Правовой режим защиты систем электронного документооборота

Особенности защиты электронного документооборота

экономические науки

Альшанская Татьяна Владимировна , кандидат наук, доцент
Захарова Анна Вячеславовна , студент
Юмаева Лилия Рифатевна , студент
Поволжский Государственный Университет Сервиса

СИСТЕМА ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
УГРОЗЫ СЭД
АУТЕНТИФИКАЦИЯ
ЭЛЕКТРОННО-ЦИФРОВАЯ ПОДПИСЬ

Похожие материалы

Внедрение системы электронного документооборота (СЭД), позволяет приобрести огромную гибкость в обработке и хранении информации. В то же время, СЭД порождает новые риски, и пренебрежения защитой обязательно приведет к новым угрозам конфиденциальности. Базовый элемент любой СЭД — документ, внутри системы это может быть файл, а может быть запись в базе данных. Говоря о защищенном документообороте, часто подразумевают именно защиту документов, защиту той информации, которую они в себе несут. В этом случае все сводится к уже банальной (хотя и не простой) задаче защиты данных от несанкционированного доступа. К защите системы электронного документооборота необходим комплексный подход, который подразумевает защиту на всех уровнях СЭД. Начиная от защиты физических носителей информации, данных на них, и заканчивая организационными мерами.

Угрозы для системы электронного документооборота достаточно стандартны и могут быть классифицированы следующим образом:

Рис. 1. Угрозы для системы электронного документооборота

Защиту именно от этих угроз в той или иной мере должна реализовывать любая система электронного документооборота. При этом, с одной стороны, внедряя СЭД, упорядочивая и консолидируя информацию, увеличиваются риски реализации угроз, но с другой стороны, упорядочение документооборота позволяет выстроить более качественную систему защиты.

Возможна реализация угроз в разных классах: угрозы конфиденциальности, угрозы целостности. Любая СЭД должна предусмотреть механизм защиты от основных ее угроз: обеспечение сохранности документов, обеспечение безопасного доступа, обеспечение подлинности документов, протоколирование действия пользователей.

Безопасный доступ к данным внутри СЭД обеспечивается аутентификацией и разграничением прав пользователя. Процессы установления личности пользователя и процессы подтверждения легитимности пользователя на то или иное действие или информацию называется аутентификацией. Под аутентификацией понимается весь комплекс мероприятий, проводимых как на входе пользователя в систему, так и постоянно в течение его дальнейшей работы. Самый распространенный из них — парольный. Основные проблемы, которые сильно снижают надежность данного способа — это человеческий фактор.

Самый старый из известных миру способов аутентификации — имущественный. Существует множество решений для имущественной аутентификации пользователя: это всевозможные USB-ключи, смарт-карты, «таблетки» магнитные карты, в том числе используются и дискеты, и CD.

Максимально надежный для проведения идентификации и последующей аутентификации способ — биометрический, при котором пользователь идентифицируется по своим биометрическим данным (это может быть отпечаток пальца, сканирования сетчатки глаза, голос).

Читать еще: Какие существуют методы реализации антивирусной защиты

Еще один важный параметр аутентификации — количество учитываемых факторов. Процесс аутентификации может быть однофакторным, двухфакторным и т.д. Также возможно комбинирование различных методов: парольного, имущественного и биометрического. Так, например, аутентификация может проходить при помощи пароля и отпечатка пальца (двухфакторный способ).

В любой системе обязательно должно быть предусмотрено разграничение прав пользователя. Разграничение прав внутри системы технически устраивают по-разному: это может быть полностью своя подсистема, созданная разработчиками СЭД, или подсистема безопасности СУБД, которую использует СЭД. Иногда их разработки комбинируют, используя свои разработки и подсистемы СУБД. Такая комбинация предпочтительнее, она позволяет закрыть минусы подсистем безопасности СУБД.

Огромным преимуществом для конфиденциальности информации обладают криптографические методы защиты данных. Их применение позволят не нарушить конфиденциальность документа даже в случае его попадания в руки стороннего лица.

Сегодня основным и практически единственным предлагаемым на рынке решением для обеспечения подлинности документа является электронно-цифровой подписи (ЭЦП). Основной принцип работы ЭЦП основан на технологиях шифрования с ассиметричным ключом, т.е. ключи для шифрования и расшифровки данных различны. Имеется «закрытый» ключ, который позволяет зашифровать информацию, и имеется «открытый» ключ, при помощи которого можно эту информацию расшифровать, но с его помощью невозможно «зашифровать» эту информацию. Таким образом, владелец «подписи» должен владеть «закрытым» ключом и не допускать его передачу другим лицам, а «открытый» ключ может распространяться публично для проверки подлинности подписи, полученной при помощи «закрытого» ключа. Таким образом, подписать электронный документ с использованием ЭЦП может только обладатель «закрытого ключа», а проверить наличие ЭЦП — любой участник электронного документооборота, получивший «открытый ключ», соответствующий «закрытому ключу» отправителя. Подтверждение принадлежности «открытых ключей» конкретным лицам осуществляет удостоверяющий центр — специальная организация или сторона, которой доверяют все участники информационного обмена.

Основное отличие в системах защиты — это алгоритмы, применяемые в шифровании и ЭЦП. Практически все системы обладают парольной аутентификацией и разграничением доступа пользователей. Некоторые из них имеют также возможности интеграции с Windows-аутентификацией, что дает возможность пользоваться дополнительными средствами аутентификации, поддерживаемыми Windows. Не все из перечисленных решений имеют свою криптографическую защиту — шифрование документов или ЭЦП.

Подход к защите электронного документооборота должен быть комплексным. Защита СЭД не сводится только лишь к защите документов и разграничению доступа к ним. Остаются вопросы защиты аппаратных средств системы, персональных компьютеров, принтеров и прочих устройств; защиты сетевой среды, в которой функционирует система, защита каналов передачи данных и сетевого оборудования, возможно выделение СЭД в особый сегмент сети. Комплекс организационных мер играют роль на каждом уровне защиты.

Читать еще: Наибольшее допустимое время защитного автоматического отключения

Электронное периодическое издание зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), свидетельство о регистрации СМИ — ЭЛ № ФС77-41429 от 23.07.2010 г.

Соучредители СМИ: Долганов А.А., Майоров Е.В.

Организация правового режима защиты систем электронного документооборота

Список использованной литературы. Анализ законодательства России о правовой защите информации с использованием ТС. Правовые основы применения средств аутентификации, авторизации и администрирования. Защита систем и средств электронного документооборота. Заключение. Введение. Регламентация использования систем и средств электронной цифровой подписи. Читать ещё >

Организация правового режима защиты систем электронного документооборота ( реферат , курсовая , диплом , контрольная )

Содержание

Введение
1. Регламентация использования систем и средств электронной цифровой подписи
2. Защита систем и средств электронного документооборота
3. Правовые основы применения средств аутентификации, авторизации и администрирования
4. Анализ законодательства России о правовой защите информации с использованием ТС
Заключение
Список использованной литературы

Задача перехода от бумажного к электронному документообороту стоит сегодня перед многими организациями, как коммерческими, так и государственными. Внедрение электронного документооборота позволяет улучшить контроль над движением и исполнением документов, значительно упростить и ускорить доступ к информации и, как следствие, повысить эффективность управления. Это важно для бизнеса и не менее важно для государства. Поэтому предусмотрены работы по обеспечению электронного документооборота в органах государственной власти всех уровней. Электронный документооборот в нашей стране регулируется такими законами, как ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ФЗ «Об электронной цифровой подписи». Косвенно электронного документооборота также касается закон «О лицензировании отдельных видов деятельности», устанавливающий обязательность лицензирования деятельности по выдаче сертификатов ключей ЭЦП, регистрации владельцев ЭЦП, оказанию услуг, связанных с использованием ЭЦП, и подтверждению подлинности ЭЦП. Кроме того, есть целый ряд ГОСТов. .10.4−84 «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники», определяющий требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинных носителях, информации, создаваемым средствами вычислительной техники, а также порядок внесения изменений в указанные документы; «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования»; ГОСТ Р 34.10−94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

Сегодня основным и практически единственным предлагаемым на рынке решением для обеспечения подлинности документа является электронно-цифровой подписи (ЭЦП).

Читать еще: Защита информации от несанкционированного доступа

Организация правового режима защиты систем электронного документооборота

Пример готовой курсовой работы по предмету: Информационные технологии

Содержание

1. Регламентация использования систем и средств электронной цифровой подписи…5

2. Защита систем и средств электронного документооборота… 9

3. Правовые основы применения средств аутентификации, авторизации и администрирования…12

4. Анализ законодательства России о правовой защите информации с использованием ТС…14

Список использованной литературы…20

Выдержка из текста

Кроме того, есть целый ряд ГОСТов. .10.4−84 «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники», определяющий требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинных носителях, информации, создаваемым средствами вычислительной техники, а также порядок внесения изменений в указанные документы; «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования»; ГОСТ Р 34.10−94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

Список использованной литературы

Список использованной литературы:

1.Гражданский кодекс Российской Федерации N 51-ФЗ.

2.Федеральный закон от

1. января 2002 «Об электронной цифровой подписи».

3.Александр Самодуров «Средства защиты информации и бизнеса», Журнал «Сnews», № 6, 2006, 18−24с.

4.Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных /П.Ю.Белкин, О.О.Михальский, А.С. Першаков и др.-М.: Радио и связь, 2009.- с.385

5.Хисамов Ф.Г. Макаров Ю.П. Оптимизация аппаратных средств криптографической защиты информации //Системы безопасности. -2004. — февраль-март № 1 (55) — 108−115с.

голоса

Рейтинг статьи