Тьерри АНДРЭ (Мадагаскар), учёный-экономист, диссертант МГУЭСИ

Тьерри Андрэ, асп. МЭСИ;
Данелян Т.Я., к.э.н., доц. МЭСИ.

Некомпьютерные средства защиты базы данных в Страховом холдинге в Республике Мадагаскар (в сборнике: Теория и практика современного менеджмента. Межвузовский сборник научных трудов. М., 2002)

Некомпьютерные средства контроля защиты базы данных включают такие методы, как выработка ограничений, соглашений и других административных мер, связанных с компьютерной поддержкой: меры обеспечения безопасности и планирования защиты от непредвиденных обстоятельств; контроль за персоналом; защита помещений и хранилищ страховой компании; гарантийные соглашения; договора о сопровождении; контроль за физическим доступом.

Меры обеспечения безопасности и планирование защиты от непредвиденных обстоятельств. Эти два понятия имеют отличия. Первое предполагает исчерпывающее определение средств, посредством которых будет обеспечена защита информационной системы страховщика. Второе состоит в определении методов, с помощью которых будет поддерживаться функционирование страховой компании в случае возникновения любой аварийной ситуации. Компания должна подготовить и реализовать как перечень мер обеспечения безопасности, так и план защиты от непредвиденных обстоятельств. В документе, определяющем меры безопасности, должно быть определено следующее: область деловых процессов страховой компании; ответственность и обязанности отдельных работников; дисциплинарные меры, применяемые в случае обнаружения нарушения ограничений; процедуры, которые должны обязательно выполняться.

Процедуры, определяемые как меры обеспечения безопасности, могут потребовать разработки других процедур. Например, одно из установленных в системе ограничений может заключаться в требовании, чтобы доступ к прикладным приложениям системы могли получать только авторизованные пользователи, однако способ реализации этого требования в данном документе не конкретизируется. Для определения методов авторизации различных пользователей потребуется разработать отдельный набор процедур.

Кроме того, дополнительно может быть подготовлен стандарт выполнения процедуры авторизации, устанавливающий, например, формат паролей.

Документ с определением мер обеспечения безопасности постоянно сохраняет свою значимость, хотя может потребоваться его периодический пересмотр, тогда как выполняемые процедуры реализации этих требований должны модифицироваться при каждом внесении изменений в систему.

Планирование защиты от непредвиденных обстоятельств разрабатывается с целью подобного определения последовательности действий, для выхода из различных необычных ситуаций, не предусмотренных процедурами нормального функционирования системы, например, в случае пожара или диверсии. В системе может существовать единый план защиты от непредвиденных обстоятельств, а может быть несколько – каждый по отдельному направлению. Типичный план защиты от непредвиденных обстоятельств включает:
         1. Сведения о том, кто является главным ответственным лицом и как можно установить с ним контакт; информация о том, кто и на каком основании принимает решение о возникновении необычной ситуации; технические требования к передаче управления резервным службам, которые могут включать: сведения о расположении альтернативных сайтов; сведения о необходимом дополнительном оборудовании; сведения о необходимости дополнительных линий связи; требования в отношении персонала страховой компании, который осуществляет передачу управления резервным службам; сведения о внешних источниках информации, например, о клиентах; сведения о наличии страховки на случай данной конкретной ситуации.
         2. Контроль за персоналом компании. Создатели БД возлагают всю ответственность за эффективность управления системой на ее пользователей. Поэтому с точки зрения защиты системы, исключительно важную роль играет отношение к делу персонала страховой компании, непосредственно вовлеченного в эти процессы. Важность этого замечания подчеркивается тем, что основной риск в любой компании связан с действиями сотрудников самой компании, а не с возможными внешними угрозами. Отсюда следует, что обеспечение необходимого уровня контроля за персоналом страховой компании позволяет минимизировать возможный риск.
         3. Защита помещений и хранилищ. Оборудование системы, включая принтеры, если они используются для печати конфиденциальной информации, должно размещаться в запираемом помещении компании с ограниченным доступом, разрешенным только ответственным сотрудникам компании.
Остальное оборудование, особенно переносное, должно быть надежно закреплено в месте размещения и снабжено сигнализацией. Необходимо также иметь надежно защищенное место, в котором будут храниться копии программ, резервные копии системы, прочие архивные материалы и документация. Все носители информации, включая диски и магнитные ленты, должны храниться в несгораемых сейфах. Все, что хранится в специальном помещении, должно быть зарегистрировано в специальном журнале.

Кроме того, страховая компания может использовать и внешние хранилища, периодически доставляя туда вновь созданные резервные копии и другие архивные материалы, причем частота доставки должна определяться установленными нормами и процедурами.

Гарантийные договора, заключаемые между разработчиками программ и компанией, на основании которых некоторая третья фирма обеспечивает хранение исходного текста программ приложения.

Хорошо защищенная база данных в виде связанных распределенных данных является разделяемым информационным (совокупностью локальных информационных ресурсов),ценным корпоративным ресурсом и современным средством управления страховой компании в Республике Мадагаскар.

Литература:
1. Microsoft Corporation. Компьютерные сети: Учебный курс. Пер. с англ. М.. 1997.
2. Мартин Дж. Организация баз данных в вычислительных системах., М., 1980
3. Уэлдон Дж. Администрирование баз данных, М., 1984

Вернуться на главную