Уфимский филиал
федерального государственного образовательного учреждения
высшего профессионального образования
«Челябинская государственная академия культуры и искусств»
Кафедра иформационно-документальных ресурсовам
Контрольная работа по дисциплине:
Информационная безопасность и защита информации
По теме:
Доступ персонала к конфиденциальным сведениям,
документам и базам данных
Выполнила: студентка II курса группы 802К
Шитлина Ксения Константиновна
Проверила:
доцент
Мантурова Наталья
Сергеевна
г.Уфа, 2010
Содержание
1. Регламентация доступа персонала к конфиденциальным
сведениям, документам и базам данных ………………………………………. 3
2. Принципы построения разрешительной системы доступа, разграничение прав доступа к засекреченной информации ...……………………….……..…. 4
3. Описание системы безопасности информационных ресурсов
организации ООО «Скиф»……….….….……………………………………….17
4. Список используемой литературы ………………………………………… 22
1. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных
Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в Основе режима конфиденциальности проводимых фирмой работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.
Режим представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд в пограничную зону, на посещение воинской части и т. п.
Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.
2. Принципы построения разрешительной системы доступа, разграничение прав доступа к засекреченной информации.
Принципы построения разрешительной системы доступа:
- надежность, т. е. относительное исключение возможности несанкционированного доступа посторонних лиц к документам в обычных и экстремальных условиях;
- полнота охвата всех категорий руководителей, сотрудников фирмы и всех категорий документов, информации на любых носителях;
- конкретность, т. е. исключение двоякого толкования и однозначность решения о доступе;
- производственная необходимость как единственный критерий доступа исполнителя к документу, а также доступа к документам представителей государственных служб;
- определенность состава и компетенции должностных лиц, дающих разрешение на доступ сотрудника к конфиденциальным сведениям, документам и базам данных, исключение возможности бесконтрольной и несанкционированной выдачи таких разрешений;
- строгая регламентация порядка работы всех категорий сотрудников фирмы с информацией, документами и базами данных.
Разрешительная система решает следующие задачи:
- ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания секретов фирмы и работы с ценными документами;
- строгого избирательного и обоснованного распределения документов и информации между сотрудниками;
- обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных, информацией, техническими средствами и т. д.);
- беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (режимную, контролируемую зону), к выделенному ему офисному рабочему оборудованию и компьютеру;
- исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;
- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование сотрудником защищаемой информации (коллективный контроль за работой сотрудников).
Разрешительная система включает в себя две составные части: а) допуск сотрудника к конфиденциальной информации и б) непосредственный доступ этого сотрудника к конкретным сведениям.
Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу.
Оформление допуска, т. е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.
Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны.
В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.
Законодательством США предусмотрено, что никто не имеет права иметь допуск к засекреченной информации лишь благодаря своему чину или положению. Конечной инстанцией, решающей вопрос о необходимости допуска данному лицу, является руководитель, который распоряжается этой информацией и осуществляет за ней контроль.
Доступ - практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных. Он санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется.
Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:
- наличия изданного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т. п.) или назначении на должность, в функциональную структуру которой входит работа с данной, конкретной информацией;
- наличия подписанного сторонами трудового договора (контракта), имеющего пункт, о сохранении секретов фирмы, и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты;
- соответствия функциональных обязанностей сотрудника передаваемым ему документам и информации;
- знания сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы;
- наличия необходимых условий в офисе для работы с конфиденциальными документами и базами данных;
- наличия систем контроля за работой сотрудника. Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются полномочным руководителем, а не самими потребителями (сотрудниками).
Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем.
Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу "чем выше уровень доступа, тем уже круг допущенных лиц", "чем выше ценность сведений, тем меньшее число сотрудников может их знать". В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации.
Такая схема разрабатывается с учетом двух аспектов: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лица, дающие разрешение, категории исполнителей, кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения.
Может составляться матрица полномочий, в которой по горизонтали - наименования категорий документов, по вертикали - фамилии или должности сотрудников.
Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем.