Защищенный электронный документооборот в кредитно-финансовой сфере

Лекции

1 неделя. Документ. Понятие документа в аналоговом мире. Реквизит. Форма и содержание. Носитель.
Электронные данные. Понятие документа в цифровом мире. Реквизит электронного документа. Местоположение электронного документа, носитель информации. Определения электронного документа (по законодательству). Форма и содержание электронного документа.
Понятие «защита документа». Базовые методы защиты аналогового документа. Типовые методы защиты электронных данных. Защита формы и защита содержания
2 неделя. Оригинал и копия. Необходимость наличия оригинала и возможность его существования. Множественность копий (отображений) по форме, содержанию и представлению содержания.
Сравнение аналогового документа и электронных данных. Области применимости аналогового документа и электронных данных.
Хранение и отображение документа. Защита документа и электронных данных в отношении ко времени. Доступность отображения хранимой информации (содержания) по отношению к потребителю (пользователю).
3 неделя. Понятие документооборота. Документооборот в аналоговом мире. Базовые схемы реализации электронного документооборота.
Обработка информации с точки зрения документооборота. «Рождение» документа, этапы обработки документа, окончание существования документа. Модификация документа в процессе его обработки (прохождения по стадиям документооборота).
Соотнесение традиционного (аналогового) и электронного документооборота. Превращение документа из аналогового в электронный и наоборот, оригинал и копия.
4 неделя. Информация. Формы и свойства информации. Информационная система. Суть обработки информации. Информационный поток. Автоматизированная обработка информации – автоматические и «ручные» процессы.
Понятие технологической цепочки в документообороте. Зоны ответственности автоматизированных систем (автоматических процессов) и операторов. Защита информационных систем с точки зрения технологии обработки информации.
5 неделя. Юридическая сила электронных данных. Понятие юридической силы. Значимость электронных данных в системе и вне ее. Понятие «доверия». Доверие к элементам (подсистемам, модулям) системы, системе в целом, информации в системе, результатам работы системы.
Ответственность пользователей (операторов) и автоматических процессов. Юридическая значимость действий пользователя и автоматического процесса. Делегирование прав и полномочий.
6 неделя. Основа взаимоотношений участников электронного документооборота. «Точка опоры» во взаимоотношениях с юридической точки зрения.
Электронный документооборот в рамках одного юридического лица (корпорации единого подчинения). Электронный документооборот между юридическими и физическими лицами. Смешанные системы. Системы информационные и системы документооборота. Защита информационных систем в интересах участников обмена.
Требования к информационным системам с точки зрения юридического обоснования их применения. Возможные роли участников системы. Распределение ответственности между участниками системы.
Конфликтная ситуация, порядок решения конфликтной ситуации
7 неделя. Риски, порождаемые электронными системами – информационные и бизнес риски. Понятие информационного комплекса как замкнутой системы. Взаимное влияние информационных систем и компонент информационных систем.
Защита информации с точки зрения электронного документооборота. Типовые угрозы. Типовые источники угроз.
8 неделя. Типовые задачи информационной безопасности и технология их решения. Защита авторства, целостности данных, даты-времени создания и т.п. Дифференцированный подход к решению задач информационной безопасности.
Политика безопасности. Соотнесение стоимости реализации политики безопасности с финансовыми показателями бизнес-задач, решаемых защищаемыми информационными системами.
9-11 неделя. Законодательство, регламентирующее электронный документооборот. Понятие аналога собственноручной подписи (АСП). Гражданский кодекс об использовании АСП. Защита авторства электронных данных. Регламентация использования АСП действующим законодательством. Понятие средств криптографической защиты информации (СКЗИ). Электронная цифровая подпись (ЭЦП) как частный случай АСП. Регламентация использования ЭЦП.
Закон об ЭЦП. Открытые и корпоративные системы. Удостоверяющие центры. Различие в подходах к понятию «владелец ЭЦП» – юридическое или физическое лицо.
Конфиденциальность информации, тайна, персональные данные
Лицензирование деятельности, связанной с электронным документооборотом. Организатор сети обмена данными. Сертификация информационных систем и средств защиты информации. Использование сертифицированных элементов (библиотек) СКЗИ.
12 неделя. Типовые схемы построения систем финансового документооборота. Технология «толстый клиент». Технология «тонкий клиент». Технологические достоинства и недостатки. Совмещение технологий для сокращения недостатков.
13 неделя. Типовые варианты реализации технологий финансового документооборота. Типовые оконечные устройства пользователя системы. Обзор наиболее распространенных систем финансового документооборота.
14 неделя. Типовые схемы построения подсистем информационной безопасности в системах финансового документооборота. Типовые схемы организационно-юридического обеспечения систем финансового документооборота. Необходимая для юридического обеспечения функциональность систем.
15 неделя. Основные виды атак на системы электронного документооборота, встречающиеся на практике (с точки зрения организатора сети обмена). Анализ механизмов подсистем безопасности в системах электронного документооборота с учетом особенностей используемой технологии. Основные задачи организационно-юридического обеспечения и их решение с учетом особенностей используемой технологии.
16 неделя. Обзор реализаций информационной безопасности в наиболее распространенных системах финансового документооборота. Сравнение систем с точки зрения соотнесения: безопасность (контролируемые и допустимые риски) – функциональность системы (для пользователя и для юридического обеспечения) – область применения – юридическое обеспечение – организационные меры.

Лабораторные работы

  1. Знакомство с реквизитами (атрибутами) аналоговых (бумажных) и электронных документов. Опознание реквизитов. Форма и содержание. Защита аналоговых и электронных документов.
  2. Конфликтная ситуация при электронном взаимодействии юридических лиц. Разбор конфликтных ситуаций. Базовые принципы составления договоров и организационное обеспечение использования систем электронного документооборота.
  3. Практикум разработки организационно-юридического обеспечения конкретной системы электронного документооборота. Составление требований к системе по технической поддержке разработанного пакета.
  4. Система «Клиент-Банк». Практикум для иллюстрации работы системы финансового документооборота.
  5. Система «Клиент-Банк». Макетирование конфликтной ситуации. Разбор конфликтной ситуации.

Литература

  1. Конявский В.А. Управление защитой информации на базе СЗИ НСД «Аккорд». – М.: Радио и связь, 1999. – 325 с. (Глава 2)
  2. Ярочкин В.И. Информационная безопасность. Учебник для вузов. – М.: 2005
  3. Скляров Д.В. Искусство защиты и взлома информации. – СПб.: БВХ-Петербург, 2004. – 288 с.

Дополнительная литература

  1. Гражданский кодекс Российской Федерации. Ч.1. 21 октября 1994 №51-ФЗ // СЗ РФ. 05.12.1994 №32 ст. 3301.
  2. Гражданский кодекс Российской Федерации. Ч.2. 22 декабря 1995 №14-ФЗ // СЗ РФ. 29.01.1996 №5 ст. 410.
  3. Арбитражный процессуальный Кодекс Российской Федерации от 24.07.2002 №95-ФЗ // СЗ РФ. 29.07.2002 №30 ст. 3012.
  4. Закон РФ «Об информации, информатизации и защите информации» от 20.02.1995 №25-ФЗ // СЗ РФ 20.02.1995 №8 ст. 609.
  5. Закон РФ «Об электронной цифровой подписи» от 10 января 2002 №1-ФЗ // СЗ РФ 14.01.2002 №2 ст. 127.
  6. Закон РФ «О лицензировании отдельных видов деятельности» от 08.08.2001 №128-ФЗ // СЗ РФ 13.08.2001 №33 ч.1 ст.3430.
  7. Закон РФ “Об участии в международном обмене информацией” от 04.07.1996г. № 85-ФЗ // СЗ РФ 08.07.1996 №28 ст.3347.