«Методы и технологии защиты информации в СЭУД» - Дипломная работа

Содержание

ОГЛАВЛЕНИЕ:

Введение…. 3

Глава 1. Методы и технологии защиты информации в системах электронного управления документами….

9

1.1.Применение информационных технологий в защите информации в автоматизированных информационных системах….

9

1.2. Защита информации от вредоносных программ… 30

1.3. Меры информационной безопасности в СУЭД…. 44

Выводы по главе…. 50

Глава 2. Стандарты информационной безопасности, используемые в СУЭД…

52

2.1. Роль стандартов информационной безопасности…. 52

2.2. Международные стандарты информационной безопасности…. 54

2.3. Стандарты информационной безопасности в Интернете… 61

2.4. Отечественные стандарты безопасности информационных технологий…

65

Выводы по главе…. 68

Глава 3. Обзор систем защиты информации в готовых разработках СУЭД….

71

3.1. Защита информации в системе автоматизированного делопроизводства «Дело» (Электронные офисные системы)….

71

3.2. Защита информации в САДД «БОСС-Референт» (Компания «Ай-Ти»…

73

3.3. Система защиты информации для СУЭД: Intertrust Locker…. 75

3.4. Методы защиты информации в системе конфиденциального документооборота…

77

Выводы по главе…. 79

Заключение…. 82

Список использованных источников и литературы… 87

Введение

ВВЕДЕНИЕ

Актуальность темы. Электронные документы все шире используются в корпоративной среде и в государственном управлении, вытесняя бумажные аналоги. Традиционные бумажные технологии делопроизводства и архивирования постепенно уходят в прошлое. Однако сегодня, в условиях глобализации, роста объема информации, активизации информационного обмена, электронные документы подвергаются серьезным угрозам безопасности.

Так, развитие технологий Web, XML, мобильной и беспроводной связи, стандартизация форматов данных и протоколов их обмена делают информационную среду организаций всё более открытой и беззащитной перед Интернетом.

В распространившихся системах автоматизированного управления электронными документами накапливается и обрабатывается огромный объём внутренней корпоративной информации. В то же время рост емкости и миниатюризация носителей памяти, увеличение мощности каналов связи предоставляют широкие технические возможности для краж данных недобросовестными сотрудниками.

В таких условиях всё большее значение приобретают технологии защиты систем электронных документов как от внешних, так и от внутренних угроз. Следует учитывать, что электронные документы являются, по сути, говоря, наборами единиц и нулей, и к ним невозможно применять такие традиционные методы защиты, как оттиск печати, собственноручная подпись и водяные знаки на бумаге. Вместо указанных средств используются электронная цифровая подпись, цифровые отпечатки и другие, технические и организационные методы, учитывающие специфику жизненного цикла электронных документов и их носителей.

Система управления электронными документами, как правило, представляет собой сложную систему, включающую логически единую базу данных, находящуюся в сети, где над ней производится многопользовательская обработка. По мнению экспертов компании Perimetrix, российского разработчика систем защиты корпоративных секретов от внутренних нарушителей, одним из важнейших принципов построения и эксплуатации систем управления электронными документами является принцип системности.

Он подразумевает необходимость защиты электронных документов на всех этапах их жизненного цикла – от создания, обработки и хранения до передачи по каналам связи и уничтожения. Такая защита включает как технические средства, так и меры организационного характера, и должна быть направлена и на сами документы, и на программный комплекс электронного документооборота.

Система защиты системы управления электронным документооборотом должна обеспечивать конфиденциальность (гарантию доступа к данным только определенных лиц), целостность (защиту от случайных и преднамеренных искажений и подмен) и готовность (возможность в любое время пользоваться документами в соответствии с установленной политикой безопасности) объектов систем управления электронными документами. Надо отметить, что обеспечение аутентичности и конфиденциальности электронных документов необходимо не только для защиты от утечек и потерь, но и для придания документам юридической силы.

При построении систем управления электронным документооборотом большое значение имеет принцип равнопрочности всех звеньев цепи защиты. Он означает, что следует учитывать все виды рисков, включая вирусное заражение, SQL-инъекции, незаконное копирование, непреднамеренные ошибки, ведущие к искажениям, отказы аппаратных и программных средств и т. д. Защита только от части угроз делает систему безопасности неэффективной, а инвестиции в неё бесполезными.

В наше время информация становится все более ценным экономическим активом. Желанной целью злоумышленников является несанкционированный доступ к электронным документам как из-за пределов корпоративной сети, так и внутри ее периметра. Открытость информационной среды и современные технические средства дают дополнительные возможности для осуществления утечек и порчи документов.

Однако растут возможности и средств защиты. Соблюдение системы принципов при проектировании систем электронного документооборота позволяет создать максимально защищенное хранилище электронных документов, не снижая при этом продуктивность других бизнес-процессов, благодаря чему инвестиции в систему безопасности оправдываются.

Таким образом, актуальность дипломной работы обуславливается важностью применения современных технологий информационной безопасности в современных системах управления электронными документами.

Обзор источников и литературы. При подготовке дипломной работы были рассмотрены основные законы РФ, ГОСТЫ, международные стандарты, регламентирующие применение средств защиты информации в системах управления электронным документооборотом.

Нормативно-правовой акт, регламентирующий информационные технологии и защиту информации – это «Федеральный закон РФ «Об информации, информатизации, информационных технологиях и о защите информации» от 27. 07. 2006 № 149-ФЗ/РГ от 15.08.2006. Настоящий закон регулирует отношения, связанной с защитой информации, прав субъектов, участвующих в информационных процессах и информатизации.

Федеральный закон РФ «Об электронной цифровой подписи», устанавливает правовые основы использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

Были рассмотрены такие международные стандарты, регламентирующие информационную безопасность в системах электронного документооборота, как ISO/IEC 177999:2002, который является на сегодняшний день основным международным стандартом информационной безопасности. А также германский стандарт BSI, международный стандарт ISO 15408 и др.

Были проанализированы и изучены и российские стандарты безопасности информационных технологий, такие как: ГОСТ Р ИСО/МЭК 15 408-1-2002, а также его втора часть, ГОСТ Р 50739-95 , ГОСТ Р 34.10-2001 , а также другие ГОСТы.

При подготовке к дипломной работе были изучены авторов по информационным технологиям, в которых рассматриваются технологии защиты информации в системах управления электронными документами, таких как: Корнеев И.К., Свириденко С.С., Фридлан А.Я., Семёнов М.И. и др.

Информационной безопасности в системах управление электронными документами посвящена работа Иванова П.С., также данный аспект рассматривается в работе Дж. Саттона.

Таким образом, вопросам информационной безопасности в системе управления документами, как в аспекте стандартизации, так и в аспекте технологий защиты, в настоящее время посвящено много работ, что свидетельствует о важности и актуальности данной тематики.

Объект исследования – системы управления электронными документами.

Предмет исследования – информационная безопасность.

Цель исследования – анализ методов и технологий, используемых для защиты информации в СУЭД.

Исходя из цели дипломной работы, ставятся следующие задачи:

o проанализировать методы и технологии, используемые для защиты информации в АИС;

o рассмотреть стандарты в области защиты информации, используемые в СУЭД;

o проанализировать использование методов защиты информации, включая ЭЦП;

o провести обзор систем защиты информационной безопасности в готовых решениях СУЭД.

В качестве методов при исследовании были использованы – методы системного анализа, структурно-функционального анализа, метод классификации, метод сравнительного анализа.

В соответствии с поставленными задачами была выбрана следующая структура дипломной работы.

В первой главе рассматриваются основные угрозы информационной безопасности, а также методы и технологии защиты информации в системах электронного управления документами.

Во второй главе рассматриваются основные международные и отечественные стандарты в области информационной безопасности, в области защиты информации в Интернете, стандарты криптографии и аутентификации.

В третьей главе проводится обзор систем защиты информации в существующих разработках СУЭД.

В заключении подводятся итоги решения выполненных задач.

Заключение

ЗАКЛЮЧЕНИЕ

По результатам анализа технологий и методов защиты в АИС выявлено следующее.

Для реализации средств безопасности в АИС от несанкционированных воздействий, оказываемых на вычислительную технику и каналы связи (прочтение информации в сетевых пакетах, изменение содержания полей данных в сетевых пакетах, подмена отправителя/получателя), наибольшее распространение получили криптографические средства защиты.

Механизм криптографической защиты на сетевом уровне корпоративной вычислительной сети строится на сертифицированных ФАПСИ, то есть, аппаратно-программных комплексах, которые обеспечивают защиту информации.

В практической деятельности в АИС применение мер и способов защиты информации включает следующие самостоятельные направления:

1. Защита конфиденциальной информации от несанкционированного доступа и модификации призвана обеспечить решение одной из наиболее важных задач - защиту хранимой и обрабатываемой в вычислительной технике информации от всевозможных злоумышленных покушений, которые могут нанести существенный экономический и другой материальный и нематериальный ущерб. Основной целью этого вида защиты является обеспечение конфиденциальности, целостности и доступности информации.

2. Защита информации в каналах связи направлена на предотвращение возможности несанкционированного доступа к конфиденциальной информации, циркулирующей по каналам связи различных видов между различными уровнями управления АИС или внешними органами.

3.Защита юридической значимости электронных документов оказывается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы и другие распорядительные, договорные, финансовые документы.

4. Защита информации от утечки по каналам побочных электромагнитных излучений и наводок является важным аспектом защиты конфиденциальной и секретной информации в вычислительной технике от несанкционированного доступа со стороны посторонних лиц.

К специальным мерам информационной безопасности в СУЭД можно отнести: управление списками контроля доступа; обеспечение безопасности хранилища; обеспечение безопасности папок с файлами; обеспечение безопасности документа; обеспечение безопасности системной информации; обеспечение безопасности индивидуальных параметров поиска; обеспечение безопасности на уровне групп; обеспечение безопасности на уровне пользователя; обеспечение безопасности протоколов работы; обеспечение безопасности протокола работы сервера.

По результатам анализа стандартов информационной безопасности выявлено следующее.

В последнее время в разных странах появилось новое поколение стандартов, посвященных практическим вопросам управления информационной безопасностью компании. Это, прежде всего, международные стандарты управления информационной безопасностью ISO 15408, ISO 17799 и некоторые другие.

Международный стандарт ISO/IEC 17799:2000 «Управление информационной безопасностью - Информационные технологии» («Information technology - Information security management») является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта ВS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» («Information security management – Code of practice for information security management») и относится к новому поколению стандартов информационной безопасности компьютерных ИС.

В 2002 г. международный стандарт IS0 17799 был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях. По мнению специалистов, обновление международного стандарта IS0 17799 (ВS 7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.

В 1990 г. Международная организация по стандартизации (IS0) приступила к разработке международного стандарта по критериям оценки безопасности ИТ для общего использования. В разработке участвовали:

Первые две версии были опубликованы соответственно в январе и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. Международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IЕС 15408 под названием «Общие критерии оценки безопасности информационных технологий», или «Соmmon Criteria».

«Общие критерии» (ОК) обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.

В Интернете уже давно существует ряд комитетов, в основном из организаций-добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета LЕТF провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете.

Непосредственными результатами усилий LЕТF являются такие протоколы, как семейство ТСР/IР для передачи данных, SМТР и РОР для электронной почты, а также SНМР для управления сетью.

Российский стандарт ГОСТ Р ИСО/МЭК 15468-2002 «Критерии оценки безопасности информационных технологий» действует в России с января 2004 г. и является аналогом стандарта ISO 15408. ГОСТ Р ИСО/ МЭК 15408, называемый также «Общими критериями» (ОК), является на сегодня самым полным стандартом, определяющим инструменты оценки безопасности ИС и порядок их использования.

Обзор использования систем защиты информации, используемых в разработанных и эксплуатируемых в делопроизводстве и документообороте систем показал следующее.

В системе «Дело» используется программно-аппаратный комплекс «Мастер Паролей» компании Рускард. С «Дело» может использоваться как однопользовательская, так и корпоративная версия комплекса. Помимо повышения уровня защищенности информации, упрощается администрирование сети и работа сотрудников.

В настоящее время проводится интеграция комплекса с модулем криптографической защиты информации - криптопровайдером «КриптоПро CSP».

Надо отметить, что КриптоПро УЦ – это первый в России программный комплекс успешно прошедший сертификационные испытания на соответствие требованиям по информационной безопасности.

Инфраструктура Открытых Ключей (Public Key Infrastructure) - основа внедрения и управления системами криптографической защиты информации.

При помощи сертифицированного КриптПро CSP исходящие и внутренние документы защищаются ЭЦП и/или шифруются. Компания Рускард совместно с компаниями «Крипто-Про» и «Атлас-Телеком» проводит работы по взаимной интеграции криптопровайдера, комплекса Мастер Паролей и карты РИК (Российская Интеллектуальная Карта) – разработки ФГУП НТЦ «Атлас». Это даст возможность пользователям системы «Дело» отказаться от такого неудобного и ненадежного (но пока еще часто используемого) носителя ключей и сертификатов как дискета.

Защита данных в среде Lotus Notes реализуется на всех уровнях: сервер, база данных, форма, документ, секция документа и отдельное поле. Доступ пользователей к информации в БОСС-Референте может быть ограничен на уровне сервера, модуля (БД), документа и поля в документе. Эти возможности реализуются с помощью стандартных средств Lotus Domino/Notes. Защиту обеспечивают также входящие в платформу Lotus Domino/Notes механизмы протоколирования всех действий пользователей с документами (чтение, редактирование и т. д.). Система позволяет разграничить права пользователей на выполнение функций по обработке документа.

Инфраструктура Locker предназначена для подключения внешних по отношению к Lotus Domino средств криптозащиты информации (в базовом варианте Крипто-Про, возможны и другие варианты) и авторизации пользователей, имеющих сертификаты, соответствующие требованиям стандартов и руководящих документов ФСТЭК и ФСБ России.

В системе «Оптима» окументы, правила их обработки, маршруты рассылки и служебная информация защищены системой от преднамеренного и непреднамеренного вмешательства. Поддерживаются стандарты защиты, принятые для систем гарантированной стойкости (класс C2 - на уровне Windows NT). Используются методы криптографической защиты и средства «электронной подписи». Система Optima-WorkFlow совместима со специальными средствами защиты информации, что позволяет согласовать ее использование с уже действующими стандартами безопасности («Оптима» имеет лицензии ФСБ, ФАПСИ и Гостехкомиссии при Президенте РФ на деятельность в области защиты информации).

Таким образом, информация в современных СУЭД надёжна защищена, так как постоянно разрабатываются новые системы защиты информации.

Список литературы

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ:

Нормативно-правовые и нормативно-методические источники

1. Конституция РФ от 12.12. 1993//Российская газета. 1993. 25 декабря.

2. Федеральный закон РФ «Об информации, информатизации, информационных технологиях и защите информации» от 27. 07. 2006 № 149-ФЗ / РГ от 15.08.2006.

3. Федеральный закон «Об электронной цифровой подписи» от 10.02.2002. № 1-ФЗ//СЗ РФ. 2002. №. 2. Ст. – 324.

4. ISO/IEC 17799:2002. Управление информационной безопасностью – Информационные технологии.

5. ISO 15408 Общие критерии безопасности информационных технологий.

6. ГОСТ 28147-89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

7. ГОСТ Р 34.10.- 94. Информационные технологии. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма.

8. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации.

9. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности.

10. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации.

Литература и периодические издания:

11. Астахов А.М. Безопасность информационных систем. – СПб., Питер. 2007. – С.184.

12. Бутенко И.А. БОСС-Референт. – М., Росархив ВНИИДАД.

13. Гагарина Л.Г, Кисилёв Д.В, Федотова Е.Л. Разработка и эксплуатация автоматизированных информационных систем – М., ИНФРА-М. 2007.

14. Гайдамакин Н.А. Автоматизированные информационные системы, базы и банки данных. – М.: Гелиос. 2002.

15. Галатенко В.А. Информационная безопасность – М., Кнорус. 2008.

16. Галицкий А.В., Рябко С. Д. Защита информации в сети. – М., ДМК ПРЕСС. 2004.

17. Грязнов Е.С. Панасенко С. П. Безопасность локальных сетей//Мир и безопасность. 2003. №2

18. Дж. М. Саттон Корпоративный документооборот. М., Азбука 2002.

19. ЗегеждаД.П, Ивашко А.М. Основы безопасности информационных систем. – М., Телеком 2000.

20. Зима В.М, Молдовян А.А. Компьютерные сети и защита передаваемой информации. – М., ИНФРА-М. 2003.- С.61

21. Иванов П.С. Защита информации в СУЭД. – СПб., Питер. 2006.

22. Избачков Ю., Петров В. Информационные системы. – М.: Питер. 2007.

23. Информатика для экономистов/Под ред. Матюшка В.М. – М.: ИНФРА-М. 2007. – С. 792-

24. Козырев А.А. Информационные технологии в экономике и управлении. – СПб.: Питер. 2006.

25. Коноплёва И.А., Хохлова О.А., Денисов А.В. Информационные технологии – М.: Проспект. 2007.

26. Коноплёва И.А., Хохлова О.А., Денисов А.В. Информационные технологии – М.: Проспект. 2007.

27. Коноплёва И.А., Хохлова О.А., Денисов А.В. Информационные технологии – М.: Проспект. 2007.

28. Корнеев И.К. Информационные технологии в управлении. – М.: ИНФРА-М. 2004.

29. Кузнецов И.Н. Офисная документация. – Мн,: Книжный дом. 2004.

30. Мельников Ю.П. Общие методы защиты информации в АИС. – М.: ИНФРА – М. 2008.

31. Милославская Н. Интрасети, доступ к Интернет, защита. – М.: ЮНИТИ. 2005.

32. Монин С. Защита информации. – М. ИНФРА-М

33. Острейковский В.А. Информатика. – М.: Высшая школа. 2000

34. Панасенко С.П. Вновь об ЭЦП: Стандарт Х. 509//Системы безопасности , связи и телекоммуникаций. 2003. № 3.

35. Партыка Т.Л., Попов И.И. Информационная безопасность. – М.: ИНФРА-М. 2003.

36. Петренко С.А.Реорганизация корпоративных систем безопасности// Конфидент. 2002. № 2.

37. Попов И.И. Автоматизированные информационные системы. – М., ИНФРА-М. 2008.

38. Свириденко С.С. Информационные технологии – М.: МНЭПУ. 2006.

39. Семёнов М.И. Автоматизированные информационные системы. – М.: Финансы и статистика. 2006.

40. Семёнов М.И. Автоматизированные информационные технологии. – М.: Финансы и статистика. 2005.

41. Система автоматизации делопроизводства и документооборота «Дело»// - h**t:w*w. eos.r*

42. Трифаленко И, Зайцева Н. Функциональная безопасность корпоративных систем//Открытые системы. 2002. № 7-8.

43. Фридлан А.Я. Информатика и компьютерные технологии. М.: АСТ. 2005.

44. Фролов А., Фролов Г. Защита от компьютерных вирусов//BYTE. Россия. 2002. № 9.

45. Хотинская Г.И. Экономическая информатика. – М.: ПРИОР. 2005.

46. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей – М., ИНФРА-М. 2008.

47. Шаньгин В.Ф. Информационная безопасность – М., ИНФРА-М. 2008.

48. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей. – М., ИНФРА-М. 2008

49. h**t:w*w. Intertrust Locer

50. h**t:w*w. Optima.r*