Организация документооборота в компании ЗАО Жилищный капитал (стр. 10 из 14)

Безопасность информации обеспечивается путем организации допуска к ней, защиты ее от перехвата, искажения и введения ложной информации. С этой целью применяются физические, технические, аппаратные, программно-аппаратные и программные средства защиты. Последние занимают центральное место в системе обеспечения безопасности информации в информационных системах и телекоммуникационных сетях.

Можно выделить несколько основных задач, решение которых в информационных системах и телекоммуникационных сетях обеспечивает защиту информации.

Это:

- организация доступа к информации только допущенных к ней лиц;

- подтверждение истинности информации;

- защита от перехвата информации при передаче ее по каналам связи;

- защита от искажений и ввода ложной информации.

Использование единой технологии создания эффективных средств криптографической защиты информации (СКЗИ), разработанной МО ПНИЭИ и решающей эти задачи, позволит предприятию не только ускорить документооборот, но и избежать ошибок и утери информации.

Методы криптографического преобразования конфиденциальной информации обеспечивают защиту ее от несанкционированного доступа к ней в процессе хранения и обработки в информационных системах, передачу конфиденциальной информации по каналам связи телекоммуникационных систем, установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Сущность криптографических преобразований заключается в следующем. Сообщение (текст, аудио или видео изображение) преобразуется (шифруется) с помощью известного математического алгоритма и некоторого "ключа" так, что восстановление (дешифрирование) и прочтение первоначального текста (восстановление аудио или видео изображения) становится возможным, если известен "ключ". Последний же известен только источнику и получателю сообщения. Таким образом, третьи лица, даже узнав зашифрованный текст, не смогут его восстановить.

В современных СКЗИ используются, как правило, два типа криптографических алгоритмов: классические (симметричные, одноключевые) алгоритмы, основанные на использовании закрытых, секретных ключей, и новые алгоритмы, в которых используются один открытый и один закрытый ключ. Эти алгоритмы называются также асимметричными.

Одноключевая криптография симметрична в том смысле, что ключ для шифрования идентичен ключу для дешифрования. Теперь ее часто называют криптографией с “секретным” ключом.

Упрощенная схема такой системы показана на рис. 12.

Рис. 12. Обмен сообщениями в закрытой криптосистеме

При ее использовании возникает сложнейшая нематематическая, внекриптографическая задача - обеспечение сверхнадежного закрытого канала для обмена ключами.

В асимметричной (двухключевой) криптографии используются два ключа, связанные между собой по опpеделенному пpавилу. Закрытый ключ генеpиpуется адресатом-получателем и сохpаняется им в тайне. Откpытый ключ публикуется и доступен всем, включенным в данную сеть адресатам - источникам. На рис. 13 представлена упрощенная схема такой системы.

Адресат-источник А, посылая адресату-получателю Б сообщение, шифрует его, используя известный открытый ключ абонента Б. Зашифpованный текст в пpинципе не может быть pасшифpован тем же откpытым ключом. Дешифpование сообщения возможно только с использованием закpытого ключа, котоpый известен только адpесату Б. Адресат Б, получив от адресата А сообщение, расшифровывает его с помощью своего закрытого ключа.

Рис. 13. Обмен сообщениями в ассиметричной криптосистеме

Таким образом, в организованной информационной конфиденциальной сети каждый абонент должен знать и хранить в тайне свой уникальный закрытый ключ и список открытых ключей тех абонентов, с которыми он должен поддерживать информационную связь.

Криптографические системы, реализованные в виде программ, встраиваются в программное обеспечение существующих рабочих станций и серверов и тем самым позволяют организовать защиту конфиденциальной информации как при ее хранении (в зашифрованном виде) и обработке в информационных системах, так и при передаче по каналам связи телекоммуникационных сетей.

С помощью рассмотренных программных криптографических методов решаются такие основные задачи, как:

- защита информации от ознакомления с ней нежелательных лиц;

- обнаружение искажений или ошибок, возникающих при передаче информации по каналам связи телекоммуникационных сетей;

- установление истинности документа и личности подписавшего этот документ лица.

Первая задача решается шифрованием информации (данных). Зашифрованное сообщение становится недоступным для лиц, не допущенных к соответствующей информации, т.е. не знающих ключа, с помощью которого можно расшифровать сообщение. Перехват зашифрованных данных в этом случае бесполезен.

Для защиты данных от случайных или преднамеренных искажений в канале связи используется контрольная последовательность - имитовставка. Она вырабатывается путем криптографического преобразования шифруемого сообщения и ключа шифрования и представляет собой последовательность данных фиксированной длины. Имито-вставка передается по каналу связи вместе с зашифрованным сообщением. Поступившее зашифрованное сообщение расшифровывается, вырабатывается контрольная имитовставка, которая сравнивается с имитовставкой, полученной из канала связи. В случае несовпадения имитовставок все расшифрованные данные считаются искаженными и бракуются.

Проблема установления истинности документа и личности подписавшего этот документ лица приобретает особое значение во многих системах, связанных с юридической ответственностью за принимаемые решения, таких, как системы государственного и военного управления, финансовые и банковские системы, системы, связанные с распределением материальных ценностей, и другие. Эта проблема решается с помощью так называемой электронной подписи (ЭЦП), которая дает возможность заменить традиционные печать и подпись и, не меняя самого документа, позволяет проверить подлинность и авторство полученной информации. Для выработки электронной подписи также используются методы асимметричных криптографических преобразований.

Каждый пользователь, обладающий правом подписи, самостоятельно формирует личные закрытый и открытый ключи подписи. Закрытый ключ подписи используется для выработки электронной цифровой подписи и должен сохраняться пользователем в тайне, что гарантирует невозможность подделки документа и цифровой подписи от его имени злоумышленником.

Открытый ключ используется для проверки подлинности документа, а также для предупреждения отказа подписавшего его от своей подписи. Знание открытого ключа не дает возможности определить секретный ключ. Открытые ключи подписи всех пользователей сети конфиденциальной связи объединяются в справочники открытых ключей. Таким образом, каждому пользователю конфиденциальной сети, обладающему правом подписи, необходимо иметь закрытый ключ подписи и справочник открытых ключей.

Система криптографической защиты информации (СКЗИ) встраивается в различные оболочки программных комплексов, в системы электронной почты, информационно-справочные системы и прикладное программное обеспечение для защиты информации от несанкционированного доступа и искажения при ее хранении на дисках и передаче по каналам связи.

4. Совершенствование автоматизации системы электронного документооборота.

Для такой крупной организации как ЗАО «Группа компаний «Жилищный капитал», имеющей разветвленную структуру и филиалы, наиболее эффективной формой использования стандартов и нормативных актов, регламентирующих документационное обеспечение деятельности предприятия, является создание корпоративной информационной системы. Это позволило бы все перечисленные материалы представлять в виде электронных текстов, доступ к которым может быть возможен с любого рабочего места корпоративной сети. Создание единой корпоративной информационной системы позволило бы сократить время на передачу, согласование и подписание документов. А так же уменьшение ошибок в организации документооборота.

Как уже говорилось ранее, предприятию необходимо использовать программу "1С: Система электронного документооборота "Управление делами" на базе "1С: Предприятие".

Управленческая деятельность основана на реализации всех перечисленных видов информационных технологий в соответствии с последовательностью и содержанием отдельных этапов процесса принятия решений. Поэтому современные информационные технологии обеспечения управленческой деятельности основаны на комплексном использовании различных видов информационных процессов на базе единого технического комплекса, основой которого являются средства компьютерной техники.

Управление организацией основано на следующих процессах[80]:

- получение информации и ее обработка;

- анализ, подготовка и принятие решений;

- выполнение решений;

- учет и контроль принятых решений.