Введення Сьогодні майже в кожній компанії існує інформаційна система (ІС) обліку і маніпулювання даними і, причому жодна. Якщо виділити тільки основні, то серед них будуть: кадровий облік, документообіг, поштовий клієнт, бухгалтерія, облік продукції, АСУП, АСУТП і т.д. Як цей зоопарк в рамках однієї компанії і на ринку в загальному уживається і поєднується між собою, є окремою темою. Ми ж розглянемо більш вузько поставлене питання, а саме якість роботи «армії» користувачів цих ІС та організація доступу.
У всіх інформаційних системах присутні як мінімум три учасники:
1. Ініціатори інформації. Фізичне обладнання, перетворює свою діяльність у дані для завантаження в БД; Оператори, що вносять дані вручну або за допомогою «найсучасніших засобів автоматизації»;
2. Одержувачі інформації. Фізичне обладнання, перетворюють команди з БД в дії; оператори, які виконують дії на основі отриманих даних; керівництво, яке користується обробленої звітної інформацією для аналізу;
3. Хранителі інформації. Серверне та комунікаційне обладнання, а також «яскраві» представники Адміністраторів БД, системних і мережевих адміністраторів, розробників ПЗ.
З теорії і практики управлінням загрозами інформаційній безпеці (ІБ) відомо, що найслабша ланка при забезпеченні ІБ будь-якої системи це - співробітники компанії, тобто ланка одержувачів та ініціаторів інформації, представлених групою «оператори». Не можна сказати, що решта групи не є потенційним джерелом загроз для ІС, але в даному матеріалі досліджується проблематика роботи саме з цим, наймасовішим і неоднорідним джерелом загроз для ІС.
Відповідь на питання, чому свої співробітники є найбільш масовою категорією порушників цілісності та правильності даних, а також безпеки, що завдають найбільшої шкоди компанії, лежить у площині особливостей будови людської свідомості. Нічого не можна зробити з бажанням людини бачити, говорити, писати, брати, наживатися, помилятися, обманювати, заздрити, любити, мстити і т.д. і т.п.
Існують добре вивчені і реалізовані методики «боротьби» з користувачами (операторами) ІС. У компаніях розроблятися різні заходи щодо забезпечення ІБ, створюються так звані моделі порушників, а також заходи протидії для кожної з них. Однак, навіть самі захищені, як фізично, так і інформаційно компанії можуть отримати дуже сильний шкоди від навмисного та / або ненавмисного втручання своїх співробітників у роботу ІС.
Існуючі схеми організації допуску до ІС Але чи тільки трудова дисципліна, правообязательство або технічно заходи контролю можуть впоратися з помилковою або некомпетентної роботою користувачів з ІС? Першопричиною такої ситуації є, насамперед, не належна підготовка персоналу до правильній роботі на своєму робочому місці, до роботи на ПК в цілому, і в конкретній ІС зокрема. Для вирішення цієї проблеми в кожному випадки розробляються різні схеми навчання, допуску, контролю та покарання, які можна згрупувати наступним чином:
1. Схема «Влаштувався в компанію - отримав доступ до всього що є». Тут немає будь-якої градації рівня допуску до інформації, ні на логічному, ні на програмному рівні. Пристрій людину на роботу надає йому право спільного для всіх допуску в ІС компанії. Схема допустима для малого і частково середнього бізнесу, але зовсім не підходить для тих, хто має більш складну, розгалужену і секретну бізнес інформацію;
2. Схе...