Андрэ ТЬЕРРИ (Мадагаскар), учёный-экономист, диссертант МГУЭСИ

Тьерри Андрэ, асп. МЭСИ;
Данелян Т.Я., к.э.н., доц. МЭСИ.

Анализ узких мест в управлении базами данных в Страховом холдинге в Республике Мадагаскар (в сборнике: Актуальные проблемы современного управления и экономики. Межвузовский сборник научных трудов, выпуск 5. М., 2002)

Идея объединения данных страховой компании на Мадагаскаре в единую систему, доступную всем, имеет как достоинства , так и недостатки. Очевидные преимущества совместного использования данных уравновешиваются риском некорректного использования и повреждения данных пользователями, которые либо имеют низкую квалификацию в области информационных технологий, либо не имели полномочий работать с ними и не несут ответственности за эти данные.

База данных является ценным ресурсом, доступ к которому необходимо контролировать и регламентировать так же, как и к другим корпоративным ресурсам страховой компании. Поскольку страхование является одним из самых информационно-насыщенных и информационно-зависимых видов бизнеса, часть или даже все корпоративные данные могут иметь стратегическое значение для страховой компании, а потому они требуют серьезной охраны.

Для организации охраны и защиты баз данных, прежде всего, нужно идентифицировать типы опасностей, которым подвергается БД страховой компании. Опасность – это любая ситуация или событие, намеренное или непреднамеренное, которое способно неблагоприятно повлиять на систему, а следовательно и на работу компании. Угроза может быть вызвана ситуацией или событием, способным принести вред страховой компании, причиной которой может служить человек, происшествие или стечение обстоятельств.

На выяснение угроз требуется много усилий, которые, тем не менее, необходимо приложить, во избежание потери страховой информации. Преднамеренные угрозы всегда осуществляются людьми и совершаются авторизованными и неавторизованными пользователями. Последние могут не принадлежать компании.
Страховые процессы компании могут быть подвержены и маловероятным опасностям, которые должны быть прияты во внимание. По всей видимости, именно случайные опасности могут быть причиной основной части потерь в большинстве случаев.

Любой случайный инцидент, послуживший причиной нарушения системы защиты, должен быть зафиксирован в документации, с указанием сведений о персонах, связанных с нарушением. Время от времени подобные записи должны анализироваться с целью установления частоты возникновения сходных инцидентов, связанных с одними и теми же людьми. Полученные сведения следует использовать для уточнения существующих процедур и установления ограничений. Например, повторяющееся рассоединение или разрыв кабеля должен послужить причиной пересмотра способа укладки или маршрута их проведения.

Аналогично, повторяющееся внесение в систему вирусов и другого нежелательного программного обеспечения должно быть расценено как серьезная угроза, однако здесь могут быть трудности с оценкой случайности или преднамеренности их появления. Могут быть разработаны процедуры, запрещающие работникам использовать их собственное программное обеспечение. После принятия подобных мер появление в системе вирусов едва ли можно будет расценивать как случайное.
Типы угроз лежат в широком диапазоне – от пожаров и наводнений, непосредственно воздействующих на все элементы системы, до некоторых специфических инцидентов, воздействующих на одну из ее частей. Например, случайный обрыв кабеля может блокировать работу только одного пользователя и не окажет влияния на состояние программного обеспечения.

При анализе отдельных опасностей оценка их возможного влияния должна производиться с разных точек зрения. Например, если имеет место отказ оборудования, послуживший причиной разрушения устройства внешней памяти, то важно ответить на следующие вопросы:
— Существует ли резервное оборудование, которое может быть использовано немедленно: защищено ли резервное оборудование надлежащим способом;
— может ли используемое программное обеспечение нормально работать на резервном оборудовании, если резервных устройств не существует.

Тип опасности предопределен воздействием определенных факторов.
Похищение или фальсификация данных возможны в случаях:
— использования права доступа другого человека;
— несанкционированного изменения или копирования данных;
— изменения программ;
— несовершенной методики и процедур, допускающих смешивание конфиденциальных и обычных данных в одном документе;
— подключения к кабельным сетям;
— ввода хакерами некорректных данных;
— шантажа;
— создания «лазеек» в систему;
— похищения данных, программ и оборудования;
— отказа системы защиты, вызвавший превышение допустимого уровня доступа;
— просмотра засекреченных данных.
Утрата конфиденциальности и нарушение неприкосновенности личных данных:
— использование прав доступа другого человека;
— несовершенные методики и процедуры, допускающие смешивание конфиденциальных и обычных данных;
— шантаж;
— похищение данных, программ и оборудования;
— отказ систем защиты;
— недостаточная обученность персонала;
— просмотр и раскрытие засекреченных данных;
Утрата целостности:
— несанкционированное изменение или копирование данных; изменение программ;
— нехватка персонала или забастовки;
— электронные наводки и радиация;
— разрушение данных в результате отключения или перенапряжения в сети электропитания;
— пожары (по причине коротких замыканий, ударов молний, поджогов), наводнения, диверсии;
— физическое повреждение оборудования;
— обрыв или отсоединение кабелей; введение компьютерных вирусов.
Потеря доступности возникает по тем же причинам, что и утрата целостности плюс похищение данных, программ и оборудования.

Похищение данных могут происходить не только в среде БД, но вся компания подвержена этому риску. Однако действия по похищению информации всегда совершаются людьми, поэтому основное внимание должно быть сосредоточено на сокращении общего количества удобных ситуаций для выполнения подобных действий. Например, рекомендуется точно фиксировать количество отпечатанных платежных поручений, а также организовать четкий учет и автоматическое уничтожение всех файлов, используемых в несанкционированных попытках печати страховых документов.

Потеря конфиденциальности и нарушение неприкосновенности личных данных. Конфиденциальными считаются те данные, которые являются критическими (стратегическими) для страховой компании Понятие неприкосновенности данных – это требование защиты информации об отдельных операциях страховщика. Следствием нарушения системы защиты БД компании, вызвавшей потерю конфиденциальности данных, может быть утрата позиций компании в конкурентной борьбе, тогда как следствием нарушения неприкосновенности данных будут санкции контролирующих органов.

Сетевые коммуникации выходят из строя вследствие: подключения к кабельной системе; обрыва и отключения кабелей; электрической наводки. Базы данных из-за: несанкционированной корректировки, копирования данных; похищения данных; разрушения данных.

Опасности со стороны:
пользователей –
— использование чужих средств доступа;
— несанкционированный просмотр и раскрытие конфиденциальных данных;
— низкий уровень квалификации персонала;
— действие хакеров;
— вирусов;
программистов и операторов –
— создание лазеек в систему;
— искажение программ;
— отключение средств защиты;
— саботаж и забастовка персонала;
администраторов БД –
— недостаточный уровень ограничений и процедур защиты.

Литература:
1. Дейт К.Дж. Введение в системы баз данных. 6-е издание. Киев, М, 1998
2. Кульгин М. Энциклопедия технологий корпоративных сетей Санкт-Петербург, 2000
3. Ульман Дж. Основы систем баз данных. М., 1983.

Вернуться на главную