лекции. Лекции. Гост р исо 1548912007 Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования, принятом на основе международного стандарта iso 154891 2001
Скачать 109.8 Kb.
|
3.2. СМЭВСистема межведомственного электронного взаимодействия (СМЭВ) (https://smev.gosuslugi.ru) Данный вопрос регулируется на основании Постановления Правительства РФ от 8 сентября 2010 г. N 697 "О единой системе межведомственного электронного взаимодействия". Система взаимодействия представляет собой федеральную государственную информационную систему, включающую информационные базы данных, в том числе содержащие сведения об используемых органами и организациями программных и технических средствах, обеспечивающих возможность доступа через систему взаимодействия к их информационным системам, о программных и технических средствах, обеспечивающих единый документированный способ взаимодействия информационных систем органов и организаций посредством технологии очередей электронных сообщений, обеспечивающей взаимодействие программ в асинхронном режиме, не требующей установки между ними прямой связи и гарантирующей получение передаваемых электронных сообщений и сведения об истории движения в системе взаимодействия электронных сообщений, а также программные и технические средства, обеспечивающие взаимодействие. Положения об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, утвержденного постановлением Правительства Российской Федерации от 8 июня 2011 г. N 451 "Об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме". Реализация взаимодействия информационных систем организаций и ведомств осуществляется в рамках государственной целевой программы «Информационное общество (2011-2020 годы)». Взаимодействие реализуется в рамках: системы межведомственного электронного документооборота (МЭДО) и единой системы межведомственного электронного взаимодействия (СМЭВ). Единая система межведомственного электронного взаимодействия (СМЭВ) - федеральная государственная информационная система, предназначенная для организации информационного взаимодействия между информационными системами участников СМЭВ в целях предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме. Участниками межведомственного электронного взаимодействия (участниками СМЭВ) являются федеральные органы исполнительной власти, государственные внебюджетных фонды, исполнительные органы государственной власти субъектов Российской Федерации, органы местного самоуправления, государственные и муниципальные учреждения, многофункциональные центры, иные органы и организации. Целью создания СМЭВ является повышение качества предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций за счет использования общих информационных ресурсов, уменьшения времени на поиск и обработку информации в электронной форме. СМЭВ предназначена для решения следующих задач: обеспечение исполнения государственных и муниципальных функций в электронной форме; обеспечение предоставления государственных и муниципальных услуг в электронной форме, в том числе с использованием универсальной электронной карты и единого портала; обеспечение информационного взаимодействия в электронной форме при предоставлении государственных и муниципальных услуг и исполнении государственных и муниципальных функций. Основными функциями СМЭВ являются: передача запросов, документов и сведений, необходимых для получения государственных и муниципальных услуг и поданных заявителями через единый портал, в подключенные к СМЭВ информационные системы; обмен электронными сообщениями между участниками СМЭВ; передача на единый портал запросов, иных документов и сведений, обработанных в информационных системах, а также информации о ходе выполнения запросов и результатах предоставления услуг. В целях исполнения своих функций СМЭВ обеспечивает: - доступ к электронным сервисам информационных систем, подключенных к СМЭВ; - возможность использования централизованных баз данных и классификаторов информационными системами, подключенными к СМЭВ; - получение, обработку и доставку электронных сообщений в рамках информационного взаимодействия участников СМЭВ, обеспечение фиксирования времени их передачи, целостности и подлинности, указания их авторства и возможности; - предоставления сведений, позволяющих проследить историю движения электронных сообщений; защиту передаваемой информации от несанкционированного доступа, искажения или блокирования с момента поступления указанной информации в СМЭВ до момента передачи ее в подключенную к СМЭВ информационную систему; - ведение реестра электронных сервисов информационных систем, подключенных к СМЭВ. 10 из 11 В основу реализации МЭДО легли следующие принципы: использование программного комплекс сопряжения (адаптер) единый формат обмена электронными сообщениями наличие программно-технического комплекс (шлюз) «Положение о системе межведомственного электронного документооборота» утверждено … постановлением Правительства РФ от 22 сентября 2009 г. № 754 «Положение о единой системе межведомственного электронного взаимодействия» утверждено постановлением Правительства РФ от 8 сентября 2010 г. № 697 В процессе использования систем электронного документооборота важным направлением являются вопросы аутентификации – это процедура проверки подлинности субъекта, позволяющая достоверно убедиться в том, что субъект, предъявивший свой идентификатор, на самом деле является именно тем субъектом, идентификатор которого он использует В процессе использования систем электронного документооборота важным направлением являются вопросы авторизации – это …процедура предоставления субъекту определенных прав доступа к ресурсам системы В процессе использования систем электронного документооборота важным направлением являются вопросы идентификации – это процедура распознавания субъекта Квалифицированная электронная подпись — подпись, которая ... все выше перечисленное Организатором МЭДО является: Федеральная служба охраны Российской Федерации (ФСО России) Под взаимодействием информационных систем электронного документооборота федеральных органов исполнительной власти, органов власти субъектов РФ и иных гос. органов понимается: обмен электронными сообщениями (ведение служебной переписки в электронной форме) между участниками МЭДО Подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом - это... простая подпись Целью создания МЭДО является: повышение эффективности управления в органах государственной власти за счет сокращения времени прохождения документов между организациями и ведомствами, минимизации затрат на обработку и отправку документов, мониторинга исполнения поручений Защита информации в системе ЭДО (https://cyberleninka.ru/) В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения целой и невредимой организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности - информационная безопасность. Проблема защиты информации путем ее видоизменения, делающего невозможным ее прочтение посторонним лицом, волновала человечество издревле. История криптографии - ровесница истории человеческого языка. Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - «тайный», logos - «наука»). Криптология разделяется на два направления - криптологию и криптоанализ. Цели этих направлений прямо противоположны и напоминают борьбу разработчиков стрелкового оружия и бронежилетов. Документ и информация - понятия гуманитарные, но при решении проблем защиты информации не обойтись без математики. Криптография занимается поиском и исследованием математических методов преобразования информации. Сфера интересов криптоанализа - исследование возможности дешифровки информации без знания ключей. Ключи - другими словами пароли - это определенная секретная информация, необходимая для шифрования и дешифрования текстов. Современная криптография состоит из четырех крупных разделов: - симметричные криптосистемы; - криптосистемы с открытым ключом; - системы электронной подписи; - управление ключами. Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, по электронной почте), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде. Идентификация – процедура распознавания субъекта по его идентификатору. В процессе регистрации субъект предъявляет системе свой идентификатор (например, пользователь для входа в систему СЭД вводит имя) и она проверяет наличие в своей базе данных. Субъекты с известными системе идентификаторами считаются легальными (законными), остальные субъекты относятся к нелегальным. Аутентификация – процедура проверки подлинности субъекта, позволяющая достоверно убедиться в том, что субъект, предъявивший свой идентификатор, на самом деле является именно тем субъектом, идентификатор которого он использует. Для этого он должен подтвердить факт обладания некоторой информацией, которая может быть доступна только ему одному (пароль, ключ и т.п.). Для упрощения будем называть процессы установления личности пользователя и процессы подтверждения легитимности пользователя на то или иное действие или информацию одним термином — аутентификацией. Авторизация – процедура предоставления субъекту определенных прав доступа к ресурсам системы после прохождения им процедуры аутентификации. Для каждого субъекта в системе определяется набор прав, которые он может использовать при обращении к её ресурсам. Системы эл. документооборота организуют все процессы жизненного цикла документа, включая работу над проектами, согласование и утверждение, исполнение, отправку в дело или в архив. Для защиты информации в системах эл. документооборота используются: - системы Защиты Информации от Несанкционированного доступа - системы защиты от атак из внешних сетей - средства криптографической ЗИ - средства антивирусной защиты Система ЭДО должна обеспечивать: - идентификацию каждого пользователя - невозможность отказа от созданного исполнительного документа или действий над ним, за счет закрепления за каждым сотрудником ЭЦП. - подлинность и целостность информации за счет автоматической проверки ЭЦП - шифрование конфиденциальной информации при ее передаче - шифрование БД на жестком диске сервера - импорт идентификационных данных, исключающей возможность обмена информации с подставным сервером. - защиту от сбоев - наличие программируемых(гибких)грифов доступа Организация доступа к конфиденциальным массивам эл. Документов, БД, подразумевает: - определение и регламентацию состава сотрудников, допускаемых к работе с определенными файлами - контроль доступа администратором БД - фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа - учет состава БД и файлов - регулярная проверка наличия, целостности и комплексности эл. документов - регистрация входа в БД - автоматическая регистрация имен пользователей и времени работы - регистрация попыток НС входа в систему - регистрация ошибочных, неразрешенных действий пользователя - автоматическое блокирование доступа и подачу сигнала тревоги. Обеспечение сохранности документов СЭД должна обеспечить сохранность документов от потери и порчи и иметь возможность их быстрого восстановления. Статистика неумолима, в 45% случаев потери важной информации приходятся на физические причины (отказ аппаратуры, стихийные бедствия и подобное), 35% обусловлены ошибками пользователей и менее 20% — действием вредоносных программ и злоумышленников. Опрос аналитической компании Deloitte Touche, проведенный в начале 2006 г., показал, что более половины всех компаний сталкивались с потерей данных в течение последних 12 месяцев. 33% таких потерь привели к серьезному финансовому ущербу. Представители половины компаний, переживших потерю данных, заявляют, что причиной инцидента стал саботаж или халатное отношение к правилам информационной политики компании, и только 20% респондентов сообщили, что интеллектуальная собственность их компаний защищена должным образом. Всего 4% опрошенных заявило, что их работодатели обращают должное внимание на информационную политику компании. Что касается СЭД, то в эффективности ее защиты уверено только 24% участников опроса. Обеспечение безопасного доступа Этот момент обычно все понимают под безопасностью СЭД, чем часто ограничивают понятие безопасности систем. Безопасный доступ к данным внутри СЭД обеспечивается аутентификацией и разграничением понимая под ним весь комплекс мероприятий, проводимых как на входе пользователя в систему, так и постоянно в течении его дальнейшей работы. Разграничения прав пользователя В любой системе обязательно должно быть предусмотрено разграничение прав пользователя — и чем гибче и детальнее, тем лучше. Пусть потребуется большее время на настройку, но в итоге мы получим более защищенную систему. Разграничение прав внутри системы технически устраивают по-разному: это может быть полностью своя подсистема, созданная разработчиками СЭД, или подсистема безопасности СУБД, которую использует СЭД. Иногда их разработки комбинируют, используя свои разработки и подсистемы СУБД. Такая комбинация предпочтительнее, она позволяет закрыть минусы подсистем безопасности СУБД, которые также имеют «дыры». Внедрение системы электронного документооборота (СЭД), позволяет приобрести огромную гибкость в обработке и хранении информации и заставляет бюрократическую систему компании работать быстрее и с большей отдачей. В то же время, СЭД порождает новые риски, и пренебрежения защитой обязательно приведет к новым угрозам конфиденциальности. Последние несколько лет спрос на системы электронного документооборота (СЭД) увеличивался и, по прогнозам экспертов, эта тенденция продолжится. Осознание выгоды от их использования уже даже давно дошло до самого инертного к новшествам и самого мощного холдинга нашей страны — госсектора, который вышел на это поле с русским размахом, обеспечив существенную долю спроса. Но, внедряя СЭД нельзя забывать о безопасности системы — желающих полазить в чужих документах достаточно. Уже много лет пишутся целые книги о промышленном шпионаже, компьютерных преступлениях, а наиболее практичные уже не один год реализуют написанное на практике. Базовый элемент любой СЭД — документ, внутри системы это может быть файл, а может быть запись в базе данных. Говоря о защищенном документообороте, часто подразумевают именно защиту документов, защиту той информации, которую они в себе несут. В этом случае все сводится к уже банальной (хотя и не простой) задаче защиты данных от несанкционированного доступа. Здесь есть большое заблуждение, ведь речь идет именно о защите системы, а не только о защите данных внутри нее. Это значит, что нужно защитить также ее работоспособность, обеспечить быстрое восстановление после повреждений, сбоев и даже после уничтожения. Система — это как живой организм, не достаточно защитить только содержимое его клеток, необходимо защитить также связи между ними и их работоспособность. Поэтому к защите системы электронного документооборота необходим комплексный подход, который подразумевает защиту на всех уровнях СЭД. Начиная от защиты физических носителей информации, данных на них, и заканчивая организационными мерами. Электронно-цифровая подпись. Технологические аспекты практического применения ЭПЦ (http://www.tadviser.ru; https://www.eos.ru) Электронная подпись - это цифровой аналог собственноручной подписи, с помощью которого можно подписывать электронные документы. Такая подпись гарантирует, что документ исходит от конкретного лица, а для ряда электронных подписей - также то, что в него не вносились изменения с того момента, как он был подписан. С технической точки зрения электронная подпись представляет собой определенную информацию в электронной форме, которая присоединяется к подписываемой информации (п. 1 ст. 2 Закона об электронной подписи ФЗ-63). На документе электронная подпись может выглядеть как набор символов, штамп с подписью и печатью или же вовсе быть невидимой. Электронная подпись (ЭП) – это особый реквизит документа, который позволяет установить отсутствие искажения информации в электронном документе с момента формирования ЭП и подтвердить ее принадлежность владельцу. Использование ЭП позволяет не только сократить время, которое затрачивается на оформление и обмен документацией, но и усовершенствовать саму процедуру ее хранения и учета – в частности, ускорить поиск необходимых документов. Иногда электронной подписью называют материальный носитель, который выдается владельцам усиленных электронных подписей. Чаще всего это USB-флешка. |