Журнал «Бібліотечна справа» - Архів журналів - № 2 (50) 07 - Безпека бібліотек
Олександр Сергійович Карауш, кандидат технічних наук, директор Муніципальної інформаційної бібліотечної системи м. Томська, доцент кафедри Томського університету систем управління та радіоелектроніки
Якщо ми звернемося до причин пошкодження даних, то побачимо наступну картину: ненавмисна помилка людини – 52% випадків, навмисні дії людини – 10% випадків, відмова техніки – 10% випадків, пошкодження внаслідок пожежі – 15% випадків, пошкодження водою – 10% випадків. Як видно, кожен десятий випадок пошкодження даних пов'язаний з питаннями інформаційної безпеки. Досі залишаються непорушними постулати забезпечення інформаційної безпеки: абсолютний захист створити не можна; система захисту даних має бути комплексною; система захисту даних повинна бути адаптованою до умов, що змінюються. до питань інформаційної безпеки.
Якщо вторгнення відбулося У сучасних умовах діяльність бібліотек пов'язана з циркуляцією великих обсягів даних, що виробляються широким колом осіб. Захист цих даних від несанкціонованого доступу є одним із пріоритетних завдань при проектуванні будь-якої інформаційно-обчислювальної системи. Наслідком збільшеної останнім часом вартості інформації стали підвищені вимоги до конфіденційності даних. Забезпечення інформаційної безпеки вимагає постійної роботи та пильної уваги до дрібниць. Поки система поводиться нормально, ця робота полягає у передбаченні можливих дій зловмисників, плануванні заходів захистута постійному навчанні користувачів. Якщо ж вторгнення відбулося, то відповідальний за безпеку повинен виявити пролом у системі захисту, її причину і метод вторгнення. Немає сумнівів, що захист критично важливих інформаційно-обчислювальних ресурсів має відповідати численним міжнародним, національним, корпоративним, нормативним та методичним нормативам. У багатьох бібліотеках застосовуються дорогі технічні рішення та впроваджуються регламентовані організаційні заходи. Однак основною проблемою залишається пошук відповіді на запитання — наскільки запропоноване чи вже реалізоване рішення добре, якою є його планована чи реальна ефективність? Data Security), то надалі я вестиму мову саме про інформаційну безпеку.
Політика інформаційної безпеки Політика безпеки в бібліотеці — це комплекс заходів щодо захисту даних та інформаційних процесів, що включає певні вимоги до персоналу, користувачів та технічних служб. Хороша політика забезпечення інформаційної безпеки, зрозуміла всім користувачам — щось більше, ніж просто засіб запобігання деяким можливим проблемам. Хорошою практикою, що зарекомендувала себе, є процедура регулярного повторного ознайомлення співробітників з цією політикою, нарівні з інструктажем з техніки безпеки на робочому місці. Це має бути формальністю. Важливо, щоб співробітники усвідомлювали, яку відповідальність вони беруть вінодночасно з правом доступу до інформаційно-обчислювальної системи. Не можна забезпечити необхідний рівень захисту даних, реалізуючи заходи щодо інформаційної безпеки безсистемно. Щоб співробітники усвідомили пріоритетність заходів щодо підвищення рівня безпеки, необхідно розробити механізм управління ризиками інформаційної безпеки, що дозволить спрямувати всі зусилля на захист від найбільш небезпечних загроз та мінімізацію витрат. , захист яких планується. Потім він ідентифікує користувачів, які потребують доступу до кожного з цих ресурсів, і з'ясовує найбільш ймовірні джерела небезпеки кожному з цих ресурсів. Маючи в своєму розпорядженні цю інформацію, можна приступати до побудови політики забезпечення інформаційної безпеки, яку користувачі будуть зобов'язані виконувати. Політика забезпечення інформаційної безпеки зазвичай включає такі елементи: • Оцінка ризику. Що саме захищається і від когось? Потрібно ідентифікувати інформаційні ресурси та можливі джерела проблем. • Відповідальність. Необхідно вказати відповідальних за вжиття тих чи інших заходів щодо забезпечення інформаційної безпеки, починаючи від затвердження нових облікових записів користувачів та закінчуючи розслідуванням порушень. • Правила використання інформаційно-обчислювальних ресурсів. Повинно бути прямо сказано, що користувачі не мають права використовувати інформацію не за призначенням, використовувати ресурси в особистих цілях, а також навмисно завдавати шкоди інформації, що розміщена в мережі. • Юридичні аспекти. Необхідно проконсультуватися з юристом і з'ясувати всі питання, які можуть мати відношення до даних, що зберігаються або циркулюють у мережі, тавключити ці відомості в документи. Процедури відновлення системи захисту. Слід зазначити, що має бути зроблено у разі порушення системи захисту, і які дії будуть вжиті проти тих, хто спричинив таке порушення.
1 Когаловський М. Р. Енциклопедія технологій баз даних. - М.: Фінанси та статистика, 2002. - 800 с.: іл.