36. Технологические основы обработки электронных документов. Электронное защищенное делопроизводство. Состав. Функции.

Электронное делопроизводство - делопроизводство, где основным носителем информации выступает электронный документ, вспомогательным — бумажный документ, а исполнителями предписанных инструкций являются — человек, компьютер и компьютерная сеть.

Не все!!!!!!!!

37. Состав комплексной системы защиты (КСЗИ) объекта информатизации (ОИ). Этапы создания. Организационно-нормативная документация. Аттестационные испытания ОИ: АС различного уровня и назначения; системы связи, отображения и размножения с помещениями.

Комплексная система защита информации (КсЗИ) – совокупность людей, процедур и оборудования, защищающих информацию от несанкционированного доступа, модификации либо отказа доступа.

ЗАДАЧИ КЗИ:

• Регламентация действий пользователей;

• Установление юридической ответственности за выполнение правил ИБ;

• Явный и скрытый контроль за порядком информационного обмена;

• Блокирование каналов утечки информации;

• Выявление закладных устройств в ТС и ПО;

• Непрерывный контроль и управление КЗИ.

• Обнаружение зондирований, навязываний и излучений;

• Санкционированный доступ в физическое и информационное пространство;

• Обнаружение возгораний, затоплений и иных ЧС;

• Обеспечение резервирования информации;

• Организация оборота физических носителей защищаемой информации;

• Обеспечение достоверности электронного документооборота, ЭЦП;

• Шифрование информации на любых этапах обработки;

• Восстановление ключевых структур при компрометации;

• Генерация, распределение и хранение ключей и паролей;

• Регистрация событий и обнаружение нарушений;

• Расследование во взаимодействии с ПОО нарушений политики безопасности;

• Непрерывный контроль и управление КЗИ.

Стратегия – общая направленность в организации деятельности с учетом объективных потребностей, возможных условий осуществления и возможностей предприятия.

В иды стратегий:

• Оборонительная - защита от уже известных угроз, осуществляемая автономно, без влияния на существующую ИС;

• Наступательная - защита от всего множества потенциальных угроз;

• Упреждающая - создание информационной среды, в которой угрозы не имеют условий для возникновения.

Принципы построения КЗИ:

• Простота механизма защиты

• Постоянство защиты

• Полнота контроля

• Открытость проектирования

• Идентификация

• Разделение полномочий

• Минимизация полномочий

• Надежность

• Максимальная обособленность

• Защита памяти

• Непрерывность

• Гибкость

• Неизбежность наказания нарушений

• Экономичность

• Специализированность

Структура КЗИ: информация – документ- режим – программа – аппарат- охрана – техника – инженерные сооружения.

Характеристики КСЗИ:

• Надежность

эшелонированность, многоуровневость

• Отказоустойчивость

минимизация последствий отказов рубежей защиты

• Равнопрочность

нарушитель должен преодолевать рубежи защиты с одинаковой трудностью, независимо от направления атаки.

Этапы Разработки:

• Анализ конфиденциальности

• Анализ уязвимости

• Анализ ресурсов защиты

• Оценка возможности технической защиты

• Оценка возможности программной защиты

• Оценка возможности организационной защиты

• Распределение ответственности за защиту

• Реализация выборки мер защиты

• Создание условий необходимых для ЗИ

• Проверка и оценка принятых решений по ЗИ.

Этапы разработки:

I. Определение информации, подлежащей защите

II. Выявление полного множества угроз и критериев утечки информации

III. Проведение оценки уязвимости и рисков информации по имеющимся угрозам и каналам утечки

IV. Определение требований к комплексной защите

V. Осуществление выбора средств защиты информации и их характеристик

VI. Внедрение и организация использования выбранных мер, способов и средств защиты

VII. осуществление контроля целостности и управление системой защиты.

Организационно-нормативная защита

При обеспечении безопасности информационной системы, необходим комплексный подход, включающий как технические, так и организационно-нормативные меры обеспечения безопасности. Нормативная защита систем включает разработку и внедрение ряда документов, определяющих порядок взаимодействия со средствами безопасности, категорирующих данные по уровням конфиденциальности, регламентирующих действия сотрудников в тех или иных ситуациях, связанных с безопасностью. Так как большинство угроз (80%) исходит от внутреннего персонала организации, следует определить нормативную базу документов и донести содержимое этих документов до сотрудников организации. Это намного уменьшает риск того, что данные будут случайно скомпрометированы пользователями, а разработка правовых документов, определяющих ответственность персонала, позволит уменьшить риск причинения намеренного вреда информационной системе.

Определяющими признаками, по которым производится группировка автоматизированных систем, являются:

- иналичие в АС информации различного уровня конфиденциальности;

- уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

- режим обработки данных в АС: коллективный или индивидуальный.

Группы, отличаются следующими особенностями обработки информации:

- третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности;

- вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности;

- первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС.