Совершенствование системы электронного документоооборота

Обозначения и сокращения 2
Введение 3
1 Системы электронного документооборота и их защита 5
1.1 Классификация систем электронного документооборота 5
1.2 Существующие системы электронного документооборота. 12
2 Выбор средств и методов защиты информации в системах документооборота 24
2.1 Теоретические сведения о защите информации 24
2.1.1 Основные понятия защиты информации 24
2.1.2 Угрозы информационной безопасности 30
2.2 Средства и методы защиты информации 34
2.2.1 Организация физических средств защиты информации 36
2.2.2 Аппаратные средства защиты информации 37
2.2.3 Программные средства защиты информации 41
2.2.4 Криптографические средства защиты информации 42
3 Организация защиты информации в системах электронного документооборота 44
3.1 Организация контура антивирусной защиты 44
3.1.1 Антивирусная защита с помощью Dr.Web Enterprise Security Suite 45
3.1.2 Антивирусная защита с помощью Kaspersky Endpoint Security 57
Заключение 63
Список литературы 65

Введение
Основой для реализации эффективной стратегии управления современной организацией признается оперативное коммуникативное взаимодействие структурных подразделений и внешних аудиторий. Построение единого информационного пространства организации, включающего хранилище корпоративной информации с обеспечением удобного поиска и предоставляющего возможность оперативного взаимодействия персонала в единой системе, является одной из основных задач управления.
Эти процессы неотделимы от новых технологий обработки информации, охватывающих практически все направления деятельности и позволяющих формировать единую информационно-коммуникационную среду организации.
В рамках информационного менеджмента все информационное поле предприятия/организации, понимаемое как совокупность входящей, исходящей и внутренней информации, отражающей деятельность организации, рассматривается в качестве стратегического ресурса предприятия.
...

1.1 Классификация систем электронного документооборота
Попытки классификации систем электронного документооборота содержатся во многих публикациях, но единой, общепризнанной пока не существует. Это вызвано прежде всего динамичностью данного сегмента рынка. По оценкам специалистов, на сегодняшний день рынок СЭД является одним из самых активно развивающихся сегментов отечественной ИТ-отрасли. Здесь же необходимо упомянуть о ECM-системах (Enterprise Content Management, или управление корпоративным контентом). Соотношение понятий СЭД и ECM – вопрос дискуссионный, но на отечественном рынке эти системы в большинстве случаев позиционируются как аналоги. В 2016 г., несмотря на некоторое замедление, связанное с общеэкономической ситуацией, по сравнению с другими рынками корпоративного программного обеспечения (например, CRM- и ERP-системами) рынок СЭД показал самый высокий рост.
...

1.2 Существующие системы электронного документооборота.
В настоящее время в отечественной ИТ-отрасли одним из наиболее динамичных направлений является рынок систем электронного документооборота (СЭД). Именно электронный документооборот является, по сути, кровеносной системой государственного или коммерческого предприятия. Объем рынка СЭД в России, по разным оценкам, составляет порядка 26 млрд рублей, из которых порядка 75% приходится на услуги по внедрению и около 25% – непосредственно на продажи лицензий. В структуре рынка большая часть продаж приходится на долю крупных предприятий (порядка 45-50%). Госсектор практически полностью занимает другую половину рынка (порядка 40-45%), оставляя SMB не более 10-15%.
Конкуренция на рынке СЭД сегодня довольно плотная. При этом более 60% рынка контролируют пять компаний: EMC, Cognitive Technologies, «1С», Directum и Microsoft. При этом известно, что EMC и Microsoft представлены на рынке СЭД тиражируемыми решениями компаний-партнеров.
...

2.1.1 Основные понятия защиты информации
Деятельность развитого государства невозможна без высокого уровня информационного обеспечения всех его политических, экономических, силовых, социальных структур, отдельных организаций и граждан. Эта задача решается путем информатизации общества.
Информатизация – это процесс обеспечения информационных потребностей государства, общества, личности на основе применения новейших информационных технологий.
Информатизация базируется на национальных информационных ресурсах и обеспечивается посредством информационных систем и телекоммуникационных сетей.
Информационные ресурсы – это отдельные документы и массивы документов, документы и массивы документов информационных в системах (библиотеках, архивах, фондах, банках, банках данных и т. п.).
...

2.1.2 Угрозы информационной безопасности
На защищаемую информацию могут оказываться различные преднамеренные и непреднамеренные воздействия как со стороны организованного нарушителя, так и со стороны сил природы. Пути реализаций воздействий на информацию называются угрозами. Классификация угроз ИБ представлена на рисунке 3.

Рисунок 3 - Угрозы информационной безопасности

По отношению к окружению организации, угрозы можно классифицировать на внешние и внутренние.
Внешняя угроза реализуется из внешней среды организации (например, конкурентами). Внутренняя угроза реализуется сотрудниками самой организации (например, инсайдерство).
Так же угрозы ИБ можно разделить на преднамеренные и непреднамеренные. Ликвидировать преднамеренные угрозы бывает намного труднее, потому что в этом случае противоположная сторона имеет конкретную цель и план преодоления установленной информационной защиты.
Cреди угроз различают угрозы раскрытия целостности, достоверности и доступности информации.
...

2.2 Средства и методы защиты информации
Условно средства защиты информации можно разделить на формальные и неформальные. К формальным относятся такие средства, которые выполняют свои функции по защите преимущественно без участия человека. К неформальным относятся средства, основу содержания которых составляет целенаправленная деятельность людей. Формальные средства составляют технические средства, нормативно-правовые и морально-этические.
Нормативно-правовые включают в себя законы и другие нормативно-правовые акты, а также механизмы их реализации, регламентирующие отношения в информационной сфере государства и общества.
Морально-этические средства – правила и нормы поведения, сложившиеся в обществе или коллективе, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения. Соблюдение установившихся правил и норм способствует защите информации и перекрытию некоторых каналов утечки информации.
...

2.2.1 Организация физических средств защиты информации
Физические средства защиты информации включают в себя различные инженерно-технические сооружения и средства, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала, материальных средств, информации от дестабилизирующих факторов.
Физическая защита информационных объектов начинается с анализа внешних факторов, влияющих на безопасность объекта. Контролируется расположение и удаление искусственных и естественных источников воды, наличие и характер оборудования трубопроводов, канализации и т. п. Обращается внимание на наличие грозозащиты, состояние земной поверхности, удаление от воспламеняющихся, взрывоопасных и химически опасных сооружений, на пути подхода и подъезда к объекту и их влияние на безопасность объекта.
Здание информационного объекта выбирается таким, чтобы оно обладало надежными стенами, потолочными перекрытиями, усиленными дверями.
...

2.2.2 Аппаратные средства защиты информации
Аппаратные средства включают различное техническое оборудование, выполненное в виде отдельных электронно-механических, электронных устройств и комплексов, обеспечивающих защиту информации, а также устройств и блоков, встраиваемых в аппаратуру обработки и хранения информации с целью ее защиты от НСД.
Аппаратные средства применяются для решения следующих задач:
- препятствование визуальному наблюдению и дистанционному подслушиванию;
- нейтрализация паразитных электромагнитных излучений и наводок (ПЭМИН);
- обнаружение технических средств подслушивания и магнитной записи, несанкционированно устанавливаемых или проносимых на объект;
- защита информации, передаваемой в средствах связи и системах автоматизированной обработки информации.
На рисунке 5 представлено одно из аппаратных средств строгой аутентификации и хранения данных eToken.
...

2.2.3 Программные средства защиты информации
Программные средства защиты информации – это пакет специальных программ или отдельные программы, реализующие функции защиты информации в ТСПИ.
Программные средства защиты обеспечивают:
- регистрацию и контроль работы технических средств и пользователей;
- идентификацию технических средств, задач, массивов и пользователей;
- определение прав технических средств, задач и пользователей путем установлений паролей и подписей;
- контроль работы технических средств и пользователей;
- регистрацию работы технических средств и пользователей при обработке информации ограниченного доступа;
- уничтожение информации в ЗУ после завершения работы;
- сигнализацию о несанкционированном доступе к информации или действиях персонала;
- контроль устройств, программ защиты информации;
- автоматическое проставление грифа секретности информации.

2.2.
...

2.2.4 Криптографические средства защиты информации
Криптографические средства – это математические и алгоритмические средства защиты информации, передаваемой по сетям связи, хранимой и обрабатываемой на ЭВМ с использованием методов шифрования.
На рисунке 6 представлена модель криптографической системы защиты информации.

Рисунок 6 - Модель криптографической системы защиты информации

Для криптографических методов защиты информации принципиальным моментом является использование криптографического ключа, под которым понимается некоторая секретная информация, известная только пользователю (отправителю и получателю) информации. В криптографических системах защищаемая информация подвергается преобразованию по алгоритму, определяемому ключом.
Не останавливаясь более подробно на криптографических системах защиты информации, приведем только их классификацию по основным признакам.
...

3 Организация защиты информации в системах электронного документооборота
Наиболее значимой и активной угрозой безопасности информации в системах электронного документоооборота является применение вредоносного программного обеспечения. Средством защиты СЭД от данной угрозы является антивирусный комплекс. На рынке антивирусных программных продуктов наблюдается тенденция в сторону интегрированных решений, включающих как традиционный антивирусный функционал, так и функции, характерные для систем обнаружения и предотвращения вторжений (IDS/IPS - Intrusion Detection/Prevention Systems) и даже для персональных межсетевых экранов. Как и в случае с системами класса DLP, антивирусные решения зарубежных разработчиков активно проходят сертификацию в системе ФСТЭК России, причем целый ряд продуктов (производства, например, компаний ESET, Symantec, TrendMicro, McAfee) уже успешно завершил данную сертификацию.

3.1 Организация контура антивирусной защиты
Антивирусную защиту системы электронного документооборота предлагается организовать в два уровня с помощью следующих сертифицированных антивирусных программных комплексов:
- для ЛВС СЭД, не подключенных к ГКС Интернет - с помощью антивирусного программного клиент-серверного комплекса Dr.Web Enterprise Security Suite 6 (Special Edition), сертифицированного ФСТЭК РФ;
- для ЛВС и ПЭВМ, имеющим доступ в Интернет – с помощью сертифицированного ФСТЭК РФ, интегрированного антивирусного средства Kaspersky Endpoint Security.
Для ЛВС имеющим доступ в Интернет в Интернет, актуальны угрозы сетевых атак со стороны ГКС Интернет.
...

3.1.1 Антивирусная защита с помощью Dr.Web Enterprise Security Suite
Общие сведения об антивирусном комплексе.
Антивирусный программный комплекс Dr.Web Enterprise Security Suite 6 (Special Edition), сертифицированный ФСТЭК России, имеет клиент-серверную архитектуру, предполагающую функционирование в каждой ЛВС следующих составных частей комплекса:
- антивирусных клиентов на защищаемых рабочих станциях и серверах для непосредственной антивирусной защиты;
-антивирусного сервера для централизованного управления антивирусной защитой ЛВС, включая развертывание, обновление антивирусных баз и программных модулей, мониторинг состояния сети, извещения о вирусных событиях, сбор статистики.
Dr.Web Enterprise Security Suite обладает исключительной масштабируемостью.
Возможность иерархического построения системы антивирусной защиты на базе нескольких серверов Dr.
...

3.1.2 Антивирусная защита с помощью Kaspersky Endpoint Security
Антивирусное средство Kaspersky Endpoint Security компании «Лаборатория Касперского» сертифицировано ФСТЭК РФ и удовлетворяет повышенным требованиям по уровню безопасности при взаимодействии с информационно-телекоммуникационными сетями общего доступа, к которым относится ГКС Интернет. Обновления антивирусных баз для программ семейства Kaspersky Endpoint Security централизованно распространяются по объектам автоматизации администратором сети.
Для антивирусной защиты АРМ, функционирующих под управлением ОС Windows 7 Professional SP1, предназначен антивирусный программный комплекс Kaspersky Endpoint Security 10 для Windows.
Kaspersky Endpoint Security надежно защищает АРМ и серверы от вредоносного программного обеспечения и реализует следующие функции антивирусной защитой:
- Автоматическая проверка и проверка по требованию.
...

Заключение
Современные технологии вычислительной техники и телекоммуникаций находят широкое применение во всех отраслях науки и техники. Одним из направлений использования новых информационных технологий являются системы электронного документооборота (СЭД) (document management system (DMS)). СЭД представляет собой многопользовательскую клиент-серверную (или трехзвенную) автоматизированную систему, используемую в процессе управления организацией с целью обеспечения выполнения этой организацией своих функций.
В первой главе выпускной квалификационной работы рассмотрены вопросы классификации систем электронного документооборота, представлено описание существующих наиболее популярных в России СЭД, подробно уделено внимание СЭД DIRECTUM.
Во второй главе ВКР проведено исследование средств и методов защиты информации в системах электронного документооборота.
В третьей главе работы выработаны предложения по организации антивирусной защиты системы электронного документооборота.
...

1. Минкина В.А. От информационного обеспечения к информационному управлению деятельностью организации // Научно-техническая информация. Сер. 1. – 2002. – № 4. – С. 19-23.
2. Правила делопроизводства в федеральных органах исполнительной власти: утв. Пост. Правительства Рос. Федерации от 15 июня 2009 г. № 477 // Собр. законодательства Рос. Федерации. – 2009. – № 25. – Ст. 3060.
3. Брежнева В.В. Информационный менеджмент как концептуальная основа развития службы информации предприятия // Развитие информатизации и государственной системы научно-технической информации (РИНТИ-2009): докл. VIII междунар. конф., 16 Ноября 2009 г., Минск. – Минск: ОИПИ НАН Беларуси, 2009. – С. 46-48.
4. Грузова А.А. Роль службы информации организации при внедрении корпоративных информационных систем // Научно-техническая информация. Сер. 1. − 2012. − № 10. − С. 13− 17.
5. Куклина А.А., Селезнева Т.А. Проблемы выбора системы электронного документооборота на примере Уральского федерального университета // Документ. Архив. История. Современность. – Екатеринбург: Изд-во Урал. ун-та, 2015. – Вып. 15. – С. 269-287.
6. Острогорский М.Ю. Классификация систем электронного документооборота. Проблемы и перспективы // CognitiveTechnologies: [сайт]. – 2009. – URL: cognitive.ru/assets/docs/scienwork/ sbornic6/Doc10.doc (дата обращения: 11.06.2017).
7. Арлазаров В.Л., Емельянов Н.Е. Системы обработки документов // Управление информационными потоками: сб. трудов ИСА РАН. – М.: УРСС, 2002. – С. 3–20.
8. Темников А.В. Автоматизированные системы управления документами как способ повышения эффективности работы организации // Известия ИГЭА. – 2002. – № 1. – С.99-103.
9. Смирнова Г.Н. Электронные системы управления документооборотом. – М. : Моск. гос. ун-т эконометрики, статистики и информатики, 2004 . – 115 с.
10. Бобылева М.П. Управленческий документооборот: от бумажного к электронному. − М.: МЭИ, 2010. − 295 с.
11. Об электронной подписи: федер. закон // Консультант Плюс. – URL: http://www.consultant.ru/ document/ cons_doc_LAW_112701/ (дата обращения: 11.06.2017).
12. Новинская Л.В. Организационно-методический аспект внедрения автоматизированных библиотечно-информационных систем в регионе: дис. ... канд. пед. наук. – М., 2014. – 231 с.
13. Антопольский А.Б., Майстрович Т.В. Электронные библиотеки: принципы создания. – М.: Либерея-Бибинформ, 2007. – 283 с.
14. Воройский Ф.С. Основы проектирования автоматизированных библиотечно-информационных систем. – М.: ГПНТБ России, 2002. – 384 с.
15. Ким С.В. АБИС, ЭБС и электронные библиотеки // Электронно-библиотечная система в ВУЗе: проблемы и направления развития: материалы семинара (20-21 октября 2010 г., Санкт-Петербург). – URL: http://www.elibconsult.ru/page.jsp?pk= node_1287492131290 (дата обращения: 11.06.2017).
16. Линев А.А. Современная СЭД: от работы с документами к управлению эффективностью // Делопроизводство. – 2014. – № 1. – С. 40-44.
17. Жук А.П., Жук Е.П., Лепешкин О.М., Тимошкин А.И. Защита информации: Учеб. пособие. — 2-е изд. — М.: РИОР: ИНФРА-М, 2015. — 392 с.
18. Оков И.Н. Криптографические системы защиты информации. – СПб.:ВУС, 2001. – 236с.
19. Баричев С.Г., Гончаров В.В., Серов Р.Е. Основы современной криптографии. – М.: Горячая линия. Телеком, 2001. – 120с.
20. Типовые решения по применению технологии централизованного управления антивирусной защитой предприятия. - СПб: ООО «Конфидент», 2012.
21. Трифаленков И., Зайцева Н. Функциональная безопасность корпоративных систем // Открытые системы. - 2015. - № 07-08.
22. Филиппов М. Вопросы обеспечения безопасности корпоративных беспроводных сетей // Технологии и средства связи. - 2016. - № 2.
23. Фролов А., Фролов Г. Защита от компьютерных вирусов // BYTE/Россия. - 2016. - № 9.
24. Фролов А., Фролов Г. Что нужно знать о компьютерных вирусах // BYTE/ Россия. - 2015. - № 8.
25. Чепиков О. Особенности применения двухфакторной аутентификации // Информационная безопасность. - 2015. - № 3.
26. Шаньгин В.Ф.Защита компьютерной информации. Эффективные методы и средства. - М.:ДМК Пресс, 2014. - 544 с.: ил.