2.1 Организация доступа сотрудников к конфиденциальным массивам электронных документов и базам данных
Проблема организации доступа к конфиденциальным массивам электронных документов и базам данных является актуальной, так как в связи непрекращающимся развитием компьютерных технологий, информация нуждается в более серьезной защите от неправомерного несанкционированного доступа. Организация такого доступа сотрудников имеет многоуровневый характер, выделяются следующие составляющие: 1. Доступ к персональному компьютеру, серверу или рабочей станции Доступ к персональному компьютеру, серверу или рабочей станции, обрабатывающие конфиденциальные данные, предполагает: ― состав работников, которые имеют право входить в помещение с соответствующей техникой и средствами связи, должен быть утвержден руководителем организации; ― обязательное персональное и временное протоколирование первым руководителем нахождение данных лиц в обозначенных помещениях в другое от работы время (в вечернее время, выходные и др.); ― организация системы охраны помещений в рабочий и нерабочий период, регламентация вскрытия помещений и отключения охранных технических средств информации и сигнализации, охрана помещений; установление правил работы указанных технических средств в рабочие часы; ― контролируемый пропускной режим входа и выхода в обозначенные помещения; ― организованные действия охраны и персонала при авариях техники и оборудования и других экстремальных ситуация; ― регламентированный порядок выноса ценных вещей, различных носителей информации из помещений; организация контроля вноса в помещение и выноса личных вещей сотрудников. Даже если все конфиденциальные сведения в завершении работы переносятся на гибкие носители и стираются с жесткого диска, кабинеты, где находится компьютерная техника, должны охраняться. Так как, во-первых, в незащищенную технику можно свободно установить любое средство промышленного шпионажа, и во-вторых, при помощи специальных методов взломщик может восстановить удаленную информацию. 2. Доступ к машинным носителям конфиденциальной информации, хранящимся вне электронновычислительной машины (далее ЭВМ) Доступ к машинным носителям конфиденциальной информации, хранящимся за пределами ЭВМ, подразумевает: ― учёт и выдача новых чистых машинных носителей информации всему персоналу; ― ежедневная фиксация приема и выдачи персоналу основных и резервных носителей записанной информации; ― регламентированный руководителем состав персонала, который имеет право пользоваться конфиденциальными данными при помощи компьютера за рабочими местами, и получать учтённые машинные носители информации в службе конфиденциального делопроизводства (далее КД); ― формирование системы закрепления за работниками машинных носителей информации, а также контроль сохранности и целостности данных и учёта динамики изменения состава записанных данных; ― организация порядка и условий ликвидации информации на носителе и физической ликвидации самого носителя; ― организация хранения машинных носителей в службе КД в рабочие и нерабочие часы, определение правил порядка эвакуации носителей информации в экстренных ситуациях; ― руководитель должен регламентировать состав сотрудников, которые по каким-либо причинам не сдают технические носители информации на хранение в службу КД в завершении рабочего дня и организовывать особую охрану помещений и компьютеров данных работников. Работа сотрудников службы конфиденциального делопроизводства, как и всей организации с машинными носителями информации отдельно от ЭВМ обязана быть организована также как с бумажными конфиденциальными документами. 3. Доступ к конфиденциальным базам данных и файлов Доступ к конфиденциальным базам данных и файлам это заключительный этап доступа работника организации к компьютеру. И если этот сотрудник окажется злоумышленником, в таком случае можно считать, что он благополучно прошел самые серьёзные этапы защиты охраняемой электронной информации. В конечном счёте, он просто заберет компьютер или вытащит из него и унесет жёсткий диск, не «вскрывая» базы данных. Как правило доступ к базам данных и файлам предполагает: ― руководитель должен рекламировать состав работников, допущенных к конфиденциальным базам данных (далее БД) и файлам, а администратор базы данных контролировать систему доступа; ― учёт состава БД и файлов; систематическую проверку наличия, целостности и комплектности документов на электронных носителях; ― фиксацию имен пользователей и операторов в памяти компьютера, имеющих доступ к ним, наименование БД и файлов; ― регистрация попытки при несанкционированном входе в БД; регистрацию ошибок, совершенных пользователем, автоматическую передачу сигнала тревоги охране и автоматическое выключение компьютера; ― регистрация входа в БД; автоматическую регистрацию имени сотрудника и время его работы; сохранение первоначальных данных; ― установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (в том числе паролей, кодов, классификаторов, ключевых слов и т.д.), в особенности если происходит частая смена сотрудников; ― автоматическое отключение ЭВМ при обнаружении нарушений регулирования доступа или неисправности системы защиты информации; ― механическое блокирование отключённого, но загруженного на ЭВМ при недолгих перерывах в работе пользователя. Коды, пароли, ключи, ключевые слова, шифры, а также специальные программные продукты и аппаратные средства, то есть атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией. Далее сотрудник данной фирмы или системный администратор персонально сообщает каждому пользователю. Не допускается применять пользователю своих кодов. [4, c. 64] Таким образом, сотрудник, прошедший все процедуры доступа к конфиденциальным данным, будет включен в состав лиц, владеющих информацией закрытого характера этой организации. И с этого времени уже огромную роль приобретает текущая работа с персоналом, в распоряжении которого находятся особо ценная и конфиденциальная информация.На данном этапе необходимо руководствоваться принципом, по которому обязательно должны быть зарегистрированы все лица, допущенные к определенным документам, потому что это даст возможность в значительной степени осуществить работы по выявлению возможных каналов утраты информации.
1. ГОСТ Р 53115-2008 «Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства. Типовое руководство» [Электронный ресурс]. URL: http://docs.cntd.ru/document/1200075569 (дата обращения: 28.12.18) 2. Бурангулов Б.В. Внедрение автоматизированных архивных технологий в деятельность региональных архивов Поволжья в 1990-е гг. // Документация в информационном обществе: актуальные проблемы управления электронными документами». Доклады и сообщения XXIV Международной научно-практической конференции. 2018 С. 309-315. 3. Бурангулов Б.В. История развития ведомственных архивов Башкирской АССР в 1960-е гг. // Современная наука: актуальные проблемы теории и практики. Серия: Гуманитарные науки. 2016 № 9 С. 8-10. 4. Ищейнов В.Я. Организация доступа сотрудников к конфиденциальным массивам электронных документов и базам данных // Делопроизводство. 2018. № 1. С. 63-65. 5. Ларин М.В. Управление документацией и новые информационные технологии. М., 2016.С. 128.
|
Скачать 126.03 Kb.