Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.
Технические средства защиты информации делятся на два основных класса:
· средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
· средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).
В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:
|
|
· для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности;
· требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);
· на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);
· далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);
· аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.
|
|
В любом случае, независимо от размера и организационной структуры предприятия, наличия или отсутствия собственных специалистов по информационной безопасности, своими силами или с привлечением сторонних организаций приступать к решению задачи под названием «Выполнение требований Закона О персональных данных» нужно как можно быстрее. Так как установленный законом срок выполнения требований не за горами, а сложность и масштабность работ по защите ПДн не предполагает быстрого их завершения.
Предприятия, которые уже приступили к реализации проектов по защите ПДн или приступят в ближайшее время имеют следующие преимущества:
· временной запас позволит тщательно изучить задачи и выбрать наиболее оптимальную конфигурацию защиты ПДн, соответствующую требованиям Закона;
· поэтапное выполнение работ обеспечит равномерное распределение затрат на создание системы защиты ПДн;
· выполнить работы в установленные сроки даже в случае возникновения непредвиденных обстоятельств.
Можно занять выжидательную позицию, но в этом случае предприятие рискует испытать на себе жесткость санкций со стороны регуляторов за неисполнение требований законодательства и подвергнуть свой бизнес рискам, влекущим репутационные и финансовые потери.
Тема 1.6. Технология электронного документооборота.
Первые системы электронного документооборота (СЭД) состояли из трех частей: системы управления документами, системы массового ввода бумажных документов, системы автоматизации деловых процессов.
Система управления документами обеспечивает интеграцию с приложениями, хранение данных на разных устройствах, распределенную обработку данных, поиск, индексацию электронных документов, коллективную работу с электронными документами.
Разнообразие электронных документов на предприятии порождают используемые приложения: общего назначения (word, excel, access и др.) и предметные (бухгалтерский учет, расчеты с поставщиками, финансовый анализ и др.). Интеграция с ними осуществляется на уровне операций с файлами, то есть операции приложения - открытие, закрытие, создание, сохранение и другие - замещаются соответствующими операциями системы управления документами. Интеграция выполняется автоматически. Ее достоинство в том, что сохраняются принятые в организации виды документов.
Следующей задачей является обеспечение хранения электронных документов на разных носителях (серверах, оптических дисках, библиотеках-автоматах и т.д.). К тому же надо обеспечить быстрый поиск и доступ к различным устройствам хранения информации, чтобы факторы доступности и стоимости хранения всегда были в оптимальном соотношении в зависимости от важности и актуальности информации. Для этого используют технологии информационных хранилищ HSM и Data Migration - автоматической миграции документов.
Для обеспечения распределенной обработки данныхв режиме реального времени (on-line) можно по сети посредством запросов, объединенных в транзакции, получить данные из информационного хранилища. Можно посредством Web-сервера предприятия подсоединиться к интернет и тем самым получить доступ к удаленным данным. Можно в почтовом режиме (off-line) по электронной почте послать запрос в информационное хранилище, задав критерии выбора данных. По этим критериям будет сформирован список документов и переправлен пользователю. Этим способом коммерческая служба может оказывать информационные услуги.
К традиционным функциям систем электронного документооборота относятся:
• библиотечные службы (хранение содержимого и атрибутов документов, регистрация изменений, обеспечение поиска, средства безопасности);
|
|
• управление деловыми процессами (разработка маршрутов движения документов, автоматизация выполнения бизнес-процессов, контроль исполнения документов);
• работа с составными документами (определение структуры, формирование содержания, опубликование);
• интеграция с внешними приложениями (офисными и предметными приложениями, электронной почтой).
К ним добавляются функции управления знаниями:
• автоматизация жизненного цикла документов;
• поддержка принятия решений.
Жизненный цикл представляет собой описание стадий использования документа в ходе делового процесса (история жизни документа) в целях управления этим процессом. Примерами стадий существования документа являются: создание документа, согласование, использование, редактирование, уничтожение, хранение в архиве и др. Для каждой стадии жизненного цикла указываются бизнес-процессы и критерии перехода документа из одной стадии в другую.
Заметим, что жизненный цикл документа и маршрут движения (workflow) - принципиально разные, хотя и тесно связанные между собой понятия. Маршрут движения показывает кто, что, в каком порядке делает в процессе движения документа. Например, на стадии жизненного цикла - согласование документа - могут применяться разные маршруты движения. В то же время в ходе исполнения единственного маршрута документ может пройти несколько стадий своего жизненного цикла
Технологии интеллектуального анализа данных обеспечивают:
• извлечение и накопление информации из внешних источников (файл-серверов,
серверов баз данных, почтовых систем, Web-серверов, принадлежащих различным ин
формационным службам университетов, правительственных органов и даже конкурентов, доступным по интернету);
• анализ собранной информации с целью определения ее надежности и соответствия бизнесу на основании собственных внутренних баз данных;
• формирование и предоставление интеллектуального капитала (аналитических
данных) сотрудникам предприятия в нужное время в требуемом формате и в соответствии с их ролями и задачами в контексте бизнеса для принятия решений.
|
|
Модуль поддержки принятия решений состоит из графического редактора, системы обеспечения жизненного цикла документов, инструментов извлечения аналитических данных, средств визуального программирования и др.
Для реализации большинства перечисленных функций разработаны специальные серверы, например, EDMS-сервер (Electronic Document Management System).
Использование технологий электронного документооборота и деловых интеллектуальных технологий выбора данных позволили создать приложения по следующим направлениям:
• маркетинг и сбыт продукции;
• управление качеством;
• управление исследованиями;
• управление финансовыми рисками;
• управление проектами и командами разработчиков и др.
Во всех перечисленных направлениях работ требуется сбор и анализ «внешней» информации, чтобы определить спрос, конкурентов, поставщиков, ресурсы, заказчиков, состояние исследований и новых разработок у конкурентов и т.д. Этим занимаются специальные службы организации.