Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

МАЙКОПСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ

Факультет новых социальных технологий

Кафедра организации и технологии защиты информации

КУРСОВАЯ РАБОТА

По дисциплине «Правовая защита информации»

На тему

«Правовое регулирование отношений в сфере электронного документооборота»

Содержание

Введение

Глава I. Основные положения теории защиты информации

1.1 Сущность проблемы и задачи защиты информации

1.2 Методы и средства защиты информации

1.3 Информационная безопасность предприятия

Глава II. Электронный документооборот: общие сведения

2.1 Правовой статус электронного документа

2.2Требования к системам электронного документооборот и их функциональные компоненты

2.3. Модель состояний и жизненного цикла документа

2.4 Понятие «электронный документ»

Заключение

Список источников и используемой литературы

Введение

Актуальность. В сложном сегодняшнем мире, в котором мы живем и действуем, информация стала основным двигателем социального прогресса и едва ли не самым дорогим товаром. Компьютерные технологии, проникая во все большее число сфер человеческой деятельности, приводят к существенным изменениям в структуре производства, меняют привычные стереотипы в области коммуникаций и воздействуют на многие жизненные процессы, становясь неотъемлемым инструментом в повседневной деятельности сотен миллионов людей.

Сегодня пришло понимание необходимости автоматизации хранения и обработки информации, так как её объемы таковы, что обрабатывать её вручную уже не представляется возможным. Существуют оценки, что до 90% времени сотрудников тратится на поиск необходимых для работы документов. Это проблема усугубляется при коллективном использовании документов, когда надо найти документы, созданные другим сотрудником, и, наконец, она становится практически невыполнимой в том случае, если организация является территориально-распределенной. Эффективно реализованная система документооборота позволяет преодолеть эти трудности, а так же приводит к уменьшению стоимости хранения информации за счет: сокращения площадей, на которых хранится информация; уничтожения малоэффективных бумажных документов; более компактного хранения бумажных документов; увеличения скорости поиска и доступа к необходимым документам. Немаловажно отметить еще и фактор повышения безопасности при работе с документами за счёт организации глубокой системы защиты документов, в зависимости от операций и пользователей, и от несанкционированного доступа. Кроме того, запись всех операций с документами позволяет восстановить всю историю действий с ними, что также часто бывает крайне необходимо.

Объектом исследования является электронный документооборот. Предметом исследования является информационная безопасность электронного документооборота и правовое регулирование отношений в этой сфере.

Основной целью курсовой работы является изучение методов защиты информации, передаваемой с помощью новейших информационных технологий, правового статуса электронного документа, проблем правового регулирования электронного документооборота.

Поставленная цель достигается путем решения следующих задач:

1. Рассмотреть задачи методы и средства защиты информации.

2. Раскрыть концепцию информационной безопасности предприятия.

3. Раскрыть понятие «электронный документ», СЭД

4. Рассмотреть правовой статус электронного документа

5. Рассмотреть существующие проблемы правового регулирования электронного документооборота.

Практическая значимость. Результаты данной курсовой работы в дальнейшем могут быть использованы для написания дипломной работы.

Глава I. Основные положения теории защиты информации

1.1 Сущность проблемы и задачи защиты информации

Широкое применение компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации, циркулирующей в компьютерных системах, от несанкционированного доступа. Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число угроз информации, которые могут быть реализованы как со стороны внешних нарушителей, так и со стороны внутренних нарушителей.

В области защиты информации и компьютерной безопасности в целом наиболее актуальными являются три группы проблем:

1. нарушение конфиденциальности информации;

2. нарушение целостности информации;

3. нарушение работоспособности информационно-вычислительных систем.

Защита информации превращается в важнейшую проблему государственной безопасности, когда речь идет о государственной, дипломатической, военной, промышленной, медицинской, финансовой и другой доверительной, секретной информации. Огромные массивы такой информации хранятся в электронных архивах, обрабатываются в информационных системах и передаются по телекоммуникационным сетям. Основные свойства этой информации - конфиденциальность и целостность, должны поддерживаться законодательно, юридически, а также организационными, техническими и программными методами.

Конфиденциальность информации (от лат. confidentia - доверие) предполагает введение определенных ограничений на круг лиц, имеющих доступ к данной информации. Степень конфиденциальности выражается некоторой установленной характеристикой (особая важность, совершенно секретно, секретно, для служебного пользования, не для печати и т.п.), которая субъективно определяется владельцем информации в зависимости от содержания сведений, которые не подлежат огласке, предназначены ограниченному кругу лиц, являются секретом. Естественно, установленная степень конфиденциальности информации должна сохраняться при ее обработке в информационных системах и при передаче по телекоммуникационным сетям.

Другим важным свойством информации является ее целостность (integrty). Информация целостна, если она в любой момент времени правильно (адекватно) отражает свою предметную область. Целостность информации в информационных системах обеспечивается своевременным вводом в нее достоверной (верной) информации, подтверждением истинности информации, защитой от искажений и разрушения (стирания).

Несанкционированный доступ к информации лиц, не допущенных к ней, умышленные или неумышленные ошибки операторов, пользователей или программ, неверные изменения информации вследствие сбоев оборудования приводят к нарушению этих важнейших свойств информации и делают ее непригодной и даже опасной. Ее использование может привести к материальному и/или моральному ущербу, поэтому создание системы защиты информации, становится актуальной задачей. Под безопасностью информации (information security) понимают защищенность информации от нежелательного ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.

Безопасность информации в информационной системе или телекоммуникационной сети обеспечивается способностью этой системы сохранять конфиденциальность информации при ее вводе, выводе, передаче, обработке и хранении, а также противостоять ее разрушению, хищению или искажению. Безопасность информации обеспечивается путем организации допуска к ней, защиты ее от перехвата, искажения и введения ложной информации. С этой целью применяются физические, технические, аппаратные, программно-аппаратные и программные средства защиты. Последние занимают центральное место в системе обеспечения безопасности информации в информационных системах и телекоммуникационных сетях.

Задачи обеспечения безопасности:

- защита информации в каналах связи и базах данных криптографическими методами;

- подтверждение подлинности объектов данных и пользователей (аутентификация сторон, устанавливающих связь);

- обнаружение нарушений целостности объектов данных;

- обеспечение защиты технических средств и помещений, в которых ведется обработка конфиденциальной информации, от утечки по побочным каналам и от возможно внедренных в них электронных устройств съема информации;

- обеспечение защиты программных продуктов и средств вычислительной техники от внедрения в них программных вирусов и закладок;

- защита от несанкционированных действий по каналу связи от лиц, не допущенных к средствам шифрования, но преследующих цели компрометации секретной информации и дезорганизации работы абонентских пунктов;

- организационно-технические мероприятия, направленные на обеспечение сохранности конфиденциальных данных.

1.2 Методы и средства защиты информации

1) Традиционные меры и методы защиты информации

Для обеспечения безопасности информации в офисных сетях проводятся различные мероприятия, объединяемые понятием «система защиты информации». Система защиты информации - это совокупность мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

Традиционные меры для противодействия утечкам информации подразделяются на технические и организационные.

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

К организационным мерам можно отнести охрану серверов, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после выхода его из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).

Несанкционированный доступ к информации может происходить во время профилактики или ремонта компьютеров за счет прочтения остаточной информации на носителях, несмотря на ее удаление пользователем обычными методами. Другой способ - прочтение информации с носителя во время его транспортировки без охраны внутри объекта или региона.

Современные компьютерные средства построены на интегральных схемах. При работе таких схем происходят высокочастотные изменения уровней напряжения и токов, что приводит к возникновению в цепях питания, в эфире, в близрасположенной аппаратуре и т.п. электромагнитных полей и наводок, которые с помощью специальных средств (условно назовем их "шпионскими") можно трансформировать в обрабатываемую информацию. С уменьшением расстояния между приемником нарушителя и аппаратными средствами вероятность такого рода съема и расшифровки информации увеличивается.

Несанкционированное ознакомление с информацией возможно также путем непосредственного подключения нарушителем «шпионских» средств к каналам связи и сетевым аппаратным средствам.

Традиционными методами защиты информации от несанкционированного доступа являются идентификация и аутентификация, защита паролями.

Идентификация и аутентификация. В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности объекта (субъекта) и разграничения доступа. В основе построения таких систем находится принцип допуска и выполнения только таких обращений к информации, в которых присутствуют соответствующие признаки разрешенных полномочий.

Ключевыми понятиями в этой системе являются идентификация и аутентификация. Идентификация - это присвоение какому-либо объекту или субъекту уникального имени или образа. Аутентификация - это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.

Конечная цель процедур идентификации и аутентификации объекта (субъекта) - допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.

Объектами идентификации и аутентификации могут быть: люди (пользователи, операторы и др.); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки и др.); магнитные носители информации; информация на экране монитора и др.

Установление подлинности объекта может производиться аппаратным устройством, программой, человеком и т.д.

Защита паролями. Пароль - это совокупность символов, определяющая объект (субъекта). При выборе пароля возникают вопросы о его размере, стойкости к несанкционированному подбору, способам его применения. Естественно, чем больше длина пароля, тем большую безопасность будет обеспечивать система, ибо потребуются большие усилия для его отгадывания. При этом выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базой и быстродействием.

В случае применения пароля необходимо периодически заменять его на новый, чтобы снизить вероятность его перехвата путем прямого хищения носителя, снятия его копии и даже физического принуждения человека. Пароль вводится пользователем в начале взаимодействия с компьютерной системой, иногда и в конце сеанса (в особо ответственных случаях пароль нормального выхода может отличаться от входного). Для правомочности пользователя может предусматриваться ввод пароля через определенные промежутки времени.

Пароль может использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю.

Для идентификации пользователей могут применяться сложные в плане технической реализации системы, обеспечивающие установление подлинности пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса и др.

Широкое распространение нашли физические методы идентификации с использованием носителей кодов паролей. Такими носителями являются пропуска в контрольно-пропускных системах; пластиковые карты с именем владельца, его кодом, подписью; пластиковые карточки с магнитной полосой; пластиковые карты с встроенной микросхемой (smart-card); карты оптической памяти и др.

Средства защиты информации по методам реализации можно разделить на три группы:

· программные;

· программно-аппаратные;

· аппаратные.

Программными средствами защиты информации называются специально разработанные программы, которые реализуют функции безопасности вычислительной системы, осуществляют функцию ограничения доступа пользователей по паролям, ключам, многоуровневому доступу и т.д. Эти программы могут быть реализованы практически в любой операционной системе, удобной для пользователя. Как правило, эти программные средства обеспечивают достаточно высокую степень защиты системы и имеют умеренные цены. При подключении такой системы в глобальную сеть вероятность взлома защиты увеличивается. Следовательно, этот способ защиты приемлем для локальных замкнутых сетей, не имеющих внешний выход.

Программно-аппаратными средствами называются устройства, реализованные на универсальных или специализированных микропроцессорах, не требующие модификаций в схемотехнике при изменении алгоритма функционирования. Эти устройства также адаптируются в любой операционной системе, имеют большую степень защиты. Они обойдутся несколько дороже (их цена зависит от типа операционной системы). При этом данный тип устройств является самым гибким инструментом, позволяющим вносить изменения в конфигурацию по требованию заказчика. Программно-аппаратные средства обеспечивают высокую степень защиты локальной сети, подключенной к глобальной.

Аппаратными средствами называются устройства, в которых функциональные узлы реализуются на сверхбольших интегральных системах (СБИС) с неизменяемым алгоритмом функционирования. Этот тип устройств адаптируется в любой операционной системе, является самым дорогим в разработке, предъявляет высокие технологические требования при производстве. В то же время эти устройства обладают самой высокой степенью защиты, в них невозможно внедриться и внести конструктивные или программные изменения. Применение аппаратных средств затруднено из-за их высокой стоимости и статичности алгоритма.

Программно-аппаратные средства, уступая аппаратным по скорости, позволяют в то же время легко модифицировать алгоритм функционирования и не обладают недостатками программных методов.

К отдельной группе мер по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений в режиме реального времени.

2) Криптографические методы и средства защиты информации

Наибольший интерес сегодня вызывают следующие направления теоретических и прикладных исследований: создание и анализ надежности криптографических алгоритмов и протоколов; адаптация алгоритмов к различным аппаратным и программным платформам; использование существующих технологий криптографии в новых прикладных системах; возможность использования технологий криптографии для защиты интеллектуальной собственности.

Интерес к исследованиям по адаптации алгоритмов к различным аппаратным и программным платформам вызван созданием кроссплатформных телекоммуникационных систем на базе единых стандартов на алгоритмы. Один и тот же алгоритм должен эффективно выполняться на самых различных аппаратных и программных платформах от мобильного телефона до маршрутизатора, от смарт-карты до настольного компьютера.

Существующие средства защиты данных можно разделить на две группы по принципу построения ключевой системы и системы аутентификации. К первой группе отнесем средства, использующие для построения ключевой системы и системы аутентификации симметричные криптоалгоритмы, ко второй - асимметричные.

Проведем сравнительный анализ этих систем. Готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, т. е. в закрытые текст или графическое изображение документа. В таком виде сообщение передается по каналу связи, даже и не защищенному. Санкционированный пользователь после получения сообщения дешифрует его (т. е. раскрывает) посредством обратного преобразования криптограммы, вследствие чего получается исходный, открытый вид сообщения, доступный для восприятия санкционированным пользователям.

Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом (последовательностью бит), обычно называемым шифрующим ключом. Для большинства систем схема генератора ключа может представлять собой набор инструкций и команд либо узел аппаратуры, либо компьютерную программу, либо все это вместе, но в любом случае процесс шифрования (дешифрования) реализуется только этим специальным ключом. Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю, необходимо знать правильную ключевую установку и хранить ее в тайне.

Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее, этот ключ должен быть известен другим пользователям сети, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации. Взломщик в случае перехвата сообщения будет иметь дело только с зашифрованным текстом, а истинный получатель, принимая сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.

Кроме того, существует возможность шифрования информации и более простым способом -- с использованием генератора псевдослучайных чисел. Использование генератора псевдослучайных чисел заключается в генерации гаммы шифра с помощью генератора псевдослучайных чисел при определенном ключе и наложении полученной гаммы на открытые данные обратимым способом. Этот метод криптографической защиты реализуется достаточно легко и обеспечивает довольно высокую скорость шифрования, однако недостаточно стоек к дешифрованию.

Для классической криптографии характерно использование одной секретной единицы -- ключа, который позволяет отправителю зашифровать сообщение, а получателю расшифровать его. В случае шифрования данных, хранимых на магнитных или иных носителях информации, ключ позволяет зашифровать информацию при записи на носитель и расшифровать при чтении с него.

Из изложенного следует, что надежная криптографическая система должна удовлетворять ряду определенных требований.

* Процедуры зашифровывания и расшифровывания должны быть «прозрачны» для пользователя.

* Дешифрование закрытой информации должно быть максимально затруднено.

* Содержание передаваемой информации не должно сказываться на эффективности криптографического алгоритма.

Наиболее перспективными системами криптографической защиты данных сегодня считаются асимметричные криптосистемы, называемые также системами с открытым ключом. Их суть состоит в том, что ключ, используемый для зашифровывания, отличен от ключа расшифровывания. При этом ключ зашифровывания не секретен и может быть известен всем пользователям системы. Однако расшифровывание с помощью известного ключа зашифровывания невозможно. Для расшифровывания используется специальный, секретный ключ. Знание открытого ключа не позволяет определить ключ секретный. Таким образом, расшифровать сообщение может только его получатель, владеющий этим секретным ключом.

Специалисты считают, что системы с открытым ключом больше подходят для шифрования передаваемых данных, чем для защиты данных, хранимых на носителях информации.

Одной из важных социально-этических проблем, порождённых всё более расширяющимся применением методов криптографической защиты информации, является противоречие между желанием пользователей защитить свою информацию и передачу сообщений и желанием специальных государственных служб иметь возможность доступа к информации некоторых других организаций и отдельных лиц с целью пресечения незаконной деятельности.

В развитых странах наблюдается широкий спектр мнений о подходах к вопросу о регламентации использования алгоритмов шифрования. Высказываются предложения от полного запрета широкого применения криптографических методов до полной свободы их использования. Некоторые предложения относятся к разрешению использования только ослабленных алгоритмов или к установлению порядка обязательной регистрации ключей шифрования. Чрезвычайно трудно найти оптимальное решение этой проблемы.

Криптография предоставляет возможность обеспечить безопасность информации в INTERNET и сейчас активно ведутся работы по внедрению необходимых криптографических механизмов в эту сеть. Не отказ от прогресса в информатизации, а использование современных достижений криптографии - вот стратегически правильное решение. Возможность широкого использования глобальных информационных сетей и криптографии является достижением и признаком демократического общества.

1.3 Информационная безопасность предприятия

Отличительным признаком коммерческой деятельности является соизмерение затрат и результатов работы, стремление к получению максимальной прибыли. Кроме того, одной из отличительных особенностей коммерческой деятельности является то, что она осуществляется в условиях жесткой конкуренции, соперничества, борьбы предприятий за получение выгод и преимуществ по сравнению с предприятиями аналогичного профиля.

Конкурентная борьба это спутник и движитель коммерческой деятельности, а также условие выживания коммерческих предприятий. Отсюда их стремление сохранить в секрете от конкурента приемы и особенности своей деятельности, которые обеспечивают им преимущество над конкурентом. Отсюда и стремление конкурентов выявить эти секреты, чтобы использовать их в своих интересах для получения превосходства в конкурентной борьбе. Несанкционированное получение, использование (разглашение) таких секретов без согласия их владельцев отнесены к одной из форм недобросовестной конкуренции, называемой промышленным шпионажем.

Защищаемые секреты коммерческой деятельности получили название коммерческой тайны. Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка), которых может нанести ущерб его интересам.

В Гражданском кодексе РФ изложены основания отнесения информации к коммерческой тайне: информация составляет коммерческую тайну в случае, когда она имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам, к ней нет доступа на законном основании и обладатель (носитель) информации принимает меры к охране ее конфиденциальности.

Нарушение статуса любой информации заключается в нарушении ее логической структуры и содержания, физической сохранности ее носителя, доступности для правомочных пользователей. Нарушение статуса конфиденциальной информации дополнительно включает нарушение ее конфиденциальности или закрытости для посторонних лиц.

Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т. е. таким воздействиям, которые нарушают ее установленный статус.

Уязвимость информации проявляется в различных формах. К таким формам, выражающим результаты дестабилизирующего воздействия на информацию, относятся:

- хищение носителя информации или отображенной в нем информации (кража);

- потеря носителя информации (утеря);

- несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение);

- искажение информации (несанкционированное изменение, подделка, фальсификация);

- блокирование информации;

- разглашение информации (распространение, раскрытие ее содержания).

Та или иная форма уязвимости информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия. Такими источниками могут быть: люди, технические средства обработки и передачи информации, средства связи, стихийные бедствия и др.

Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.

Реализация форм проявления уязвимости информации приводит или может привести к двум видам уязвимости - утрате или утечке информации.

Утечка информации в компьютерных системах может быть допущена как случайно, так и преднамеренно, с использованием технических средств съема информации. Средства противодействия случайной утечки информации, причиной которой может быть программно-аппаратный сбой или человеческий фактор, могут быть разделены на следующие основные функциональные группы: дублирование информации, повышение надёжности компьютерных систем, создание отказоустойчивых компьютерных систем, оптимизация взаимодействия человека и компьютерной системы, минимизация ущерба от аварий и стихийных бедствий (в том числе, за счет создания распределённых компьютерных систем), блокировка ошибочных операций пользователей. К утрате информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной, но в любом случае она наносит ущерб собственнику информации.

Несанкционированный доступ -- это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

* перехват электронных излучений;

* принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;

* применение подслушивающих устройств (закладок);

* дистанционное фотографирование;

* перехват акустических излучений и восстановление текста принтера;

* копирование носителей информации с преодолением мер защиты

* маскировка под зарегистрированного пользователя;

* маскировка под запросы системы;

* использование программных ловушек;

* использование недостатков языков программирования и операционных систем;

* незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;

* злоумышленный вывод из строя механизмов защиты;

* расшифровка специальными программами зашифрованной: информации;

* информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки -- это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации -- канал утечки.

Однако есть и достаточно примитивные пути несанкционированного доступа:

- хищение носителей информации и документальных отходов;

- инициативное сотрудничество;

- склонение к сотрудничеству со стороны взломщика;

- выпытывание;

- подслушивание;

- наблюдение и другие пути.

Для обеспечения эффективного применения системы защиты информации на предприятии при ее построении необходимо учитывать следующие требования:

- эшелонированность. Система защиты должна состоять из нескольких уровней. Нарушение защиты на каком-либо уровне не должно повлечь за собой ослабления других уровней или недееспособности системы защиты в целом; согласованность. Средства защиты, в том числе входящие в региональные составляющие телекоммуникационной сети предприятия, должны обеспечивать возможность их эксплуатации в рамках единой системы;

- интегрируемость. Средства защиты информации должны оптимальным образом встраиваться в инфраструктуру телекоммуникационной сети;

- контролируемость. События, связанные с функционированием системы защиты, должны контролироваться средствами мониторинга безопасности;

- сертифицируемость. Применяемые при построении системы защиты средства должны удовлетворять установленным стандартам и требованиям.

Глава II. Электронный документооборот: общие сведения

2.1 Правовой статус электронного документа

Переход к массовому применению электронного документа в практической деятельности ведет к соответствующему увеличению числа конфликтных ситуаций между участниками электронного взаимодействия. В процесс обмена электронными документами вовлекается большое число субъектов, обеспечивающих, на принадлежащих им или арендуемых ими программно-технических средствах, формирование, поэтапную обработку, передачу и хранение электронного документа. Конфликты инициируются как технологическими ошибками, так и противоречивой трактовкой участниками своих функциональных прав и обязанностей по отношению к документу. Регламентирование прав и обязанностей возможно на основе взаимных соглашений и договоров между участниками, однако при массовых объемах электронного взаимодействия заключение в каждом случае индивидуальных договоров и соглашений становится практически нереальным.

Снижение уровня конфликтности требует четкого определения статуса электронного документа как объекта правоотношений участников информационного взаимодействия. Кто несет ответственность, например, за нарушение целостности документа: автор, владелец средств формирования документа, провайдер, владелец сети передачи, получатель документа? Кто, за какие действия, и в какой степени несет ответственность за искажение документа или за нарушение конфиденциальности? К кому предъявить претензии, если электронный платеж не дошел до адресата, например, налоговой инспекции? Должен ли налогоплательщик сам отслеживать всю достаточно длинную цепочку сопутствующих электронных документов?

Необходима жесткая правовая регламентация функциональных связей между объектом, электронным документом, и субъектами, участвующими в его практической реализации. Прямая регламентация прав и обязанностей участников взаимодействия невозможна как из-за многообразия конфликтных ситуаций, так и в силу стремительной смены, совершенствования и создания новых информационных технологий. С другой стороны, отнесение электронного документа к некоторой правовой категории позволило бы строить на этой основе взаимоотношения между субъектами-участниками на основе известных правовых норм.

Концептуальный подход представлен в Федеральном законе "Об информации, информатизации и защите информации" от 02 февраля 2006 года - документ рассматривается как элемент состава имущества и объект права собственности. Этот подход позволяет достаточно четко установить границы прав и обязанностей участников электронного взаимодействия применительно к электронному документу.

Если право собственности на документ (документированную информацию) подменить, например, невнятным правом собственности на информацию, то можно трактовать эту собственность исключительно в рамках авторского права. Тем самым, любой "сильный" приобретает законную возможность выемки интересующей его информации "слабых" юридических и физических лиц, а последние лишаются права на препятствование этому, так как документ не есть часть имущества. Если режим защиты конфиденциальной информации устанавливается не собственником, а государством (федеральными, муниципальными, местными органами власти), то всегда можно предписать такой режим, который не будет препятствовать несанкционированному доступу соответствующих структур к информации (что много шире, чем документ) частных лиц, организаций и предприятий. Например, под лозунгом борьбы с организованной преступностью ограничить применение доступных средств защиты и рассматривать их применение как нарушение закона.

Согласно законопроекту отдельные документы к информационным ресурсам не причисляются, следовательно, все его дальнейшие положения об информационных ресурсах формально не имеют отношения к электронному документу. В законе-95 (ст. 2) явно определен собственник, владелец и пользователь информационных ресурсов (следовательно, и отдельного документа):

- "собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами;

- "владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом".

- "пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею".

Статья 6 закона-95 "Информационные ресурсы как элемент состава имущества и объект права собственности" гласит: - "Информационные ресурсы могут быть государственными и негосударственными и как элемент состава имущества находятся в собственности граждан, органов государственной власти, органов местного управления, организаций и общественных учреждений. Отношения по поводу права собственности на информационные ресурсы регулируются гражданским законодательством". Ст. 15 Закона-95 "Обязанности и ответственность владельца информационных ресурсов" определяет: - "Владелец информационных ресурсов обязан обеспечить соблюдение режима обработки и правил предоставления информации пользователю, установленных законодательством Российской Федерации или собственником этих ресурсов, в соответствии с законодательством.

электронный документооборот защита информация

2.2 Требования к системам электронного документооборота и их функциональные компоненты

С течением времени требования к автоматизации деловых процессов растут. И если когда-то ставилась задача автоматизации отдельных участков работы подразделений, что привело к наличию большого количества разрозненных программных продуктов, то теперь основной вопрос - организация комплексной системы оперативного управления. Именно этот подход позволяет наиболее эффективно решить задачу автоматизации.

Документы - это основные информационные ресурсы любой организации, работа с ними требует правильной постановки. Документы обеспечивают информационную поддержку принятия управленческих решений на всех уровнях и сопровождают все бизнес-процессы. Документооборот - это непрерывный процесс движения документов, объективно отражающий деятельность организации и позволяющий оперативно ей управлять. Горы макулатуры, длительный поиск нужного документа, потери, дубликаты, задержки с отправкой и получением, ошибки персонала составляют далеко не полный перечень проблем, возникающих при неэффективном построении документооборота. Всё это может сильно затормозить, а в исключительных случаях - полностью парализовать работу организации.

Эффективный документооборот является обязательной составляющей эффективного управления. Документооборот исключительно важен для правильной организации финансового и управленческого учёта.

Системы электронного документооборота формируют новое поколение систем автоматизации предприятий. Основными объектами автоматизации в таких системах являются документы (в самом широком их понимании, от обычных бумажных до электронных любого формата и структуры) и бизнес-процессы, представляющие как движение документов, так и их обработку. Данный подход к автоматизации предприятий является одновременно и конструктивным и универсальным, обеспечивая автоматизацию документооборота и всех бизнес-процессов предприятия в рамках единой концепции и единого программного инструментария.

Система электронного документооборота (СЭД) должна выполнять следующие функции:

§ регистрация корреспонденции (входящие, исходящие)

§ электронный архив документов

§ согласование и утверждение ОРД

§ контроль исполнения документов и поручений

§ автоматизация договорного процесса

§ управление библиотекой книг (book management)

§ библиотека регламентов управленческих процедур

§ оформление командировок

§ организация внутреннего информационного портала предприятия и его подразделений

§ система контроля выполнения должностных инструкций

Исходя из функционального назначения, будущей СЭД предъявляется ряд требований, условно разделяемых на две группы. К общим относятся те классические требования, которые предъявляются ко всем аналогичным системам, призванным решать проблемы обработки данных (масштабируемость, распределенность, открытость, модульность). К специальным можно отнести те специфические требования, которые актуальны именно для рассматриваемой СЭД, учитывая объективные условия ее дальнейшего функционирования.

Опираясь на опыт существующих разработок, можно выделить ряд функциональных компонент, которые должна содержать СЭД:

Пользователи - субъекты системы вместе со своими инструментальными средствами, обращающиеся к СЭД за информацией либо с целью выполнения определенных действий.

Система управления доступом - правила, в соответствии с которыми для каждого пользователя определен набор привилегий на соответствующий набор объектов (документов и/или действий над документами). Пользователи могут объединяться в группы с единым набором привилегий.

Система управления документами - алгоритмы обработки, создания, модификации и движения документов - это главное звено СЭД.

Система импорта-экспорта документов, обеспечивающая конвертацию документов различных типов в приемлемый формат и совместимость их с рядом других прикладных программ.

Система хранения данных - модель данных и механизмы ее реализации, которая может быть организовано на нескольких уровнях: на уровне неструктурированной информации (файлы) и структурированной - базы данных.

Все компоненты взаимосвязаны, а функциональность всей СЭД обеспечивается функционированием каждой отдельной компоненты и их регламентированным взаимодействием друг с другом.

2.3 Модель состояний и жизненного цикла документа

Понятие "документ" пришло в русский язык из латинского, где термин documentum означает "свидетельство, доказательство". В сущности, это наиболее точное толкование юридического значения документа.

Толковый словарь русского языка определяет понятие "документ" в трех смысловых значениях:

- деловая бумага, подтверждающая какой-либо факт или право на что-либо;

- удостоверение, официальная бумага, свидетельствующие о личности предъявителя;

- письменное свидетельство о каких-либо исторических событиях, фактах.

С юридической точки зрения в самом обобщенном виде первое и второе из приведенных выше значений совпадают, так как документ, удостоверяющий личность, - это и свидетельство, и доказательство одновременно.

Федеральный закон "Об информации, информатизации и защите информации", не содержит легального определения понятия "носитель информации", хотя для темы данной курсовой работы оно крайне необходимо. Такое определение можно почерпнуть из Закона Российской Федерации "О государственной тайне"(СЗ РФ. 1997. N 41. Ст. 8220 - 8235.), где оно сформулировано следующим образом: "носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов".

Под оформлением документа в установленном порядке следует понимать соблюдение следующих условий:

- наличие на документе необходимых реквизитов, позволяющих однозначно судить об органе, организации, либо лице, от которого они исходят;

- соблюдение установленной законом либо иным нормативным правовым актом процедуры подготовки, регистрации и рассылки (выдачи) документа.

Действующий государственный стандарт Р 6.30-97 "Требования к оформлению документов" предписывает наличие на документе как минимум четырнадцати обязательных реквизитов, которые к тому же должны быть расположены в определенном порядке. В целом же число реквизитов равно двадцати девяти.

В деловой практике не все реквизиты проставляются, поэтому, если в качестве примера взять такой распространенный вид документа, как письмо федерального органа исполнительной власти, направленное в качестве ответа на запрос, скажем, хозяйственного субъекта, то оно должно содержать следующие реквизиты:

1) Государственный герб Российской Федерации (либо эмблему федерального органа исполнительной власти);

2) наименование федерального органа исполнительной власти;

3) справочные данные о федеральном органе исполнительной власти (почтовый индекс, адрес);

4) дата подписания (регистрации) документа;

5) регистрационный номер документа;

6) ссылка на регистрационный номер и дату документа, на который направляется ответ;

7) адресат документа;

8) текст документа;

9) наименование должности лица, подписавшего документ;

10) подпись должностного лица;

11) печать (не во всех случаях);

12) отметку, содержащую данные исполнителя документа и его контактный телефон.

Конечно, не каждый из указанных реквизитов имеет одинаковое в сравнении с другими юридическое значение, но для признания документа подлинным необходима их совокупность.

Динамической характеристикой документа является его состояние. Состояния (редактирование, выполнение активного документа, движение - пересылка по почте, архивирование) сменяются в соответствии с определенными правилами (регламентом). Регламент определяется в зависимости от значения статических атрибутов - типа, подтипа, защиты и вида.

Точка входа и точка выхода отделяют внутренний документооборот от внешней среды. Документы, попадающие во внутреннюю среду с точки входа, являются, по определению, входящими. Аналогично, документы, попадающие из внутреннего оборота на точку выхода - являются исходящими. Смена состояний, как уже было отмечено, происходит в соответствии со значениями атрибутов документов, которые его однозначно классифицируют.

Что касается внешних связей, то с точки входа документ может попасть в состояние выполнения не сразу, а может сначала редактироваться или пересылаться по почте внутренним сотрудникам (например, неактивный документ - для ознакомления с содержащейся в нем информацией), или же вообще сразу попасть в архив, если информация не требует распространения или действий. Из состояния редактирования или движения документ может попасть на выход (для неактивных документов). Выполненный активный документ, а также извлеченный из архива документ любого типа также может попасть на выход.

Таким образом, несмотря на достаточно мягкие требования к смене состояний, некоторые правила упорядоченности все же должны выполняться, например, активный документ, содержащий задание для выполнения, может корректно попасть на выход только после своего окончательного выполнения. Входящий документ не может попасть в состояние результата, не будучи выполненным.

Жизненный цикл документа, таким образом, представляет собой упорядоченную смену состояний документа в зависимости от его типа, подтипа и вида.

Модель жизненного цикла СЭД является спиральной и включает в себя следующие этапы: создание/редактирование, движение, задача, мониторинг, архив. Жизненный цикл документа не должен обязательно включать в себя все этапы.

Создание/редактирование. Под созданием понимается либо непосредственное создание документа в СЭД и хранение его в БД документов, либо регистрация документа, хранящегося во «внешней» системе, например, ИАИС. После того, как документ создан на следующем витке документ на этом этапе будет редактироваться.

Движение. Документ после своего создания может быть отправлен другим пользователям СЭД для выполнения над ним определенных регламентом работ, например, согласование, подпись, редактирование, ознакомление и др. Такое состояние документа определяется правилами бизнеса в вузе, с одной стороны, и типом документа, с другой.

Задача. Активные документы могут порождать задачи, которые необходимо выполнить для того, чтобы отразить назначение (вид) документа. Такими задачами могут быть: поручение; контроль за выполнением предписания, содержащегося в документе и т.д. Этот этап жизненного цикла должен обеспечиваться подсистемой контроля за выполнением задачи.

Мониторинг. Под мониторингом понимается набор действий, обеспечивающих контроль над состоянием документа. Пользователь с соответствующими привилегиями должен в любой момент времени знать, в каком состоянии находится документ: редактируется, на подписи, на утверждении и т.д. Сюда же следует отнести функции подсистемы контроля за выполнением задачи.

Архив. «Отработанный» документ может быть сдан в электронный архив, где обеспечиваются функции хранения, поиска и доступа к документу в том случае, если он «может понадобиться» в дальнейшем.

2.4 Понятие «электронный документ»

К сожалению, в России нет нормативных актов законодательного уровня, определяющих понятие «электронный документ». Более того, в современной юридической практике существуют несколько совершенно разных подходов к его определению. Наиболее четким представляется определение, сформулированное в 2000-2001 годах при формировании блока так называемых электронных законопроектов: "Электронный документ - сведения, представленные в форме набора состояний элементов электронной вычислительной техники (ЭВТ), иных электронных средств обработки, хранения и передачи информации, могущей быть преобразованной в форму, пригодную для однозначного восприятия человеком, и имеющей атрибуты для идентификации документа".

Статья 4 проекта федерального закона "Об электронном документе": - "электронный документ представляет собой зафиксированную на материальном носителе информацию в виде набора символов, звукозаписи или изображения, предназначенную для передачи во времени и пространстве с использованием средств вычислительной техники и электросвязи в целях хранения и общественного использования". Статья 5 проекта: - Электронный документ должен быть представленным в форме, понятной для восприятия человеком.

Электронный документ не отделим от носителя, существует в двух формах: пассивной - хранение; и активной - передача и обработка, в том числе, визуализация при необходимости восприятия человеком. Нельзя говорить об обязательной фиксации или о состоянии электронного документа, если рассматривается активная форма его существования - тот промежуток времени, в течение которого он воспринимается, обрабатывается или передается.

Электронный документ носит динамический характер активного существования, он индицируется во времени, а не в пространстве: чтобы переместить на малое расстояние электронный документ очень большого объема, достаточно ничтожного сечения провода, но значительное время, пропорциональное объему документа.

Рассмотрим требование, что ": электронный документ должен быть представленным в форме, понятной для восприятия человеком". Если следовать данному предписанию, то надо запретить использование электронных документов, по крайней мере, в коммерческой деятельности - наиболее привлекательной и экономически эффективной области применения электронных документов. Так, почти все документы, связанные с документальным оформлением финансовых потоков, технологически реализуются в форме, недоступной для восприятия человеком, даже при их визуализации. Электронное платежное поручение есть некоторая строго упорядоченная совокупность двоичных чисел: номер (шифр) типа финансового документа, числовой адрес банка, клиента, номер счета, сумма, валюта, одна или несколько электронных цифровых подписей и др. банковские реквизиты.