Проблемы защиты информации в сетях ЭВМ (II уровень)

Проблемы защиты информации в сетях ЭВМ (II уровень)

Второй уровень — административный. Во всех организационных и организационно-технических системах с учетом правовых норм и производственных требований вводится система уровней компетенции работников.

В соответствии с этой системой назначаются приоритеты: кто и какую информацию может собирать и хранить, устанавливаются способы доступа к ней и условия ее распространения, права и обязанности работников, их компетенция и ответственность. Регламентируется процедуры выдачи допусков к данным.

Многие из этих правил определяются внешними факторами: законами и иными нормативными актами. Но большинство проблем решается внутри организации специальными приказами и инструкциями.

Следует иметь в виду, что практическое осуществление административных мер обеспечения информационной безопасности связано с ограничением доступа людей к компьютерам и обрабатываемой ими информацией.

Организационные меры защиты информации по сравнению с этическими кажутся скучными, а по сравнению с программными и техническими — лишенными конкретности и малоэффективными. Однако они представляют собой мощный барьер на пути незаконного использования информации и основу для других уровней. Никакой другой уровень защиты от НСД не может эффективно работать без соответствующей административной поддержки, но и административные меры не могут работать сами по себе, без опоры на этические и правовые нормы, без технического и программного обеспечения.

Одна из основных причин, по которой трудно проводить в жизнь эффективные административные меры, базируется на стойком общественном мнении, что защита информации — новая и необычная задача. Однако это совсем не так. Защита от НСД применялась во все времена. Просто современные способы представления данных изменились, существенно упростив процедуры НСД. Действительно, во времена преимущественного использования бумажных носителей информации получить доступ к комплекту конструкторской документации на более или менее серьезную техническую систему и скопировать несколько центнеров этой документации было существенно сложнее, чем в наще время переписать дискету.

Другая проблема при введении организационных мер защиты состоит в том, что их реализация почти неизбежно создает неудобства для пользователей. Если хлопот много, эффективность административных мер сведется к нулевой: дверь перестанут запирать, список паролей повесят на стену и т.д. При этом стоит помнить, что любые административные меры защиты вызывают у сотрудников ощущение ограничения их гражданских прав и необходимости выполнять дополнительную работу за ту же зарплату.

Поэтому прежде чем вводить административные ограничения следует найти и внедрить рациональные побудительные причины для их исполнения. Нужно четко отдавать себе отчет в том, что большинство организационных мер защиты основано на преимуществе администратора — нарушителя нужно найти и наказать. Считается, что виновных без персональной ответственности не бывает. Поэтому, распределяя ответственность, сразу нужно предусмотреть систему проверок выполнения мер защиты, которые должны быть неожиданными и предельно простыми.

Яндекс.Метрика