Тьерри Андрэ, асп. МЭСИ; Анализ узких мест в управлении базами данных в Страховом холдинге в Республике Мадагаскар (в сборнике: Актуальные проблемы современного управления и экономики. Межвузовский сборник научных трудов, выпуск 5. М., 2002) Идея объединения данных страховой компании на Мадагаскаре в единую систему, доступную всем, имеет как достоинства , так и недостатки. Очевидные преимущества совместного использования данных уравновешиваются риском некорректного использования и повреждения данных пользователями, которые либо имеют низкую квалификацию в области информационных технологий, либо не имели полномочий работать с ними и не несут ответственности за эти данные. База данных является ценным ресурсом, доступ к которому необходимо контролировать и регламентировать так же, как и к другим корпоративным ресурсам страховой компании. Поскольку страхование является одним из самых информационно-насыщенных и информационно-зависимых видов бизнеса, часть или даже все корпоративные данные могут иметь стратегическое значение для страховой компании, а потому они требуют серьезной охраны. Для организации охраны и защиты баз данных, прежде всего, нужно идентифицировать типы опасностей, которым подвергается БД страховой компании. Опасность – это любая ситуация или событие, намеренное или непреднамеренное, которое способно неблагоприятно повлиять на систему, а следовательно и на работу компании. Угроза может быть вызвана ситуацией или событием, способным принести вред страховой компании, причиной которой может служить человек, происшествие или стечение обстоятельств. На выяснение угроз требуется много усилий, которые, тем
не менее, необходимо приложить, во избежание потери страховой информации.
Преднамеренные угрозы всегда осуществляются людьми и совершаются авторизованными
и неавторизованными пользователями. Последние могут не принадлежать компании. Любой случайный инцидент, послуживший причиной нарушения системы защиты, должен быть зафиксирован в документации, с указанием сведений о персонах, связанных с нарушением. Время от времени подобные записи должны анализироваться с целью установления частоты возникновения сходных инцидентов, связанных с одними и теми же людьми. Полученные сведения следует использовать для уточнения существующих процедур и установления ограничений. Например, повторяющееся рассоединение или разрыв кабеля должен послужить причиной пересмотра способа укладки или маршрута их проведения. Аналогично, повторяющееся внесение в систему вирусов и
другого нежелательного программного обеспечения должно быть расценено
как серьезная угроза, однако здесь могут быть трудности с оценкой случайности
или преднамеренности их появления. Могут быть разработаны процедуры, запрещающие
работникам использовать их собственное программное обеспечение. После
принятия подобных мер появление в системе вирусов едва ли можно будет
расценивать как случайное. При анализе отдельных опасностей оценка их возможного
влияния должна производиться с разных точек зрения. Например, если имеет
место отказ оборудования, послуживший причиной разрушения устройства внешней
памяти, то важно ответить на следующие вопросы: Тип опасности предопределен воздействием определенных
факторов. Похищение данных могут происходить не только в среде БД, но вся компания подвержена этому риску. Однако действия по похищению информации всегда совершаются людьми, поэтому основное внимание должно быть сосредоточено на сокращении общего количества удобных ситуаций для выполнения подобных действий. Например, рекомендуется точно фиксировать количество отпечатанных платежных поручений, а также организовать четкий учет и автоматическое уничтожение всех файлов, используемых в несанкционированных попытках печати страховых документов. Потеря конфиденциальности и нарушение неприкосновенности личных данных. Конфиденциальными считаются те данные, которые являются критическими (стратегическими) для страховой компании Понятие неприкосновенности данных – это требование защиты информации об отдельных операциях страховщика. Следствием нарушения системы защиты БД компании, вызвавшей потерю конфиденциальности данных, может быть утрата позиций компании в конкурентной борьбе, тогда как следствием нарушения неприкосновенности данных будут санкции контролирующих органов. Сетевые коммуникации выходят из строя вследствие: подключения к кабельной системе; обрыва и отключения кабелей; электрической наводки. Базы данных из-за: несанкционированной корректировки, копирования данных; похищения данных; разрушения данных. Опасности со стороны:
Литература:
|