Смекни!
smekni.com

Обеспечение системы документооборота (стр. 1 из 20)

Математическое обеспечение системы документооборота Министерства торговли Российской Федерации.

ВВЕДЕНИЕ

Широкое внедрение информационных технологий в жизнь современного общества привело к необходимости решения ряда общих проблем информационной безопасности. Потенциальная уязвимость информационной системы (ИС) по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, стратегических, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях.

Требования по обеспечению безопасности в различных ИС могут существенно отличаться, однако они всегда направлены на достижение трех основных свойств:

· целостность – информация, на основе которой принимаются решения, должна быть достоверной и точной, защищенной от возможных непреднамеренных и злоумышленных искажений;

· доступность (готовность) – информация и соответствующие автоматизированные службы должны быть доступны, готовы к работе всегда, когда в них возникает необходимость;

· конфиденциальность – засекреченная информация должна быть доступна только тому, кому она предназначена.

Для решения проблем информационной безопасности необходимо сочетание законодательных, организационных, программно-технологических мероприятий.

Так сложилось, что основное внимание в теории и практике обеспечения безопасности применения информационных технологий и систем сосредоточено на защите от злоумышленных разрушений, искажений и хищений программных средств и информации баз данных. Для этого разработаны и развиваются проблемно-ориентированные методы и средства защиты:

· от несанкционированного доступа;

· от различных типов вирусов;

· от утечки информации по каналам электромагнитного излучения.

Целью настоящей работы является разработка математического и программного обеспечения модуля мандатного разграничения прав доступа для системы документооборота Министерства Торговли.

Мандатный принцип контроля доступа является необходимым требованием при реализации комплекса средств защиты (КСЗ) средств вычислительной техники (СВТ) от несанкционированного доступа (НСД) четвертого и более высокого класса в соответствие с руководящим документом Гостехкомиссии России. Надо сказать, что четвертый класс, по упомянутой классификации, является наиболее приемлемым для многопользовательских ИС, в которых содержатся данные конфиденциального порядка или же содержащие государственную тайну.

Суть мандатного принципа контроля доступа состоит в сопоставлении каждому субъекту (пользователю) и объекту системы классификационных меток, которые можно условно считать уровнями секретности, кроме того внутри каждого уровня секретности содержатся категории (их можно понимать как отделы или подразделения).

Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила — читать можно только то, что положено.

Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может писать в секретные файлы, но не может — в несекретные (разумеется, должны также выполняться ограничения на набор категорий). На первый взгляд подобное ограничение может показаться странным, однако оно вполне разумно. Ни при каких операциях уровень секретности информации не должен понижаться, хотя обратный процесс вполне возможен. Посторонний человек может случайно узнать секретные сведения и сообщить их куда следует, однако лицо, допущенное к работе с секретными документами, не имеет права раскрывать их содержание простому смертному.

В основном данный механизм направлен на защиту от ошибок пользователей, которые могут непреднамеренно разгласить конфиденциальные данные. Кроме того, при использовании описанной схемы разграничения прав доступа, после того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа, что позволяет проведение более жесткой и четкой сформулированной политики безопасности.

ГЛАВА 1. СИСТЕМНЫЙ АНАЛИЗ И СИНТЕЗ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ

1.1. Анализ замысла, целей, направлений и этапов разработки системы

1.1.1. Замысел и цели разработки системы

Настоящая глава является частью "Технического предложения", разработанного в соответствии с "Соглашением о намерениях по взаимодействию в области создания Системы внешнеторговой информации между Министерством торговли Российской Федерации и НИИ автоматической аппаратуры им. академика В.С. Семенихина", подписанного Министром торговли и Директором НИИ АА 12 октября 1998 г. Соглашение предусматривало инициативное проведение информационного обследования Минторга России специалистами НИИ АА и разработку "Технического предложения" по информатизации Министерства. В результате выполнения работы необходимо было получить ответы на вопросы:

существует ли проблема информатизации Министерства торговли РФ;

если существует, то каким образом ее можно решить.

1.1.2. Направления и этапы разработки системы

Работы проводились в соответствии с государственным стандартом ГОСТ 34.601 - 90 "Автоматизированные системы. Стадии создания", который предусматривает следующую последовательность выполнения работ:

Проведение обследования объекта и формирование требований к автоматизированной системе.

Разработка концепции автоматизированной системы.

Техническое задание.

Эскизный проект.

Технический проект.

Рабочая документация.

Ввод в действие.

Сопровождение АС.

При проведении обследования, основная задача состояла в получении информации по следующим вопросам организационного построения и деятельности каждого из структурных подразделений министерства (департаментов, управлений и т.д.):

Организационно-функциональная структура Подразделения; схема информационного взаимодействия между его структурными единицами и отдельными функционерами.

Система делопроизводства, разработки и хранения документов.

Функции, задачи и процессы деятельности Подразделения.

Предложения по решению задач на ПЭВМ; краткие постановки таких задач.

Расширенные постановки нескольких наиболее проработанных и эффективных задач, для реализации их на опытном участке системы.

Информационные ресурсы Подразделения (как поставленные на ЭВМ, так и ведущиеся вручную): состав и структура баз данных (картотек), используемые словари и классификаторы.

Подразделения Минторга России, федеральные органы исполнительной власти РФ, международные организации, субъекты внешнеторговой деятельности и т.д., с которыми Подразделение должно взаимодействовать.

Характеристика каждого направления взаимодействия: регламент, структура документов, информационные потоки и вид взаимодействия (электронная почта, онлайн, офлайн); проблемы, возникающие при взаимодействии.

Характеристика обрабатываемой, хранящейся и передаваемой информации по уровню конфиденциальности (служебная, открытая).

Необходимость доступа сотрудников Подразделения к информационным ресурсам сети Интернет (если можно, конкретизировать к каким именно).

Информация Подразделения, которую целесообразно разместить на Web-сервере Минторга России в сети Интернет.

Оснащенность Подразделения средствами вычислительной техники (ВТ), используемые программные продукты.

Характеристика размещения средств ВТ в помещениях Подразделения.

Оценка степени подготовленности пользователей и актуальности автоматизации.

Следует отметить, что, по тем или иным причинам (как объективным, так и субъективным), не для всех обследованных подразделений удалось получить полную информацию по сформулированным выше вопросам.

Результаты проведенного информационно-технологического обследования, показали, что проблема информатизации Минторга России существует и заключается в несоответствии уровня информатизации министерства уровню, требуемому для его эффективного функционирования в современных условиях.

Можно утверждать, что необходимое повышение эффективности деятельности Минторга невозможно без использования в повседневной практике работы современных информационных технологий, т.е. без информатизации.

Информатизация - это организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей органов государственной власти, на основе формирования и использования информационных ресурсов.

Чтобы создать оптимальные условия для удовлетворения информационных потребностей Минторга России, т.е. решить проблему его информатизации, необходимо:

· создать инфраструктуру, поддерживающую формирование и использование информационных ресурсов, на базе современных компьютерных и телекоммуникационных технологий;

· разработать и внедрить на этой инфраструктуре программные средства автоматизации основных видов деятельности;

· наполнить информационные базы данных Министерства и обеспечить оперативный доступ сотрудников к информационным ресурсам Федеральных и региональных органов государственной власти России, общедоступным и коммерческим ресурсам сети Интернет.

1.2. Министерство торговли как объект информатизации