Бакалаврский
проект: 76 страниц, 3 рисунка, 8 таблиц, 30 литературных источников, 2 приложения.

РАЗРАБОТКА
МОДЕЛИ УГРОЗ ПРЕДПРИЯТИЯ ПРИ ИСПОЛЬЗОВАНИИ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА.

Объект       проектирования: ГБСУСОССЗН Серафимовский детский дом-интернат для умственно-отсталых
детей.

Цель работы: разработать комплексную модель угроз информационной
безопасности для системы электронного документооборота предприятия, сформулировать
рекомендации по построению системы защиты информации, адекватной выявленным рискам.

Проектные
предложения: Исследование нормативной  правовой
базы РФ, регулирующую вопросы защиты информации в системах электронного документооборота,
проведение  анализа современных угроз безопасности
в системах электронного документооборота, изучение особенностей, архитектуры и жизненные
циклы электронного документа в современных СЭД, проведение сравнительного анализа
отечественных и зарубежных методик построения моделей угроз, описание объекта защиты,
разработка модели нарушителя,  сформирование
комплексного перечня  угроз и построение  модели угроз согласно методическим документам
ФСТЭК, разработка практических рекомендаций для защиты СЭД.

Основные результаты
проекта, их новизна, значимость: в ходе написания выпускной квалификационной работы
был проведен анализ современных угроз безопасности в системах электронного документооборота,
проанализированы законодательные и нормативные правовые акты РФ в области защиты
информации, требования которых обязательны к исполнению, а также методики и стандарт
построения моделей угроз. Проведено обследование объекта защиты, разработана модель
нарушителя и модель угроз. Разработаны рекомендации по защите, направленные на минимизацию
рисков.

ВВЕДЕНИЕ

Актуальность
темы определяется стремительным развитием технологий в сфере ЭДО и архивного дела.
Наблюдается устойчивый рост объёмов документов, при этом доля электронных носителей
постепенно вытесняет бумажные. Согласно статистике, объём корпоративной электронной
информации удваивается каждые три года. Хотя полный отказ от бумажных документов
пока невозможен, эксперты прогнозируют дальнейшее увеличение доли электронных форматов.

Рынок электронного
документооборота в мире увеличивается примерно на 20% в год, по мнению аналитиков.
При всём этом постоянно появляются новые системы, готовые предоставлять всё больше
специализированных услуг в этой сфере. В настоящее время большинство организаций
перевели открытый документооборот в электронный вид. При этом ведение секретного
делопроизводства остается в виде бумажной документации.

В последние
годы мировой рынок характеризуется высокими показателями в среде консолидации поставщиков
систем электронного документооборота. Также, значимой тенденцией этого рынка есть
стремительное повышение спроса на услуги таких систем. То же самое происходит и
в России, где осуществляется не только увеличение роста спроса, но и количества
систем, способных удовлетворить все запросы потребителей.

В данный момент
многие страны мира для создания предпосылок роста и стремительного развития этого
сегмента рынка составляют и реализуют работу специальных законодательных проектов,
которые влекут за собой более простую легализацию электронного оборота документами.
Подобные акты и законы упрощают операции, связанные с обменом необходимыми документами
между государственными органами и бизнесом, что хорошо способствует внедрению таких
систем в дальнейшее развитие отношений между этими структурами.

Распространенные
сегодня компьютерные технологии принесли большие изменения в сферу документационного
обеспечения управления. До автоматизации делопроизводства работа с документами занимала
большую часть времени сотрудников организаций. Низкие показатели эффективности обусловливались
технологиями ручной обработки документов. Распространение автоматизации позволяет
выстраивать работу с документированной информацией на новых основаниях, используя
возможности коллективной обработки текстов, таблиц, изображений, организуя движения
электронных документов внутри и вне организации, их регистрацию и контроль. Современные
системы электронного документооборота способны автоматизировать весь цикл работы
с документами, что, несомненно, положительно влияет на сферу управления в целом.
В тоже время сам процесс перехода на новые автоматизированные технологии зачастую
сопряжен с явными трудностями, связанными со сложностью внедрения систем электронного
документооборота в повседневную деятельность организаций.

В ходе написания
выпускной квалификационной работе применяются общенаучные и специальные методы исследования:

-     анализ и синтез — для изучения нормативно-правовой
базы и существующих моделей угроз;

-     системный подход — для рассмотрения электронного
документооборота как целостной информационной системы;

-     моделирование — при разработке модели нарушителя
и модели угроз;

-     сравнительный анализ — для сопоставления существующих
методик оценки рисков.

При разработке моделей нарушителя и угроз применяется
методика БДУ ФСТЭК.

Основными
проблемами в современной практике делопроизводства, документооборота являются следующее:

-     низкий уровень цифровой интеграции (Необходимо
поддерживать взаимодействие между устаревшими бумажными архивами и новыми цифровыми
решениями создаёт дополнительные сложности и увеличивает временные издержки на организацию
эффективной работы с документами;

-     недостаточные знания сотрудников в области цифровых
технологий (Многие сотрудники предпочитают традиционные способы работы с бумагой,
это приводит к ошибкам и неэффективному использованию инструментов.);

-     безопасность и защита данных (Электронные документы
требуют защиты от несанкционированного доступа, утечек конфиденциальной информации,
а также кибератак.);

-     неполнота правовой системы (Законодательство недостаточно
адаптировано к электронному документообороту. Возникают правовые коллизии, касающиеся
юридической силы ЭП, подлинности документов);

-     затраты на поддержку ЭДО (Переход на современные
системы документооборота сопровождается значительным ростом затрат на приобретение
программного обеспечения, обучение сотрудников и техническое обслуживание инфраструктуры);

-     износ и ограниченные мощности устаревших ИТ-систем
(во многих организациях используется устаревшие информационные системы, которые
не поддерживают современные средства автоматизации документооборота).

Цель работы:
разработать комплексную модель угроз информационной безопасности для системы электронного
документооборота предприятия, сформулировать рекомендации по построению системы
защиты информации, адекватной выявленным рискам.

Для решения
поставленной цели необходимо решить следующие задачи:

-     провести анализ современных угроз безопасности
в системах электронного документооборота.

-     проанализировать законодательные и нормативные
правовые акты РФ в области защиты информации, требования которых обязательны к исполнению,
а также методики и стандарт построения моделей угроз.

-     провести обследование объекта защиты.

-     разработать модель нарушителя и модель угроз.

-     разработать рекомендации по защите, направленные
на минимизацию рисков.

В целях анализа
модели угроз предприятия при использовании электронного документооборота, в рамках
данной работы применяется разработанная модель угроз для системы ЭДО ГБСУСОССЗН
Серафимовский детский дом-интернат для умственно-отсталых детей (далее – СДДИ).

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
2. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
3. Руководство по защите персональных данных в СЭД. М.: ФСТЭК, 2023.
4. Практические рекомендации по внедрению электронной подписи. М.: ФСБ, 2022.
5. Стандарты криптографической защиты в государственных систе-мах. М.: ФСБ, 2024.
6. Руководство по управлению рисками информационной безопасно-сти. М.: НТЦ «Информзащита», 2023.
7. Обзор современных киберугроз и методов защиты. Аналитиче-ский отчёт. М.: Group-IB, 2024.
8. ГОСТ Р 34.10‑2012 «Информационная технология. Криптографи-ческая защита информации. Процессы формирования и проверки элек-тронной цифровой подписи».
9. ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы обеспечения безопасности. Системы менеджмента информацион-ной безопасности. Требования».
10. ГОСТ Р 53114-2008 «Информационная технология. Термины и определения в области информационной безопасности».
11. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
12. Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» (ред. от 27.07.2010).
13. Методический документ ФСТЭК России. Методика оценки угроз безопасности информации (утв. ФСТЭК России 5 февраля 2021 г.). — М.: ФСТЭК России, 2021. — 83 с.
14. Банк данных угроз безопасности информации ФСТЭК России [Электронный ресурс]. URL: https://bdu.fstec.ru
15. Статья «Безопасность ЭДО: почему это аспект высокого приори-тета и как обеспечивают защиту данных» (2024г).
16. Статья «Угрозы информационной безопасности в системе элек-тронного документооборота организации и пути их ликвидации» (Котан-джян А. В., Мансурова Е. А., Спеко М. С., 2023).
17. Статья «Электронный документооборот на предприятии: внедре-ние, преимущества, оптимизация» (2024г).
18. Статья «Разработка модели угроз информационной безопасно-сти» (2025г).
19. Даниленко, А. Ю. Безопасность систем электронного документо-оборота : Технология защиты электронных документов / А. Ю. Даниленко. — 3‑е изд., доп. — Москва : ЛЕНАНД, 2024. — 248 с.
20. Коржук, В. М. Защищённый документооборот. Часть 1 / В. М. Коржук, И. Ю. Попов, А. А. Воробьёва. — Санкт-Петербург : Универси-тет ИТМО, 2021. — 67 с.
21. Бондаренко, И. С. Информационная безопасность : учебник / И. С. Бондаренко. — Москва : Издательский Дом НИТУ «МИСиС», 2023. — 254 с.
22. Родичев, Ю. А. Информационная безопасность. Национальные стандарты Российской Федерации : учебное пособие для вузов / Ю. А. Ро-дичев; рецензенты: А. Г. Абросимов, В. С. Кузьмичев. — 3-е изд. — Санкт-Петербург : Питер, 2023. — 384 с.
23. Галатенко В. А. Основы информационной безопасности: учеб. пособие. — 4-е изд. — М.: Интернет-Университет Информационных Тех-нологий, 2022. — 280 с.
24. Семёнов Г. В., Куприянов А. В. Правовое обеспечение информа-ционной безопасности. — М.: Юрайт, 2023. — 312 с. (Серия: Профессио-нальное образование).
25. Петренко С. А., Курбатов В. А. Безопасность электронного до-кументооборота: принципы и технологии. — СПб.: Питер, 2022. — 304 с.
26. Советов Б. Я., Цехановский В. В. Информационные технологии: учебник. — 8‑е изд. — М.: Юрайт, 2023. — 398 с.
27. Зегжда Д. П., Калинин М. О. Модели и методы анализа инфор-мационных рисков. — М.: Горячая линия — Телеком, 2022. — 272 с.
28. Малюк А. А., Родионов А. Ю. Управление информационной без-опасностью: учеб. пособие. — М.: Радио и связь, 2021. — 320 с.
29. Скобцов Ю. Е., Молчанов А. А. Защита информации в системах документооборота. — М.: ИНФРА-М, 2023. — 286 с.
30. Пархоменко В. С., Зорин А. Н. Технологии защиты информации в си-стемах электронного документооборота. — М.: ДМК Пресс, 2022. — 344 с.