Доступ персонала к конфиденциальным сведениям, документам и базам данных

Уфимский  филиал

федерального  государственного образовательного учреждения

высшего профессионального  образования

«Челябинская  государственная  академия культуры и  искусств»

Кафедра иформационно-документальных ресурсовам 
 
 
 
 
 
 
 
 

Контрольная работа по дисциплине:

Информационная  безопасность и защита информации 

По теме:

Доступ  персонала к конфиденциальным сведениям,

документам  и базам данных 
 
 
 
 
 
 
 

Выполнила: студентка II курса группы 802К

Шитлина Ксения Константиновна

Проверила:

доцент

Мантурова Наталья 

Сергеевна 
 
 
 
 
 
 

г.Уфа, 2010

Содержание 
 

1. Регламентация доступа персонала к конфиденциальным

сведениям, документам и базам данных ………………………………………. 3

2. Принципы построения разрешительной системы доступа, разграничение прав доступа к засекреченной информации ...……………………….……..….  4

3. Описание системы безопасности информационных ресурсов

 организации ООО «Скиф»……….….….……………………………………….17 
4. Список используемой литературы …………………………………………   22 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     1. Регламентация доступа  персонала к конфиденциальным сведениям, документам и базам данных 

     Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем  системы защиты информации. Регламентация  порядка доступа лежит в Основе режима конфиденциальности проводимых фирмой работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает. 

     Режим представляет собой совокупность ограничительных  правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд в пограничную зону, на посещение воинской части и т. п. 

     Разрешительная (разграничительная) система доступа  в сфере коммерческой тайны представляет собой совокупность правовых норм и  требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей. 
 
 
 
 

2. Принципы построения разрешительной системы доступа, разграничение прав доступа к засекреченной информации. 

     Принципы  построения разрешительной системы  доступа: 

     - надежность, т. е. относительное  исключение возможности несанкционированного  доступа посторонних лиц к документам в обычных и экстремальных условиях;

     - полнота охвата всех категорий  руководителей, сотрудников фирмы  и всех категорий документов, информации на любых носителях;

     - конкретность, т. е. исключение  двоякого толкования и однозначность  решения о доступе;

     - производственная необходимость  как единственный критерий доступа  исполнителя к документу, а  также доступа к документам  представителей государственных  служб;

     - определенность состава и компетенции  должностных лиц, дающих разрешение  на доступ сотрудника к конфиденциальным сведениям, документам и базам данных, исключение возможности бесконтрольной и несанкционированной выдачи таких разрешений;

     - строгая регламентация порядка  работы всех категорий сотрудников  фирмы с информацией, документами  и базами данных. 

     Разрешительная  система решает следующие  задачи: 

     - ограничения и регламентации  состава сотрудников, функциональные  обязанности которых требуют  знания секретов фирмы и работы  с ценными документами;

     - строгого избирательного и обоснованного  распределения документов и информации между сотрудниками;

     - обеспечения сотрудника всем  необходимым для реализации своих  служебных функций (документами,  делами, базами данных, информацией,  техническими средствами и т.  д.);

     - беспрепятственного прохода сотрудника  в здание фирмы, в конкретное рабочее помещение (режимную, контролируемую зону), к выделенному ему офисному рабочему оборудованию и компьютеру;

     - исключение возможности для посторонних  лиц несанкционированного ознакомления  с конфиденциальной информацией  в процессе работы сотрудника с документами, делами и базами данных;

     - рациональное размещение рабочих  мест сотрудников, при котором  исключалось бы бесконтрольное  использование сотрудником защищаемой  информации (коллективный контроль  за работой сотрудников). 

     Разрешительная система включает в себя две составные части: а) допуск сотрудника к конфиденциальной информации и б) непосредственный доступ этого сотрудника к конкретным сведениям. 

     Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу. 

     Оформление  допуска, т. е. согласия лица на определенные ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений. 

     Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны. 

     В предпринимательских структурах разрешение на допуск дает первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника. 

     Законодательством США предусмотрено, что никто  не имеет права иметь допуск к  засекреченной информации лишь благодаря  своему чину или положению. Конечной инстанцией, решающей вопрос о необходимости допуска данному лицу, является руководитель, который распоряжается этой информацией и осуществляет за ней контроль. 

     Доступ - практическая реализация каждым сотрудником  предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных. Он санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется. 

     Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих  условий: 

     - наличия изданного приказа первого руководителя о приеме на работу (переводе, временном замещении, изменении должностных обязанностей и т. п.) или назначении на должность, в функциональную структуру которой входит работа с данной, конкретной информацией;

     - наличия подписанного сторонами трудового договора (контракта), имеющего пункт, о сохранении секретов фирмы, и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты;

     - соответствия функциональных обязанностей сотрудника передаваемым ему документам и информации;

     - знания сотрудником требований  нормативно-методических документов  по защите информации и сохранении  тайны фирмы;

     - наличия необходимых условий  в офисе для работы с конфиденциальными  документами и базами данных;

     - наличия систем контроля за  работой сотрудника. Особенность  информационного обслуживания потребителей  конфиденциальной информации заключается  в том, что вопросы определения  состава необходимой им информации  решаются полномочным руководителем,  а не самими потребителями (сотрудниками). 

     Существует  общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа  к нему, но и не должны знать о  существовании такого документа  и исходных данных о нем. 

     Структура процедуры разграничения доступа  должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется  по принципу "чем выше уровень  доступа, тем уже круг допущенных лиц", "чем выше ценность сведений, тем меньшее число сотрудников может их знать". В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. 

     Такая схема разрабатывается с учетом двух аспектов: а) выдача разрешений в  зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лица, дающие разрешение, категории исполнителей, кому дается разрешение. В схеме отражаются также категории документов, с которыми знакомятся определенные категории исполнителей без специального разрешения. 

     Может составляться матрица полномочий, в  которой по горизонтали - наименования категорий документов, по вертикали - фамилии или должности сотрудников. 

     Всю конфиденциальную информацию фирмы  может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем. 

     Необходимо  добиваться минимизации для персонала  привилегий по доступу к информации. При сбое в системе защиты информации или обнаружении факта утраты информации должно мгновенно вводиться  ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служебного расследования. 

     Разграничение доступа основывается на однозначном  расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях.