Общие закономерности работы с системой доступа к информационной системе

В практической деятельности применяются и другие способы и приемы разграничения доступа к компьютерам и базам данных, которые отражают постоянное совершенствование системы защиты информации в компьютерах. Однако имеются некоторые общие закономерности работы с системой доступа к информационной системе:

• вся работа по созданию системы защиты информационной системы осуществляется под руководством службы безопасности учреждения (или аналогичной службы вычислительного центра) в соответствии с действующими законодательными и нормативными документами;

• списки допускаемых к работе сотрудников, списки баз данных и файлов и тому подобные материалы разрабатываются, учитываются службой безопасности и утверждаются руководителем учреждения;

• списки паролей, кодов, ключевых слов, ключей шифров и т.п. разрабатываются, обновляются, учитываются и хранятся в службе безопасности учреждения;

• проведение службой безопасности периодических проверок наличия в соответствии с учетными формами и целостности носителей информации, баз данных, файлов и т.п., соблюдения сотрудниками правил работы с конфиденциальной информацией и защиты этой информации;

• обновление паролей, кодов и т.п. осуществляется достаточно часто, особенно при частой смене операторского состава и пользователей информационной системы;

• немедленная замена паролей, кодов и т.п. производится службой безопасности при обнаружении реальной угрозы несанкционированного входа в систему;

• немедленный отказ в допуске в информационную систему сотруднику, отстраненному от работы или заявившему об увольнении;

• запрещение пользователям и операторскому составу использовать в работе личные, неутвержденные пароли и коды.

Пароли, коды, ключевые слова, ключи и т.п. составляются службой безопасности, утверждаются руководителем учреждения и доводятся до сведения пользователей и операторов индивидуально работником службы безопасности (в подтверждение этого в специальной учетной форме (лицевом счете) сотрудник расписывается). Служба безопасности обязана постоянно контролировать доступ пользователей в информационную систему (анализировать протоколы), вести служебные расследования по фактам применения в системе необычных программ и попыткам несанкционированного входа в базу данных.

Работники службы безопасности и разработчики системы защиты информационной системы никогда не могут быть пользователями этой системы.

Следовательно, при решении проблем информационной безопасности учреждения и построении системы защиты информации вопросы регламентации доступа к конфиденциальным сведениям и документам, информационным ресурсам ограниченного распространения являются глобально важными. В первую очередь одновременно с решением вопросов определения состава конфиденциальных сведений и их выделения в автономный массив (поток) устанавливается жесткая разрешительная (разграничительная) система доступа персонала к этой информации, порядок ее использования и полномочия руководителей по распоряжению этими сведениями. Определяется состав сотрудников, которым эти сведения необходимы для выполнения функциональных обязанностей. Принципиально важны вопросы доступа к информации в электронных информационных системах, где наблюдение за соблюдением установленных правил часто технически затруднено. Говоря о доступе к машинным массивам информации, не следует забывать об очень важной вещи, которая часто выпадает из поля зрения разработчиков систем защиты, – о регламентации защитной технологии доступа, учета, обработки и хранения бумажных и машинных документов на немашинной стадии их существования и активного использования.

Выводы

Таким образом, рассмотрев некоторые основные научные и практические проблемы и отдельные вопросы обеспечения информационной безопасности учреждений, организаций и предприятий, а также направления формирования системы защиты информационных ресурсов в этих учреждениях, мы можем обоснованно утверждать о важности затронутой темы, ее актуальности в условиях массовой компьютеризации управленческих процессов.

Защита информационных ресурсов и особенно ресурсов ограниченного доступа, составляющих служебную тайну, включает в себя множество обязательных элементов и процедур, снижающих уязвимость ценной информации. Эти элементы и процедуры формируют реальную систему защиты, они базируются на аналитическом исследовании объективных и субъективных угроз, которым подвергается информация, а также каналов ее распространения, разглашения, утечки и утраты.

При создании системы защиты информации можно выделить некоторые наиболее существенные проблемы, без разработки которых система не сможет решать возлагаемые на нее задачи, а скорее всего, просто не будет существовать.

Это, прежде всего, проблема определения состава служебной информации, подлежащей защите, и обозначения грифами (маркировкой) тех бумажных, машиночитаемых и электронных документов, в которые она включается. Только после этого можно говорить о введении автономной технологии обработки и хранения таких документов, организации обучения и инструктирования персонала и выполнении множества других действий.

И второй, крайне важной, на наш взгляд, проблемой представляется формирование иерархической разрешительной системы разграничения доступа персонала к конфиденциальной служебной информации. Для компьютерных информационных технологий система разграничения доступа является краеугольным камнем защиты информационных ресурсов и достижения эффективности информационной безопасности в учреждении.