Скачиваний:
35
Добавлен:
10.04.2023
Размер:
61.96 Кб
Скачать

МИНИСТРЕСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Инфокоммуникационных сетей и систем

Кафедра Защищенных систем связи

10.03.01 Информационная безопасность

(код и наименование направления/специальности

Предмет Основы управления информационной безопасности

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №13

«Комплексная защита электронной почты и документооборота»

(тема отчета)

Выполнил:

(Ф.И.О., № группы) (подпись)

Проверил:

_Бирих Э.В.____________

(уч. степень, уч. звание, Ф.И.О.) (подпись)

Цель работы:

Изучить методы комплексного построения системы защиты электронной почты и документооборота. Индивидуальная тема:

№28 Администрация города

Ход выполнения практического задания:

Разработайте проект организации защищенного документооборота в соответствии с закрепленным предприятием.

Введение

В связи со стремительным развитием технологий и их повсеместным внедрением, электронный документооборот все больше осваивается и занимает наиболее высокую позицию по сравнению со своим бумажным аналогом. Это связано с тем, что система электронного документооборота во многом облегчает и повышает производимость предприятия, позволяет моментально найти необходимую вам информацию, не требует много места в офисе в отличие от бумажного архива. При правильном, комплексном построении системы электронного документооборота повышается информационная безопасность предприятия.

Основы электронного документооборота

Документированная информация составляет основу управления, его эффективность в значительной степени базируется на производстве и потреблении информации. В нашем современном мире информация является полноценным ресурсом производства, значимым компонентом социальной и политической жизни общества. Насколько будит качественней информация, настолько будит и качественней управление. В настоящее время для увеличения качества управления следует, с большей должностью относится к улучшению работы с документами, так как управленческое решение в различных структурах всегда основывается на информации, носителем которой является документ на различных основах.

Автоматизация учетного процесса определила свои требования к организации документооборота. Создавались программные средства, обеспечивающие ввод, хранение, поиск и просмотр документов в электронном виде. В 80-х гг. прошлого века была осуществлена идея перехода с бумажных документов в электронный вид. Она воплотилась в системах управления электронными документами (Document Management Systems).

Система электронного документооборота дает возможность упорядочить разработку массива учетной информации, формирует основу для предотвращения утраты документов, увеличивает контроль над исполнением заданий, для подготовки, хранения и обработки документов. На каждом из этапов развития документооборота осуществляется предварительный контроль.

Суть электронного документооборота состоит в этом, что при его введении в компании сокращается объем бумажных носителей, совершенствуется процесс регистрации документов, возрастает объем хранимых данных. Основой современной корпоративной системы автоматизации документооборота считаются:

- Системы управления базами данных. Их главное преимущество - предоставление доступа к структурированной информации. В настоящее время на российском рынке это системы Oracle, Informix, Sybase;

- Системы класса Document Management, осуществляют переход с бумажных документов в электронный вид и обеспечивают доступ к неструктурированной информации.

Для осуществления данной идеи и доступа к управлению документами, представленными большими массивами для более точного поиска информации во всем тексте, создана рабочая система Excalibur EFS.

Для управления небольшими массивами информации функционирует система PC ДОСв - системы класса Workflow, осуществляющие в автономном режиме транспортные потоки перемещения документов в электронном виде между исполнителями, структурными подразделениями и начальством.

Благодаря этому, управление документооборотом происходит при помощи введения компьютерных технологий благодаря программным средствам, а также локальным вычислительным сетям. При помощи локальной вычислительной сети устраняются проблема передачи информации. Это, несомненно, новый этап формирования документооборота, который верным было бы назвать: системой электронного документооборота (СЭД).

В этом электронном архиве первичные документы находятся не в файлах и директориях, а как простые документы в электронных папках, ящиках, стеллажах и полках. Для максимально быстрого обнаружения этих документов СЭД имеет специальную электронную систему поиска. Поиск осуществляется по дате создания документа, ключевым словам, наименованиям организации, адресам и другим параметрам.

Большинство предприятий нуждаются в автоматизированной системе управления документооборотом, каждая видит это по-разному: некоторые - в увеличении эффективности организационно-распорядительного документооборота, другие же - в увеличении продуктивности работы функциональных специалистов, создающих документы и использующих их в повседневной работе, и очень мало организаций, которые уделяют внимание обоим аспектам. Это происходит из-за того, что в задачах документооборота видят разную роль и важность самих документов в деятельности предприятия, причиной этому служит: размер предприятия, манеры управления, сферы производства, общего уровня технологической зрелости и различных других факторов. По этой причине документ для предприятия может быть: базовым инструментом управления, а для других - средством и продуктом производства.

Ключевые факторы электронного документооборота:

- однократная регистрация документа, позволяющая наверняка распознать документ в каждой инсталляции этой системы;

- выполнение сразу нескольких действий, позволяющее уменьшить время передачи документов и увеличить оперативность их исполнения;

- бесперебойная передача документа, позволяющая распознать отвечающего за исполнение задачи в любой период времени жизни документа;

- единая (или согласованная распределённая) база документной информации, позволяющая устранить вероятность дублирования документов;

- эффективная поисковая система документа, позволяет обнаружить документ, при незначительных данных о нём;

- развитая система отчётности по различным статусам и атрибутам документов, позволяющая осуществлять контроль над передачей документов по процессам документооборота и осуществлять управленческие решения, опираясь на сведения из отчётов.

Значения и основные задачи электронного документооборота В каждом предприятии либо есть документооборот, либо его нет. Бывает, что предприятие живет в условиях неформального управления, из этого следует, что документооборот просто отсутствует. В случае если вносится конкретный формализм в управлении фирмой и в компании различных деловых процессов, то необходимо будит хотя бы долю управленческих механизмов переносить на упорядоченную документационную основу (например, собирать визы в договоре, регистрировать входящие и исходящие письма, чтобы потом можно было найти концы, и т.д.). Так и появится документооборот. Если не контролировать документооборот, то проблемы не заставят себя долго ждать. Например, возникает утеря документов, когда они вам так необходимы, а после того как они вам уже не требуются вы их находите на видном месте. Или подписывая договор, начальник указывает сумму с ошибкой, да еще и нет визы сотрудника, который отвечает за выполнение данного договора. С этими ситуациями очень многие сталкивались.

Несомненно, что, во время проверок, главы фирм выявляют множества организационных решений всевозможных проблем документооборота, приблизительно надлежащие уровню вопросов и задач любой фирмы. Зачастую создают рациональную схему расположения файлов на сервере, для того, чтобы в дальнейшем была возможность найти эти файлы, и применяют для передачи документа на согласование и для контроля исполнения электронную почту. Однако полностью положится на такой способ передачи документов нецелесообразно. Так как, организация будит прогрессировать, развиваться и расти в плане документирования, данных средств хранения информации, обеспечения взаимодействия и контролирования исполнения заданий со временем будит не хватать. Существует два варианта развития событий: либо использовать в организации стандартный бумажный документооборот, что для нашего времени это выглядит как «каменный век», либо создать систему электронного документооборота. Как правило, компании выбирают второй вариант - сложность состоит в том, какую систему документооборота выбрать.

Системы электронного документооборота применяются для того, чтобы предприятие решала поставленные перед собой задачи, выделим из них наиболее часто встречаемые в наше время:

- предоставление наиболее результативного управления благодаря автоматизированному контролю выполнения, прозрачности работы всего предприятия на всех уровнях;

- эффективная помощь в накоплении информации, управлении и доступа к ней.

Предоставление профессиональной кадровой гибкости из-за большей формализации деятельности каждого сотрудника и возможности хранения всей предыстории его деятельности;

- документирование работы компании в целом (внутренние должностные расследования, исследование работы подразделений, обнаружение «горячих точек» в деятельности);

- улучшение бизнес-процессов и автоматизация механизма их выполнения и контроля;

- минимизация или полное отстранение от бумажного документооборота в организации. Экономия ресурсов из-за уменьшения объема бумажного документирования и затрат на бумагу в целом;

- значительное улучшение и удешевление хранения бумажных документов из-за оперативного электронного архива.

Проблемы внедрения системы документооборота Системы электронного документооборота имеют некую особенность: систему необходимо установить либо на всех рабочих местах, где работники сталкиваются с созданием, редактированием и хранением информации, либо будит очень мало толку в ее использовании. Таким образом, мы сразу сталкиваемся с одной из ключевых проблем внедрения: в каждой компании найдутся сотрудники, которые бояться столкнутся, с чем-либо новым. Консерватизм сотрудников зачастую определен нежеланием обучаться и переобучаться, а также, возможно, низкой образованностью. Данная проблема может привести к решению об отмене всего процесса внедрения документооборота. В основном с этим сталкиваются предприятия, в которых сама кадровая политика очень консервативна и никто, даже руководитель, не свободен в перемещении или обновлении кадров.

В то же время, из-за того, что система автоматизации документооборота довольно непростой механизм использование систем документооборота связанно с большим количеством проблем организационного, экономического и технического характера. Первые зависят от человеческого фактора - низкой мотивацией персонала к обучению и работе с новой системой, недостаточным уровнем их технических знаний, в некоторых случаях неправильным либо неполноценным определением клиентом задач при внедрении решения. Экономические проблемы - это, в главной степени, потребность инвестиции существенных средств, при том, что финансовый результат для заказчика не всегда и далеко не сразу заметен. Из технических проблем следует выделить потребность в формировании качественной инфраструктуры, трудности интеграции с ранее имеющимися системами. Давайте же углубимся в эти проблемы и попробуем разобраться в них.

Самое главное при подготовке к введению электронного документооборота в организацию являются организационные вопросы. Самая распространенная ошибка при переходе к электронному документообороту, считается их недостаточная проработка, это и приводит к бессмысленной и неэффективной работе системы. Зачастую люди управляющие организацией думают, что вопросы создания и развития документооборота не столь важны и не уделяют им должного внимания, относясь к этим вопросам халатно, но в итоге выходит так, что все эти «мелочи», все нюансы в создании документооборота и приводят к увеличению производительности бизнес-процессов предприятия.

Слабая заинтересованность начальства к созданию и развитию проекта способна послужить причиной того, что внедрение может затянуться на весьма продолжительный период. С целью привлечения «административного ресурса» для помощи системы электронного документооборота требуется показать все без исключения достоинства, которые осуществляет новая система, и обучать руководство практической работе с ней.

Организационный аспект - создание и установление концепции формирования документационного обеспечения компании, проекта внедрения СЭД, назначение главы проекта и создание рабочей группы требует самого пристального внимания. Исключить организационные сложности поможет точное определение итогового результата проекта. Уже после этого, как цели заданы, никак не меньше значимым необходимо уделить внимание развитию рабочей группы проекта. Результат в значительной мере зависит от того, в какой степени непосредственно сотрудничают специалисты ИТ-службы и подразделения-заказчика. Следует конкретно распределить прямые обязанности и области ответственности между работниками абсолютно всех отделов, привлеченных к внедрению.

Другой популярной преградой считается метод построения системы электронного документооборота. Согласно взглядам специалистов, самостоятельная разработка системы электронного документооборота корпоративного масштаба силами ИТ-отдела заранее обрекает компанию на продолжительный процесс доработок и определяет, помимо этого, весь проект полностью зависимым от разработчиков системы. Такого рода подход оказывается и самым нерентабельным с экономической точки зрения расхода на внедрение. Со слов экспертов, разработка системы электронного документооборота собственными силами способна привести к тому, что нынешняя обстановка с документооборотом будет заморожена. Эксперты заявляют, что опору следует делать на уже готовые решения от производителей.

Еще ряд проблем могут появиться при внедрении системы электронного документооборота. Из их числа недостаточная проработанность внутрикорпоративных документов, регламентирующих процессы документооборота в компании и недостаточный интерес со стороны начальства к вопросам обучения конечных пользователей. Организация нормативных правил согласно процессам электронного документооборота обязана вестись одновременно с опытной эксплуатацией, и подразумевает создание подробных инструкций по делопроизводству для персонала, соответствующих приказов и положений.

Вопросам обучения персонала также обязано уделяться самое пристальное внимание при развертывании системы электронного документооборота. При этом обучение необходимо проводить на постоянной основе и на всех этапах внедрения. Необходимо четкое понимание со стороны начальства предприятия, что формирование системы электронного документооборота довольно долгий процесс и его развитие и поддержка будет нуждаться в постоянном вложении денег. На обучение сотрудников зачастую экономят, пологая, что достаточно будит и одного обученного человека, а он на своем примере обучит остальной персонал. Согласно словам экспертов, довольно трудно научить даже половина персонала без отрыва от производства, но существует выход из сложившейся ситуации: создать дистанционное обучение непосредственно на рабочих местах.

Так, как система электронного документооборота считается составляющей автоматизированных систем управления предприятием (АСУП), в таком случае проанализируем, какие трудности встречаются при внедрении АСУП.

Внедрение информационной системы управления предприятием, ровно, как и каждое значительное изменение в компании, считается трудным и, как правило, болезненным процессом. Тем не менее, определенные трудности, возникшие при внедрении системы, довольно хорошо исследованы, формализованы и имеют эффективные методологии решения. Раннее исследование этих проблем и подготовка к ним существенно упрощают процедуру внедрения и увеличивают результативность последующего применения системы.

Далее представлены ключевые цели и проблемы, зачастую образующиеся при внедрении информационных систем управления предприятием и советы согласно их устранению.

Ключевые цели и проблемы, к которым следует более внимательно отнестись при их решении:

- отсутствие постановки задачи менеджмента на компании;

- потребность в частичной или полной реорганизации структуры компании;

- потребность изменения технологии бизнеса в разных аспектах;

- сопротивление работников компании;

- временное повышение нагрузки на работников в период введения информационной системы управления предприятием;

- потребность в создании квалифицированной группы внедрения и сопровождения системы, избрать сильнейшего главу группы.

Отсутствие постановки задачи менеджмента на предприятии - данный пункт считается самым важным и трудным. Поначалу покажется, что его тема пересекается с содержанием второго пункта, посвященного реорганизации структуры компании. Однако, на самом деле, он считается наиболее масштабным и содержит в себе не только методологии управления, но также психологические и философские аспекты.

Дело в том, что почти все начальники распоряжаются своей компанией, отталкиваясь лишь от своего опыта, своего видения, своей интуиции и крайне неструктурированных сведений о его состоянии и динамике. Зачастую, если управляющего попросить описать в любом виде структуру деятельности своей компании либо набор положений, отталкиваясь от которых он принимает управленческие решения, проблема довольно стремительно приходит к безвыходному положению.

Квалифицированная установка вопросов менеджмента считается важным условием, оказывающая большое влияние, как и результат работы компании в целом, так и на результат проекта автоматизации. К примеру, абсолютно напрасно заниматься внедрением автоматизированной концепции бюджетирования, если само бюджетирование никак не определено в организации надлежащим способом, как конкретный последовательный процесс.

К сожалению, на данный период в Российской федерации до конца никак не сформировался национальный подход к менеджменту. В данный момент российское управление представляет собой соединение таких концепций как: концепции западного менеджмента и советско-российская концепция, которая во многом гармонирует с общими жизненными принципами. Однако уже никак не соответствует строгим условиям рыночной конкурентной борьбы.

По этой причине, главное, что следует совершить для того, чтобы проект введения информативной системы управления предприятием оказался успешным - нужно по максимуму формализовать все без исключения эти контуры управления, которые непосредственно Вы собираетесь автоматизировать.

С целью реализации эффективного внедрения проекта, не ограничивайтесь привлекать профессиональных консультантов так как затраты на консультантов просто никак не сравнимы с убытками от проваленного плана автоматизации.

Потребность в частичной преобразование структуры и работы компании при внедрении информационной концепции управления предприятием.

В первую очередь, чем приступать к внедрению информационной концепции управления в компании, как правило, следует осуществить частичную реорганизацию его структуры и технологий ведения бизнеса. По этой причине, одним из основных этапов проекта внедрения, считается абсолютная и достоверная проверка предприятия во всех аспектах его работы. На основе заключения, приобретенного вследствие освидетельствования, создается все последующая модель построения корпоративной информативной концепции. Безусловно, можно автоматизировать все без исключения, относительно принципу «как есть», однако, этого не следует совершать согласно ряду причин. Проблема в том, что вследствие освидетельствования как правило закрепляется огромное количество мест появления необоснованных дополнительных расходов, а кроме того противоречий в организационной структуре, предотвращение которых позволило бы сократить производственные и логистические расходы, а также значительно уменьшить время выполнения различных этапов главных бизнес-процессов. Реорганизация может быть проведена в ряде локальных точек, где она объективно необходима, то, что никак не повлечет за собою весомый упадок инициативности текущей коммерческой работы. Потребность в изменении технологические процессов с информацией, и принципов ведения бизнеса.

Необходимость в изменении технологии работы с информацией, и принципов ведения бизнеса.

Результативно выстроенная информационная система никак не может не внести перемен в существующую технологию планирования бюджетирования и контроля, а кроме того управления бизнес-процессами.

Во-первых, одними из наиболее значимых для руководителя особенностей корпоративной информативной концепции, считаются модули управленческого учета и экономического контроллинга.

Теперь же любое многофункциональное подразделение способен являться установлено как центр экономического учета, с соответствующим уровнем экономической ответственности его руководителя.

Это в свою очередь увеличивает ответственность любого из таких руководителей, и предоставляет в руки профессиональных менеджеров, продуктивный инструмент для точного контролирования выполнения единичных проектов и бюджетов.

При наличии информативной системы управления предприятием, руководитель способен извлекать важные и правдивые данные об абсолютно всех сферах работы фирмы, без временных задержек и излишних передаточных звеньев.

Помимо этого, сведения подаются руководителю в подходящем варианте «с листа» при отсутствии мнения людей, которые могут необъективно либо персонально трактовать сведение при передаче информации. Но объективно было бы отметить, то, что многие руководители не привыкли принимать управленческие постановления согласно информации в чистом варианте, если к ней не приложено мнение человека, который ее представил. Такого рода аспект в убеждении обладает возможностью на реализацию и при наличии информативной концепции управления предприятием, но зачастую он отрицательно отражается в необъективности менеджмента.

Внедрение информативной концепции управления предприятием вносит значительные перемены в регулирование бизнес-процессами. Любой документ, отражающий в информационную сферу движение либо окончание этого или иного сквозного бизнес-процесса, в интегрированной концепции формируется автоматически, в основе изначального важного документа, открывшего процесс. Работники, которые ответственные за данный бизнес-процесс только осуществляют контроль и, при необходимости, вносят перемены в позиции созданных системой документов. К примеру, клиент оформил заказ на продукцию, который обязан быть выполнен к определенному числу месяца. Заявка включится в систему, на основании его концепций, автоматически формируется счет (в базе имеющихся алгоритмов ценообразования), результат пересылается клиенту, а заявка направляется в производственный модуль, где совершается разузлование заказанного вида продукта на единичные комплектующие. В базе перечня комплектующих в модуле закупок концепций формируются заявки на их закупку, а производственный модуль надлежащим способом улучшает производственный проект, для того чтобы заказ был выполнен четко в срок. Безусловно, в реальной жизни вероятны разнообразные виды неустранимых срывов поставок комплектующих, неисправности оборудования и т.д. Поэтому любая стадия выполнения заказа обязана определённо контролироваться ответственными за него работниками, которые, в случае надобности, обязаны сформировать управленческое влияние на систему, для того чтобы исключить ненужных результатов либо сократить их.

Не нужно считать, то, что работать при наличии информационной системы управления предприятием будет проще. Наоборот, значительное снижение бумажной работы активизирует ход и увеличит качество обработки заказов, поднимет конкурентоспособность и эффективность компании в целом, а все без исключения данное потребует огромной организованности, компетенции и ответственности исполнителей. Вероятно, то, что имеющаяся производственная основа никак не станет справляться с новейшим потоком заказов, и в нее также необходимо будет вводиться организационные и технологические реформы, которые в дальнейшем благоприятно отразятся в процветании компании.

Сопротивление работников организации.

При внедрении информационной систем управления предприятием в основной массе случаев появляется интенсивное сопротивление работников на местах, что считается значительным препятствием для консультантов и вполне способно сорвать либо значительно задержать план внедрения.

Временное повышение нагрузки на работников при внедрении концепции управления предприятием.

На определенных этапах внедрения плана временно увеличивается нагрузка на работников компании. Это сопряжено с тем, что кроме исполнения обычных рабочих обязательств, сотрудникам следует изучать новейшие знания и технологические процессы.

Развитие квалифицированной категории внедрения и поддержания системы, руководителя группы.

Внедрение многих значительных систем автоматизации управления предприятием выполняется по внедрению системы последующих технологических процессов: в компании создается незначительная рабочая группа, которая проходит предельно абсолютное обучение по работе с системой, далее в данную категорию ложится существенная доля деятельности согласно введению системы и последующему её сопровождению.

Невзирая на трудности введения, о которых говорилось ранее, систему электронного документооборота применяют все более обширно в связи с тем, что результат от его внедрения определяется не прямой экономией ресурсов, а улучшением качества и результативностью работы компании. Для коммерческих компаний это - условие выживания. В случае введения этих систем государственное управление будит наиболее оперативным, прозрачным и информативным. Во всем диапазоне технологий, использование которых в рамках структур государственного управления уже назрело, системы электронного документооборота, по высказыванию разработчика, считается одним из наиважнейших.

Анализ нормативной законодательной базы В согласовании с особыми требованиями и рекомендациями согласно технической защите секретной информации, подтвержденными указом Гостехкомиссии Российской федерации с 30 августа 2002 годы, конфиденциальная информация - сведения с ограниченным доступом, не включающая данных, элементов муниципальную тайну, допуск к которой ограничивается в соответствии с законодательством Российской Федерации.

Список конфиденциальной информации утвержден Указом Президента Российской Федерации от 6 марта 1997 г. N 188. К настоящему периоду установлен ряд законодательных действий, в которых регулируются взаимоотношения, сопряженные с различными видами конфиденциальной информации:

- Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 12 марта 2014 г. N 98-ФЗ "О коммерческой тайне";

- Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

В статье 5 Федерального закона "Об информации, информационных технологиях и защите информации" предоставляется систематизация данных в связи с режима ее распространения, законодатель разделяет сведение в последующие категории:

- информацию, свободно распространяемую;

- информацию, предоставляемую согласно договору лиц, участвующих в определенных взаимоотношениях.

- информацию, что в согласовании с федеральными законами подлежит предоставлению или распространению;

- информацию, распространение которой в Российской Федерации ограничивается либо запрещается.

В статье 9 говориться, то что Федеральными законами формируются условия отнесения информации к данным, составляющим коммерческую тайну, должностную тайну и иную тайну, необходимость соблюдения конфиденциальности такого рода данных, а кроме того ответственность за её разглашение. Далее будут рассмотрены перечисленные законы.

Коммерческая тайна в соответствии с законодательством "О коммерческой тайне" установлена равно как конфиденциальность информации. Данная тайность предоставляет возможность владельцу коммерческой тайны приобрести при одинаковых возможностях финансовую выгоду в виде сбережения на рынке, в виде увеличения прибыли и уменьшения затрат. Сущность коммерческой тайны - это финансовая, в том числе экономическая, научно-техническая, в этом числе "ноу-хау", и производственная информация.

Для того чтобы вышеуказанная информация приобрела положение коммерческой тайны, в отношении этой информации обладателем обязан быть введен порядок коммерческой тайны. Помимо этого, эта информация обязана обладать объективную либо возможную торговую значимость в силу этого, она неизвестна ни одному человеку, помимо её владельца. Кроме того, не должно быть свободного доступа к данной информации.

Режим коммерческой тайны установлен в законе как меры, которые предпринимает её владелец с целью защиты её конфиденциальности. Данные меры носят правовой, организационный, технический и другой вид.

В статье 4 закона заключается мера о том, кому принадлежит возможность регулировать, относится или нет информации к коммерческой тайне. Это возможность принадлежит владельцу такой информации с учетом положения этого закона.

Весьма важна для понимания совокупности норм закона статья 5, закрепляющая структуру данных, которые не могут составлять коммерческую тайну. Перечислим данные, которые не могут составлять коммерческую тайну:

- держащихся в учредительных документах юридического лица, бумагах, подтверждающих обстоятельство внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие муниципальные реестры;

- содержащие в документах данную информацию, предоставляющих возможность на реализацию предпринимательской работы;

- о составе собственности государственного либо городского унитарного предприятия, правительственного учреждения и о применении ими средств соответствующих бюджетов;

- о загрязнении находящейся вокруг сферы, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной ситуации, безопасности пищевых продуктов и иных факторах, оказывающих отрицательное влияние на обеспечение безопасного функционирования производственных предметов, безопасности каждого гражданина и безопасности жителей в целом;

- о численности, о составе сотрудников, о концепции оплаты труда, об условиях работы, в том числе об охране труда, о показателях производственного - травматизма и профессиональной заболеваемости, и о присутствии свободных рабочих мест;

- о задолженности работодателей по выплате заработной платы и согласно другим социальным выплатам;

- о нарушениях законодательства Российской Федерации и прецедентах привлечения к ответственности из-за осуществления данных нарушений;

- об условиях конкурсов или аукционов согласно приватизации объектов государственной либо городской собственности;

- о размерах и структуре прибыли некоммерческих учреждений, о размерах и составе их собственности, об их затратах, о численности и об оплате труда их сотрудников, о применении бесплатного труда людей в деятельности некоммерческой компании;

- о перечне лиц, обладающих возможностью функционировать в отсутствии доверенности от имени юридического лица;

- необходимость выявления которых или неприемлемость ограничения доступа, к которым определена иными федеральными законами.

Полномочия владельцев коммерческой тайны закреплены в ст.7 Закона. Сведения права приобретаются собственником с момента утверждения режима коммерческой тайны для той либо иной информации. Владелец обладает последующими полномочиями:

- определять, менять и отменять порядок коммерческой тайны;

- применять данные, составляющую коммерческую тайну, с целью своих потребностей;

- разрешать либо запрещать доступ к данным, составляющей коммерческую тайну, формулировать процедуру и требование доступа к данной информации;

- внедрять в гражданский оборот сведение, составляющую коммерческую тайну, на основе соглашений, учитывающих введение в них условий об охране конфиденциальности данной информации;

- предъявлять требования от юридических и физических лиц, получивших доступ к данным, составляющей коммерческую тайну, органов государственной власти, других муниципальных организаций, органов регионального самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязательств по охране её конфиденциальности;

- предъявлять требования от лиц, получивших доступ к информации, составляющей коммерческую тайну, вследствие операций, осуществленных случайно либо по ошибке, защиты конфиденциальности данной информации;

- защищать в установленном законодательством порядке собственные полномочия в случае разглашения, противозаконного извлечения либо противозаконного применения третьими лицами информации, составляющей коммерческую тайну, в этом числе предъявлять требования возмещения потерь, доставленных в связи с нарушением его прав.

Ст.10-13 Закона посвящены охране коммерческой тайны. Общими мерами предоставления соблюдения конфиденциальности данных считаются следующее:

- разработка перечня данных, имеющая отношение к коммерческой тайне;

- ограничение и регулирование доступа к носителям данных;

- определение круга лиц, обладающих полномочиями доступа к информации;

- создание и закрепление правил согласно регулированию взаимоотношений по применению информации, составляющей коммерческую тайну, в концепции трудовых договоров, соглашений с контрагентами;

- нанесение на документы, соглашения, образующие коммерческую тайну надписи "конфиденциальная информация", при этом следует определять владельца информации (место пребывания, название).

Уже после принятия вышеуказанных мер порядок коммерческой тайны является установленным.

Помимо этого, владелец информации, общепризнанной коммерческой тайной, имеет право использовать допустимые, не противоречащие закону, способы и средства технической защиты носителей секретной информации.

Ст.11 Закона об охране конфиденциальной информации в рамках трудовых правоотношений. Тут работодатель для защиты коммерческой тайны должен:

- сформировать список данных, составляющую коммерческую тайну;

- ознакомить с подтвержденным списком под подпись абсолютно всех работников, доступ к коммерческой тайне, который нужен по долгу службы;

- ознакомить под роспись работников с порядком коммерческой тайны и критерием ответственности за его несоблюдения;

- гарантировать требование для соблюдения порядка коммерческой тайны на трудящихся местах.

Принятие сотрудником информации, составляющих коммерческую тайну, исполняется только лишь с его согласия, за исключением происшествия, если получение подобных данных непосредственно учтено его трудовыми обязательствами.

В случае противозаконного определения порядка коммерческой тайны касательно данных, к которой сотрудник получил доступ при выполнении им своих трудовых обязательств, он может оспорить обжаловать в суде.

С целью защиты конфиденциальности данных сотрудник обязан соблюдать последующих правил. Сотрудник обязуется:

- осуществлять определенный порядок коммерческой тайны на предприятии

- никаким образом не разглашать данные, составляющие коммерческую тайну, и никак не применять без согласия работодателя и его контрагентов данные сведения в индивидуальных целях;

- вернуть все без исключения, существующие у него документы, которые содержат сведение, составляющую коммерческую тайну;

- никак не раскрывать вышеуказанные данные уже после завершения рабочего соглашения. В случае если между сотрудником и работодателем был заключён договор о неразглашении коммерческой тайны в установленном сроком его неразглашения, в таком случае сотрудник должен хранить молчание согласно поводу коммерческой тайны, на протяжении данного времени.

При разглашении коммерческой тайны сотрудник должен компенсировать нанесенный работодателю ущерб.

Федеральный закон от 27.07.06 № 152-ФЗ “О персональных данных” регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами). Проанализируем утверждения этого закона, относящиеся трудовых правоотношений.

К личным сведениям принадлежит каждая информация о физическом лице, такие как: имя, фамилия, отчество; дата и место рождения; местожительство; семейное положение; материальное состояние; образование; специальность и иные сведения.

Обработкой индивидуальных сведений признаются операции (действия). Они так же включают подготовку, систематизацию, накопление, сохранение уточнение (корректировка, изменение). Применение, продвижение (в т. ч. передачу); обезличивание, блокирование, уничтожение сведений.

Одной из основных норм закона считается обязанность оператора по обеспечению конфиденциальности индивидуальных сведений, принятых от субъекта, что предполагает недопущение распространения такого рода данных без согласия данного субъекта, к которому они принадлежат. Имеются и исключения: к примеру, на обработку доступных персональных сведений (т.е. уже содержащихся в открытых для общественности справочниках, адресных книгах) получения подобного согласия не потребуется. Кроме того, не требуется согласия субъекта и в том случае, когда обработка его индивидуальных сведений исполняется в целях выполнения договора, одной из сторон которого является данное лицо, в частности трудового соглашения. А в случае хранения руководством сведений о лицах, с которыми его не связывают договорные отношения, то обязательно требуется получить одобрение на их обработку.

Для работы со своими персональными данными субъект обязан дать разрешение, причем при необходимости, ему разрешено отозвать персональные данные. Договоренность может быть изложена как в устной форме, так и в письменной - в зависимости от характера их обработки, а также категории персональных данных.

Разрешение субъекта персональных данных в письменном виде необходимо в представленных ниже случаях:

- при обработке специальных категорий персональных данных, затрагивающих национальную, расовую принадлежности, философские или религиозные убеждения, политические взгляды, состояния здоровья, интимной жизни. Обрабатывать эти данные без письменного разрешения субъекта строго настрого запрещено (разрешается лишь в тех случаях, когда они являются общедоступными). Разрешение в письменном виде на все эти действия обязательно, даже в том случае, если оператора и субъекта персональных данных связывают договорные взаимоотношения. В религиозных организациях либо в общественных объединениях обработка специальных категорий персональных данных участников производится в том случае, если персональные данные не будут распространяться без разрешения членов (участников), данного в письменном виде;

- при обработке биометрических персональных данных - информация, которая характеризует физиологические особенности человека и при помощи этих данных, возможно, определить его личность (данные об специфики строения папиллярных узоров пальцев рук человека, о коде ДНК, сетчатки глаз и т.п.). Данное условие также обязано соблюдаться вне зависимости от наличия договорных отношений между оператором и субъектом персональных данных, помимо отношений, связанных с прохождением государственной гражданской службы;

- при передаче персональных данных субъекта оператором через Государственную границу Российской Федерации органу власти иностранного государства, юридическому или физическому лицу иностранного государства, не предоставляющему соответственную защиту прав субъекта персональных данных.

В соответствии с Законом "о персональных данных" письменное согласие субъекта на обработку его персональных данных должно включать:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- список персональных данных, при обработке которых требуется разрешение субъекта персональных данных;

- список операций с персональными данными, на реализацию которых необходимо разрешение, общее описание используемых оператором способов обработки персональных данных;

- промежуток времени, в течение которого действует согласие, а также порядок его отзыва.

Оператор должен обеспечить субъекту персональных данных доступ к его данным в любой момент согласно пожеланию субъекта. У субъекта есть право на получение следующей информации:

- подтверждение факта обработки персональных данных оператором, и для какой цели проводилась эта обработка;

- методы обработки персональных данных, используемые оператором;

- информация о лицах, которые обладают доступом к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- период обработки персональных данных, в т. ч. время их хранения;

- информация о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его данных.

Если же оператор производит обработку персональных данных с нарушением требований закона, потерпевший может обжаловать его действия в Федеральную службу по надзору в сфере связи, которая является уполномоченным органом по защите прав субъектов персональных данных, или в суд.

Что касается хранения персональных данных, то оно может реализовываться оператором, как на материальных носителях, так и путем включения данных сведений в информационные системы персональных данных. Ключевым является, что оператор при обработке данной информации должен осуществлять требуемые технические и организационные меры, в частности применять криптографические (шифровальные) средства, для обеспечения защиты персональных данных от умышленного или случайного доступа к ним, от изменения, блокирования, уничтожения, копирования на различные носители или же от распространения данных в средства массовой информации.

Анализ системы защиты конфиденциальной информации

Во время моего анализа в организации совершенно отсутствовали организационные меры по защите информации, но в оправдание можно подметить, что на предприятии представлены инженерно-технические и программно-аппаратные средства защиты информации. Из инженерно-технических мероприятий можно выделить наличие сейфа в бухгалтерии, а также установлена прочная железная дверь на входе в офисное помещение. А примеры программно-аппаратных средств защиты информации в организации мы рассмотрим ниже.

Рекомендации по совершенствованию документооборота на предприятии

Организационно-правовые мероприятия

Организационно-правовые нормы обеспечения безопасности и защиты информации на любом предприятии отражаются в совокупности учредительных и организационных документов.

В Устав предприятия следует добавить дополнения, представленные ниже. В раздел "Права и обязанности" вносим следующие изменения:

1. Организация имеет право:

- формулировать структуру, размер и порядок защиты конфиденциальной информации;

- предъявлять требования к работникам по защите конфиденциальной информации;

- осуществлять контроль над соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.

2. Организация должна:

- предотвратить всевозможные утечки конфиденциальной информации и обеспечить экономическую безопасность.

- проводить эффективный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.

Следует так же внести пункт "Конфиденциальная информация", который будит включать представленные ниже правила:

- сотрудники создают защиту собственной конфиденциальной информации;

- структура и размер данных конфиденциального характера, и процедура их защиты формируется генеральным директором.

Введение всех этих дополнений предоставляет администрации компании возможность:

- формировать организационные структуры по защите коммерческой информации либо поручать эти функции соответствующим должностным лицам;

- издавать нормативные и распорядительные документы, характеризующие процедуру выделения данных, составляющих коммерческую тайну, и способы их защиты;

- вносить правила по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективным и совместные со смежниками);

- предъявлять требования защиты интересов предприятия перед государственными и судебными органами;

- пользоваться информацией, принадлежащей предприятию, в ущерб сотрудников компании или же начальника организации, для достижения экономических целей.

В Коллективный договор следует внести дополнения, представленные ниже. В разделе "Предмет договора" следует дополнить:

- руководство обязуется, дабы не допустить нанесения экономического ущерба сотрудником предприятия обеспечить разработку и реализацию мероприятий по защите конфиденциальной информации;

- сотрудники обязуются выполнять установленные требования, представленные организацией по защите конфиденциальной информации.

В раздел "Кадры. Обеспечение дисциплины труда" следует дополнить: руководство обязуется наказывать нарушителей условий, согласно защите конфиденциальной информации, а именно привлекать к ответственности в соответствии с законодательством Российской Федерации.

Для обеспечения защиты конфиденциальной информации на предприятии необходимо внести следующие нормативно-правовые документы:

- перечень сведений, составляющих коммерческую тайну;

- договорное обязательство о неразглашении коммерческой тайны;

- инструкция по защите коммерческой тайны.

Защита информации, представленной в электронном виде, должна осуществляться в соответствии с требования РД ФСТЭК, и СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации).

Самое главное необходимо создать перечень сведений, составляющий коммерческую тайну.

Данные, входящие в Перечень, обладают ограниченным характером на использование (применение). Ограничения, вводимые на использования сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) её подразделений, а также при их сотрудничестве с работниками других предприятий.

Перечень должен доводиться не реже одного раза в год до всех сотрудников организации, которые используют в своей работе сведения, конфиденциального характера. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации.

Инженерно-технические средства защиты

Система пожарной сигнализации

Для обеспечения защиты бумажных документов и средств вычислительной техники от пожара, необходимо на объекте установить систему пожарной сигнализации.

В эту систему входят элементы, которые представлены ниже:

- пульт контроля и управления "С2000";

- резервный источник питания аппаратуры охранно-пожарной сигнализации "РИП 24";

- прибор приёмно-контрольный охранно-пожарный "С2000-4";

- извещатель пожарный, дымовой "ДИП".

К релейным выходам предоставляется возможность подсоединить выход на пульт центрального наблюдения и звуковой или световой оповещатели.

Данная разработанная система пожарной сигнализации имеет все необходимое, чтобы уменьшить ущерб при возможном возгорании офисного помещения и в то же время является приемлемой для предприятия с экономической точки зрения, это и стало главным условием при выборе системы.

Система бесперебойного питания

В рассматриваемой организации самыми значимыми потребителями электроэнергии считаются сервер, так как на нем установлена база данных программы "1С: Предприятие" и персональный компьютер с установленным АРМ "Клиент" АС "Сбербанк-Клиент", все это оборудование следует защитить источниками бесперебойного питания.

Серверу следует подобрать качественный источник бесперебойного питания, с высокими потребительскими свойствами, соответствующим условиям отвечает источник бесперебойного питания Исток ИДП-1/1-1-220-Д.

Уничтожитель бумаги

С целью ликвидации бумаг, обладающих грифом "Конфиденциально" или "Коммерческая тайна" следует применять специальное устройство - уничтожитель бумаги, которое измельчает листы бумаги, разрезая их на полосы, благодаря чему прочесть информацию, находящуюся на бумажном носителе становится невозможно. При всем разнообразии устройств на отечественном рынке, целесообразным будит приобрести SHRED-ET С-06P (рис 3.1), обладающим высокой скоростью уничтожения бумаги. И к тому же с оптимальной стоимостью, что тоже является не маловажным фактором.

Система резервного копирования данных

Резервное копирование - процедура формирования копии данных на носителе (жёстком диске или внешнем носителе таком как флешки, дискеты, диски и т.д.), служащим для восстановления данных в изначальном месте их расположения дабы не утратить эти данные в случае их неисправности или уничтожении.

На данном предприятии оптимально будит применить систему резервного копирования на сервере, где размещена база данных программы "1С: Предприятие", чтобы можно было произвести восстановление базы данных в случае программных либо аппаратных сбоев.

Для формирования системы резервного копирования воспользуемся программой Acronis True Image Echo. Эта программа позволяет производить резервное копирование и аварийное восстановление данных на персональном компьютере, у которого множество различных опций, например:

- способность производить резервное копирование всей системы полностью либо отдельных файлов и папок;

- аварийное восстановление отдельных файлов и папок или диска целиком;

- удаленное управление задачами резервного копирования и восстановления данных;

- восстановление систем на различное оборудование.

Применение этой программы дает возможность уменьшить вероятность угроз целостности и доступности информации, находящейся на персональном компьютере.

Межсетевой экран

Межсетевой экран или сетевой экран - совокупность аппаратных либо программных средств, производящий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с установленными правилами.

Главной функцией сетевого экрана считается обеспечения безопасности компьютерных сетей или отдельных узлов от неправомерного доступа. Кроме того, сетевые экраны зачастую именуют фильтрами, так как их главная цель - не давать проходить пакетам, не соответствующим под критерии, установленные в конфигурации.

На предприятии следует установить межсетевой экран на сервере, который в принципиальной схеме локальной вычислительной сети организации расположен между модемом и сетевым коммутатором.

Заключение

В данной работе была разработана система электронного документооборота на предприятии МКУ «Администрация города Пскова». Внедрение системы производилось комплексно, как на аппаратном, так и на программном уровне. Были введены поправки в устав предприятия, дабы устранить вероятность распространения конфиденциальной информации.

Контрольные вопросы:

  1. Что такое защищенный документооборот?

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации.

  1. Назовите основные компоненты необходимые для организации электронного документооборота.

Система электронного документооборота в компании должна содержать следующие элементы:

  • модуль электронного делопроизводства (регистрация входящих/исходящих документов);

  • модуль электронного архива со средствами поиска документов и комплектом шаблонов документов;

  • модуль WorkFlow - электронное движение и согласование документов;

  • модуль сквозного контроля исполнения поручений;

  • модуль информационно-защищенного обмена документами между юридическими лицами и/или удаленными филиалами;

  • модуль генерации отчетов о движении документов;

  • модуль коллективной работы с документами.

  1. Какие мероприятия необходимы для организации защищенного электронного документооборота?

Организационно-правовые

  • Законодательное регулирование правоотношений в сфере электронного документооборота;

  • Организация учета, хранения и эксплуатации ключей шифрования и электронной подписи;

  • Построение и учет комплексных профилей разграничения прав доступа в информационных системах;

  • Ведение строгого учета доступа сотрудников к информации ограниченного распространения;

  • Многие другие, а также их вариации и комбинации.

Технические

  • Аппаратная защита, специализированные защищенные шлюзы и маршрутизаторы;

  • Физическое разграничение сетевого оборудования на разные изолированные сегменты;

  • Автоматизированные планы резервного копирования информации на защищенные носители;

  • Актуальное антивирусное и защитное ПО;

  • Логическое разделение сети на сегменты посредством специализированных программ;

  • Программные средства идентификации и аутентификации пользователей;

  • Криптографические средства защиты и шифрования информации;

  • Технологии электронной подписи для обеспечения подлинности и целостности информации;

  • Различные комбинации различных методов и средств защиты.

  1. Назовите основной метод обнаружения вредоносных программ.

Просмотр (сканирование) проверяемых объектов (системных областей дисковой и оперативной памяти, а также файлов заданных типов) в поиске сигнатур (уникальных последовательностей байтов) известных вирусов. Недостатки: необходимость постоянного обновления баз данных сигнатур известных вирусов, неспособность обнаружить новые компьютерные вирусы.

  1. Перечислите методики обнаружения вредоносных программ.

Просмотр (сканирование) проверяемых объектов (системных областей дисковой и оперативной памяти, а также файлов заданных типов) в поиске сигнатур (уникальных последовательностей байтов) известных вирусов. Недостатки: необходимость постоянного обновления баз данных сигнатур известных вирусов, неспособность обнаружить новые компьютерные вирусы.

Инспекция (обнаружение изменений в объектах компьютерной системы) путем сравнения их вычисленных при проверке хеш-значений с эталонными (или проверки ЭЦП для этих объектов). Недостатки: не все изменения проверяемых объектов вызываются вирусным заражением, не может помочь при записи на жесткий диск компьютера пользователя уже зараженного файла.

Эвристический анализ – проверка системных областей памяти и файлов с целью обнаружения фрагментов исполнимого кода, характерного для компьютерных вирусов. Анализируются тысячи различных характеристик каждого файла. Недостатки: длительность процедуры проверки, возможность ложных сообщений о найденных вирусах.

Мониторинг (проактивная защита) − постоянное присутствие в оперативной памяти компьютера с целью сканирования всех открываемых или получаемых извне файлов и контроля всех «подозрительных» действий других программ (например, обнаружение и блокирование потенциально опасных результатов web-поиска, ссылок на URL). Недостатки: снижение эффективности работы системы, возможность выполнения контролируемых действий незараженными программами.

Вакцинирование – присоединение к защищаемому файлу специального модуля контроля, следящего за целостностью данного файла с помощью вычисления его хеш-значения и сравнения с эталоном. Недостатки: возможность обхода вирусами-невидимками , неприменимость для защиты файлов документов.

Блокирование потенциально опасных действий пользователя:

    1. Установка параметров безопасности и конфиденциальности в обозревателе Интернета.

    2. Установка защиты от записи в загрузочные сектора с помощью программы BIOS Setup.

    3. Определение недоступных для изменения областей дисковой памяти с помощью драйвера PCI-контроллера.

Соседние файлы в предмете Основы Управления Информационной Безопасностью