питання, яке відразу ж виникає у будь-якого фахівця при переході компанії від паперового документообігу до електронному, - яким чином ми будемо захищати відомості, що становлять комерційну таємницю?

    Від теорії до практики У традиційній канцелярії способи захисту зводяться до організаційних заходів - простановки грифів і перевірці прав кожного співробітника на допуск до тих чи інших відомостей. Витік відомостей може відбутися тільки при фізичному доступі до конкретного документу. При цьому відповідальність за дотримання режиму конфіденційності лягає на особи, на зберіганні у яких знаходяться документи. Зовсім по-іншому йде справа, коли в організації планується перехід на систему ЕДО. Паперові примірники документів замінюються на електронні, які зберігаються або у вигляді окремих файлів на загальнодоступному мережевому ресурсі, або у складі єдиної бази даних (БД). Фактично об'єктом захисту стають не окремі розрізнені документи, а єдина інформаційна система.

    Завдання і шляхи вирішення Перед персоналом, займаються впровадженням або розробкою рішення системи ЕДО, як правило, ставляться наступні завдання:

    - максимально захистити конфіденційні відомості;

    - мінімізувати витрати на впровадження;

    - по можливості задіяти існуючі в компанії інформаційні системи. Які є способи для їх рішення?

    Відразу зазначимо кордон - мова не буде йти про секретні відомості, норми роботи з якими регламентуються відповідними документами. Ми будемо розглядати випадки, коли в організаціях використовуються:

    - типові обмеження "для службового користування ";

    - інші обмеження, визначені всередині компанії, але не підпадають під "державні" грифи секретності. Перший спосіб - найпростіший - придатний для реалізації в невеликих компаніях з невеликим обсягом документів. У цих умовах досить задавати дозволу на роботу з кожним конкретним документом при його створенні. У даному випадку відповідальність за конфіденційність лягає на виконавця та безпосередньо залежить від того, як він задасть список доступу до файлу.

    Способи реалізації - завдання прав доступу до файлів на рівні файлової системи або за допомогою Microsoft Right Management Service. Мінусом даного рішення є жорстка прив'язка до Active Directory, що обмежує можливості з розширення системи за рамки компанії.

    Другий спосіб - використання корпоративних поштових систем у зв'язці з аппаратнопрограммнимі комплексами, здійснюють шифрування і підпис документів. По суті, він представляється плавним переходом від одиночних файлів до БД. Захист передачі файлів забезпечує шифрування, ідентифікацію відправника і цілісність файлу - проставлена ЕЦП. При цьому ми йдемо від прив'язки до Active Directory, але ідеологія захисту залишається практично на тому ж рівні, що і в першому випадку. З конкретним документом працює все той же виконавець. Якщо ж здійснюється вихід за рамки домену, з'являється ймовірність помилки при призначенні одержувачів зашифрованих файлів. Зайвий адресат у рядку одержувачів, і як результат - витік відомостей.

    Проте даний підхід вважається одним з найпопулярніших. Модулі для роботи з поштовими програмами входять до складу багатьох СКЗІ, тимчасові витрати на їх вбудовування та обслуговування мінімальні, а дії, які необхідно виконувати кінцевим користувачам, інтуїтивно зрозумілі.

    Третій спосіб - організація повноцінної БД. Тут можливі такі варіанти:

    - проектування на базі однієї платформи СУБД як для загальних документів, так і для категорованих;

    - реалізація концепції роздільного доступу на базі однієї платформи.

    У поєднанні з аппаратнопрограммнимі комплексами СКЗІ даний підхід вважається найбільш захищеним і гнучким для застосування як в рамках однієї організації, так і в масштабі кількох компаній.

    Висновок Для кожного конкретного випадку рішення індивідуально, але є розвитком одного з вищеописаних підходів. Слід звернути увагу на дві основні речі. 1. Витрати на придбання, впровадження та супровід системи захисту ЕДО не повинні перевищувати потенційні втрати від витоку даних. Ключ до оптимального бюджету - експертна оцінка ризиків компанії в частині ІБ.

    2. Перед впровадженням необхідно провести оцінку обсягів конфіденційної інформації, які будуть проходити через інформаційну систему. В одних випадках достатньо буде обійтися розмежування на рівні прав доступу до файлів, в інших - буде необхідна організація БД.

    Ефективність розроблених заходів щодо захисту конфіденційних відомостей буде прямо залежати від підходу компанії до проведення підготовчих заходів.

    Список літератури

    Information Security № 1, лютий-березень 2009

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати !