Защита информации при работе с базой данных

Утечка конфиденциальной информации с базы данных может происходить по следующим каналам:

- организационному каналу через персонал, правонарушителя, его сообщника, силовым криминальным путем;

- побочных электромагнитных излучений и линий связи;

- наводок злоумышленником опасного сигнала на линии связи, цепи заземления и электропитания;

- акустических сигналов;

- через вмонтированные радиозакладки, съема информации с плохо стертых дискет, ленты принтера.

Основным источником высокочастотного электромагнитного излучения является дисплей. Картинку дисплея можно уловить и воспроизвести на экране другого дисплея на расстоянии 200 - 300 м. Печатающие устройства всех видов излучают информацию через соединительные провода. Однако основным виновником утраты электронной информации всегда является человек.

Защита данных обеспечивается на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики базы данных (надежность, быстродействие).

Организация системы защиты информации включает:

- защиту границ охраняемой территории;

- защиту линий связи между базой данных в одном помещении;

- защиту линий связи в различных помещениях, защиту линий связи, выходящих за пределы охраняемой зоны (территории).

Защита информации включает ряд определенных групп мер:

- меры организационно-правового характера: режим и охрана помещений, эффективное делопроизводство по электронным документам – внемашинная защита информации, подбор персонала;

- меры инженерно-технического характера: место расположения базы данных, экранирование помещений, линий связи, создание помех и др.;

- меры, решаемые путем программирования: регламентация права на доступ, ограждение от вирусов, стирание информации при несанкционированном доступе, кодирование информации, вводимой в базу данных;

- меры аппаратной защиты: отключение базы данных при ошибочных действиях пользователя или попытке несанкционированного доступа.

Помещения, в которых происходит обработка информации базы данных, имеют аппаратуру противодействия техническим средствам промышленного шпионажа. Имеют сейфы для хранения носителей информации, имеют бесперебойное электропитание и кондиционеры, оборудованные средствами технической защиты.

Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа состоит из четырех элементов:

- управления доступом;

- регистрации и учета;

- криптографической;

- обеспечения целостности.

Правильная организация доступа - управление доступом к конфиденциальной информации является важнейшей составной частью системы защиты электронной информации. Реализация системы доступа, как к традиционным, так и электронным документам основывается на анализе их содержания, которое является главным критерием однозначного определения: кто из руководителей, кому из исполнителей (сотрудников), как, когда и с какими категориями документов разрешает знакомиться или работать. Любое обращение к конфиденциальному документу, ознакомление с ним в любой форме (в том числе случайное, несанкционированное) обязательно фиксируется в учетной карточке документа и на самом документе в виде соответствующей отметки и подписи лиц, которые обращались к документу. Этот факт указывается также в карточке учета осведомленности сотрудника в тайне предприятия.

Организуя доступ сотрудников предприятия к конфиденциальным массивам электронных документов и базам данных, необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части доступа этого вида:

- доступ к персональному компьютеру, серверу или рабочей станции;

- доступ к машинным носителя информации, хранящимся вне базы данных;

- непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:

- определение и регламентацию первым руководителем предприятия состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;

- регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности предприятия, наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);

- организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информирования и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

- организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;

- организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;

- организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.

Безопасность информации базы данных и локальной сети требует эффективной взаимосвязи машинной и внемашинной защиты конфиденциальных сведений. В связи с этим, важное актуальное значение имеет защита технических носителей конфиденциальной информации (машиночитаемых документов) на внемашинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемого документа. Подобная проблема несущественна для носителей, содержащих открытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне машины, в настоящее время эффективно используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе.

Перед началом обработки информации базы данных сотрудник обязан убедиться в отсутствии в помещении посторонних лиц. При подходе такого лица к сотруднику экран дисплея должен быть немедленно погашен.

В конце рабочего дня исполнители обязаны перенести всю конфиденциальную информацию из компьютера на гибкие носители информации, стереть информацию с жестких дисков, проверить наличие всех конфиденциальных документов (на бумажных, магнитных и иных носителях), убедиться в их комплектности и сдать в службу конфиденциального делопроизводства. Оставлять конфиденциальные документы на рабочем месте не разрешается. Не допускается также хранение на рабочем месте исполнителя копий конфиденциальных документов.

Лицам, имеющим доступ к работе с базой данных, запрещается:

- разглашать сведения о характере автоматизированной обработки конфиденциальной информации и содержании используемой для этого документации;

- знакомиться с изображениями дисплея рядом работающих сотрудников или пользоваться их магнитными носителями без разрешения руководителя подразделения;

- разглашать сведения о личных паролях, используемых при идентификации и защите массивов информации;

- оставлять магнитные носители конфиденциальной информации без контроля, принимать или передавать их без росписи в учетной форме, оставлять базу данных с загруженной памятью бесконтрольно;

- пользоваться неучтенными магнитными носителями, создавать неучтенные копии документов.

После изготовления бумажного варианта документа его электронная копия стирается, если она не прилагается к документу или не сохраняется в справочных целях. Отметки об уничтожении электронной копии вносятся в учетные карточки документа и носителя и заверяются двумя росписями.

Хранение магнитных носителей и электронных документов должно осуществляться в условиях, исключающих возможность их хищения, приведения в негодность или уничтожения содержащейся в них информации, а также в соответствии с техническими условиями завода-изготовителя. Носители хранятся в вертикальном положении в специальных ячейках металлического шкафа или сейфа. Номера на ячейках должны соответствовать учетным номерам носителей. Недопустимо воздействие на носители теплового, ультрафиолетового и магнитного излучений.

Магнитные носители, содержащие конфиденциальную информацию, утратившую свое практическое значение, уничтожаются по акту с последующей отметкой в учетных формах.

С целью контроля и поддержания режима при обработке информации базы данных необходимо:

- периодически проводить проверки наличия электронных документов и состава баз данных;

- проверять порядок ведения учета, хранения и обращения с магнитными носителями и электронными документами;

- систематически проводить воспитательную работу с персоналом, осуществляющим обработку конфиденциальной информации базы данных;

- реально поддерживать персональную ответственность руководителей и сотрудников за соблюдение требований работы с конфиденциальной информацией базы данных;

- осуществлять действия по максимальному ограничению круга сотрудников, допускаемых к обрабатываемой конфиденциальной информации и праву входа в помещения, в которых располагаются компьютеры, для обработки этой информации.