Разработки компании «Интер-Траст» в сфере электронного документооборота. Встраиваемые модули системы «Company Media»

13       Разработки компании «Интер-Траст» в сфере электронного документооборота. Встраиваемые модули системы «Company Media»

«ИнтерТраст» является производителем системы электронного документооборота CompanyMedia, которая создана в строгом соответствии с государственными стандартами в области делопроизводства. При ее разработке проводились консультации со специалистами Всероссийского НИИ документоведения и архивного дела (ВНИИДАД).

CompanyMedia имеет четыре сертификата качества Госстандарта РФ по системе МОЛСЕМ на системы «CompanyMedia-Делопроизводство», «CompanyMedia-Проекты», «CompanyMedia-Планирование», «CompanyMedia-Управление персоналом».

Преимущества организации электронного документооборота на основе CompanyMedia по сравнению с традиционным документооборотом очевидны:

- сотрудники пользуются едиными базами данных, что позволяет быстро получать документ, созданный коллегами;

- с помощью системы электронного документооборота удобно контролировать исполнение документа;

- руководитель всегда знает, где сейчас находится его документ и кто его исполнитель;

- система вовремя сообщает о сроках исполнения документа/поручения, автоматически создавая документнапоминание.

14       Угрозы информационной безопасности и принципы, методы, технологии их предотвращения в электронном документообороте

Понятие «информационная безопасность» рассматривается в следующих значениях:

·          состояние (качество) определённого объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.);

·          деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации»).

Организационно-технические и режимные меры и методы

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy)— совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy)— правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

·          Защита объектов информационной системы;

·          Защита процессов, процедур и программ обработки информации;

·          Защита каналов связи;

·          Подавление побочных электромагнитных излучений;

·          Управление системой защиты.

При этом, по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

·          Определение информационных и технических ресурсов, подлежащих защите;

·          Выявление полного множества потенциально возможных угроз и каналов утечки информации;

·          Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

·          Определение требований к системе защиты;

·          Осуществление выбора средств защиты информации и их характеристик;

·          Внедрение и организация использования выбранных мер, способов и средств защиты;

·          Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, огранизацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Программно-технические способы и средства обеспечения информационной безопасности.

В литературе предлагается следующая классификация средств защиты информации.

Средства защиты от несанкционированного доступа (НСД):

·          Средства авторизации;

·          Мандатное управление доступом;

·          Избирательное управление доступом;

·          Управление доступом на основе ролей;

·          Журналирование (так же называется Аудит).

·          Системы анализа и моделирования информационных потоков (CASE-системы).

·          Системы мониторинга сетей:

·          Системы обнаружения и предотвращения вторжений (IDS/IPS).

·          Анализаторы протоколов.

·          Антивирусные средства.

·          Межсетевые экраны.

·          Криптографические средства:

·          Шифрование;

·          Цифровая подпись.

·          Системы резервного копирования.

·          Системы бесперебойного питания:

·          Источники бесперебойного питания;

·          Резервирование нагрузки;

·          Генераторы напряжения.

·          Системы аутентификации:

·          Пароль;

·          Сертификат;

·          Биометрия.

·          Средства предотвращения взлома корпусов и краж оборудования.

·          Средства контроля доступа в помещения.

·          Инструментальные средства анализа систем защиты:

·          Мониторинговый программный продукт.