97703

Современные технологии защиты информации в библиотеках

Дипломная

Информатика, кибернетика и программирование

Современное общество стало сильно зависимым от информации и от того насколько будет обеспечиваться доступ к информации от ее достоверности и защищенности зависит и дальнейшее развитие общества. От современной библиотеки требуется не только выполнение ее мемориальной функции но и принятие и реализация решений с целью обеспечения защиты и должного хранения машиночитаемой информации.

Русский

2015-10-24

108.02 KB

18 чел.

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ИНСТИТУТ КУЛЬТУРЫ

Библиотечно-информационный институт

Кафедра информатизации культуры и электронных библиотек

Современные технологии защиты информации в библиотеках

ДИПЛОМНАЯ РАБОТА

по специальности

«Библиотечно-информационная деятельность»

Исполнитель: студент 5 курса

дневного отделения БИИН

М.М. Хайбулаев __________

Научный руководитель:

К.А. Колосов _____________,

Кандидат техн. наук, доцент кафедры ИК и ЭБ

Допустить к защите:

Зав. кафедрой информатизации культуры

и электронных библиотек

доктор технических наук, профессор:

Я.Л. Шрайберг ____________________

Дата допуска к защите:

«___» _________________2015г.

Москва 2015

ОГЛАВЛЕНИЕ

Введение ............................... 2

Глава 1. Технические средства защиты печатных изданий в фондах библиотек 4

1.1 Основные принципы организации защиты фондов библиотек. 4

1.2. Использование технологии RFID. 11

Глава 2. Современные средства защиты информационных ресурсов библиотеки 15

2.1. Основы информационной безопасности в библиотеках......................................... 15

2.2. Методы защиты информации в библиотеках. 20

2.3. Защита информационных ресурсов библиотек от компьютерных вирусов 29

2.4. Защита информационных ресурсов библиотек от угрозы отказа служб. 35

2.5. Политика безопасности информационных ресурсов библиотеки. 37

Заключение .................... 42

Список сокращений.................................................................................... 43

Список литературы........................................................................... 44


Введение

В настоящее время информационные технологии являются определяющим фактором для формирования информационного общества. В информационном обществе именно информация является одним из самых важных ресурсов. Повышение роли информационных технологий и ресурсов в жизни  граждан, общества, государства выносит на передний план вопросы информационной безопасности. Современное общество стало сильно зависимым от информации и от того, насколько будет обеспечиваться доступ к информации, от ее достоверности и защищенности зависит и дальнейшее развитие общества. Развитие WEB-технологий, ускоренное развитие Интернета являются корнем данной проблемы, в том числе, связанной с защитой от хакерских программ.

Современные библиотеки, выполняя свою основную функцию, а именно обеспечивая пользователей информацией, обязаны обеспечить безопасное пользование данной информацией. В данном случае пользователи выступают одновременно и главным субъектом библиотечного обслуживания, и дополнительными источником угрозы информационным ресурсам библиотеки.

От современной библиотеки требуется не только выполнение ее мемориальной функции, но и принятие и реализация решений с целью обеспечения защиты и должного хранения машиночитаемой информации.

Для наиболее глубокого изучения проблемы информационной безопасности библиотек, целесообразным является анализ специфики библиотечного учреждения как субъекта обеспечения информационной безопасности, которые связаны с его характером деятельности и функциональными особенностями.

Другой аспект - развитие корпоративных сетей библиотек, позволяющих хранить всю информацию. Такие сети также нуждаются в особой системе защиты.

Третий аспект определяется уже упомянутой возможностью глобальных негативных и деструктивных воздействий через глобальные информационные сети. Опасность такого воздействия возрастает вместе с увеличением объемов информации, циркулирующей в сетях, а также информационных ресурсов, используемых при современном автоматизированном управлении организационными и организационно-техническими системами. В том числе и используемыми в библиотеках. Ранее при решении задач защиты процессов, сопровождающих хранение, передачу и обработку информации, приходилось иметь дело с локальными объектами и с локальными угрозами безопасности их функционирования. Сейчас через сети распределения информации, особенно -глобальные сети - можно разрушить все информационные связи сразу. В том числе информационным системам, содержащим персональные данные. Таким образом, проблемой современной информационной безопасности библиотек является и открывшаяся в последние годы глобальность информационных воздействий через сети типа Internet.

Целью моей  дипломной работы является анализ доступных методов и средств по защите информации  в библиотеках. Описание различных этапов создания систем защиты информации и их применение на практике. Рассмотрение вариантов развития функциональности способов защиты и проанализировать возможности современных технологий и услуг в этой области.  Объектом исследования является библиотека и её рабочая среда.

Глава 1. Технические средства защиты печатных изданий в фондах в библиотек

1.1 Основные принципы организации защиты фондов библиотек.

Библиотеки приобретают, сохраняют и предоставляют в общественное пользование документы разных типов. Обеспечение сохранности документного фонда - одна из основных функций библиотек, без надлежащего выполнения которой они со временем не только не смогут в полной мере удовлетворять запросы читателей, но и реально столкнутся с угрозой частичной или полной их утраты. Как отмечается в [1], обеспечить сохранность библиотечных фондов как части культурного наследия и информационного ресурса страны возможно лишь при развитии следующих направлений деятельности:

  1.  Поддержание нормативного физического и санитарно-гигиенического состояния зданий, инженерных коммуникаций, помещений хранилищ.
  2.  Расширение площадей хранилищ в соответствии с ростом библиотечных фондов, строительство и реконструкция библиотечных зданий.
  3.  Оборудование библиотек современными комплексами технических средств безопасности, их постоянное совершенствование и обеспечение бесперебойной работы.
  4.  Постоянное совершенствование материально-технической базы библиотек для обеспечения нормативного режима хранения документов, их стабилизация и реставрация.
  5.  Обеспечение процессов защиты, хранения и использования библиотечных фондов достаточным количеством квалифицированных кадров.
  6.  Создание единого страхового фонда документов библиотек.

На государственном уровне нормативно-правовое обеспечение осуществляется через подготовку и утверждение РБА, федеральными органами исполнительной власти нормативно-правовых документов, таких как Основы законодательства о культуре (1992г.) [1], Федеральные законы «О библиотечном деле» (1994г.) [2], «Об информации, информатизации и защите информации» (1995г.) [3],  «Об обязательном экземпляре документов» (1996г.), Система стандартов по информации, библиотечному и издательскому делу [4], Модельный стандарт публичной библиотеки, Библиотека и закон. Справ., док., комментарии, юрид. советы на каждый день. Вып.1-…-М.: Либерея, 1996-  [5] и др.

Инструктивно-методическое обеспечение осуществляется посредством таких документов, как: Инструкция об учете библиотечного фонда. Утв. Приказом Министерства культуры РФ 02 дек. 1998г.№590, Инструкция по бухгалтерскому учету в бюджетных учреждениях. Утв. Приказом Министерства финансов РФ 30 дек.1999г. №107н., Справочник библиотекаря/Под ред.: А.Н.Ванеева, В.А.Минкиной. -СПб.: Профессия,2000.-432с. [6], Митрофанова С.В. Учет библиотечных фондов. Методическое пособие.-М,2001.-160с. [7], Планирование действий на случай бедствия в вашей библиотеке. Методическое руководство/РБА. –СПб, 2000.-32с.[8], Предотвращение краж в библиотеках. Рекомендации по выбору оборудования контроля несанкционированного выноса. - М.:Центр безопасности культурных ценностей ГМВЦ «РОСИЗО», 2004. -28с. [9], Безопасность библиотек и библиотечных фондов: Практическое руководство/Сост. А.В.Лихоманов. –М.:ЦБКЦ МК РФ.-99с. [10] и др.


Основные опасности для библиотечных фондов представляют:

  1.  Свойства материальной основы документа
  2.  Стихийные бедствия и аварии
  3.  Условия и режим хранения
  4.  Обращение и использование

Основную часть фондов в библиотеках по-прежнему составляют документы на традиционных носителях. Это - книги, газеты, журналы, рукописи, карты, плакаты и многие другие виды печатных изданий. Материалы, из которых они изготовлены, в основном, органического происхождения: бумага, картон, кожа, дерево и проч. Именно они подвержены постоянному и естественному старению. Но и при хранении современных носителей, таких как микроформы, оптические и магнитные диски, цифровые форматы и т.д. возникают серьезные проблемы, они требуют особого режима хранения и использования во избежание преждевременного износа либо полной утраты информации.

Основными объектами, подверженными воздействию стихийных бедствий и несанкционированных воздействий в библиотеке, как в любой организации, предприятии, фирме и даже частном жилище, являются:

1) здания, помещения, находящиеся в них;

2) люди;

3) техническая (инженерная) инфраструктура;

4) ценности (материальные и духовные, личные, общественные и государственные и т.д.).

Информационные ресурсы (ИР) библиотек могут представлять любые виды этих ценностей. Так, ИР районной или городской массовой (публичной) библиотеки составляют материальные и духовные государственные ценности, учитывая, что такие библиотеки находятся в муниципальной собственности и подчиненности Субъектов Федерации.

Информация является важнейшим ресурсом человеческого общества. Она выражается в накопленном в течение многих лет информационном потенциале, созданным трудами членов общества. Всё возрастающие объёмы разнообразной информации (символьной, текстовой, графической, мультимедийной и др.) и расширение круга её пользователей вызывают потребность контролировать её достоверность, обеспечивать защиту от несанкционированного доступа, искажения, потери и копирования с целью: сохранения национального и мирового культурного наследия, соблюдения государственного и мирового законодательства, а также прав авторов информации [11].

Документы, представляющие материальную, культурную и историческую ценность, которые находятся в библиотеках в свободном доступе для посетителей, должны быть защищены от несанкционированного выноса из читального зала, невозврата и порчи. Обеспечение возврата книг, предотвращение их порчи, относятся к организационным категориям задач, а задача предотвращения несанкционированного выноса книг требует комплексного подхода и применения специального оборудования.

Система защиты состоит из трех основных компонентов:

  1.  Защитные датчики (метки);
  2.  Антенны;
  3.  Деактиваторы.

Для обеспечения обнаружения выносимых книг, все книги и материалы находящиеся в свободном доступе, должны быть промаркированы защитными маркерами (метками). При этом рекомендуется маркировать книги в таких местах, которые затрудняют их раскрытие злоумышленниками.

Статистика показывает, что правильное применение систем защиты книг от краж позволяет добиться  результата по предотвращению попыток краж до 95%. Кроме этого, согласно статистике, более 80% эффективности противокражных систем складывается из возникновения психологического эффекта от их наличия.

Для повышения надежности защиты книг существует ряд основных рекомендаций:

  1.  использовать дублирование защитных датчиков в разных местах издания;
  2.  не следует размещать защитный датчик на книге на самом виду;
  3.  следует руководствоваться рекомендациями специалистов по технологии применения датчиков на изданиях.

Основным компонентом противокражной системы являются антенны (детекторы), которые устанавливаются на выходе из зала или на выходе из библиотеки. В случае попытки выноса не оформленной правильным образом книги, антенны сообщают об этом визуальным и звуковым сигналом.

Деактиваторы используются для обеспечения свободного выхода с оформленной книгой. При оформлении книги на вынос сотрудник библиотеки нейтрализует защитные датчики, приложив книгу на некоторое время к специальной области стола. Это позволяет нейтрализовать датчик, после чего посетитель может уйти из библиотеки с книгой.

Для эффективной защиты книг от краж различают два типа систем, наиболее распространенных в мире. Это системы радиочастотного и электромагнитного типов.

  1.  Системы с электромагнитными датчиками

Являются оптимальными для использования в библиотеках. Высокая степень защиты книг достигается за счет малых размеров электромагнитных датчиков. Например, самый распространенный датчик "невидимка" представляет собой металлическую нить на клейкой основе. Размер нити - 10 х 50 мм. Не менее важным показателем является стоимость электромагнитных датчиков, которая является очень низкой по сравнению с датчиками других типов.

  1.  Системы с радиочастотными датчиками

Относятся к оборудованию недорогого, экономичного класса, но в силу ряда ограничений, связанных с принципом действия, имеют узкую область применения в библиотеках. В этой технологии датчики не обладают возможностью реактивации. Главным недостатком радиочастотных систем является потенциальная возможность экранирования защитных датчиков, что приводит к их нейтрализации и препятствует защите.

Как сказано в [12], для выбора наиболее эффективного противокражного оборудования необходимо руководствоваться следующими требованиями:

  1.  Использовать защитные датчики небольших размеров. Датчик большого размера легче обнаружить в книге и нейтрализовать. Оптимальным размером на практике обладает электромагнитный датчик  размером 10х50 мм.
  2.  Надежность защиты книг зависит от точность распознавания датчиков противокражной системой. Рекомендуется придавать большое внимание выбору надежного поставщика с большим штатом  инженеров, так как определить визуально данный параметр невозможно. Большое значение играет расстояние считывания защитных датчиков. Так, для электромагнитного оборудования нормой является 85 см, для радиочастотного 130-140 см. В случае, если система не может обеспечить данные показатели при работе с датчиками, то это может свидетельствовать о низком качестве оборудования.

Современная библиотека содержит большое количество книг, обслуживает значительное число посетителей, и требует высокой квалификации персонала, производящего выдачу книг, а также их поиск, контроль наличия книг в читальном зале, выдачу книг по абонементам, и другие задачи. Вопросы ускорения обслуживания посетителей по абонементам особенно актуальны в библиотеках с большой посещаемостью. Специализированные системы идентификации и управления библиотечными фондами призваны повысить эффективность работы библиотеки.

Технология контроля книг, находящихся в свободном доступе для посетителей, является основой системы защиты документов от несанкционированного выноса документов. Посетители могут проходить к открытым стеллажам и подобрать необходимую им литературу для прочтения. При применении технологии контроля книг практически исключается возможность выноса книги из зала без оформления выдачи.


1.2. Использование технологии RFID.

Технология радиочастотной идентификации (RFID) для контроля движения книг и предотвращения краж в библиотеках активно развивается и набирает популярность в последнее время. Технологии бесконтактной идентификации наиболее полно соответствуют требованиям к современным системам управления, где требуется распознавание и регистрация объектов в реальном времени. Автоматические системы идентификации эффективны для отслеживания перемещений любого объекта и позволяют осуществлять бесконтактное чтение и запись данных.

Как указано в [13] технология RFID помогает решению трех основных задач в библиотеке:

  1.  Идентификация и поиск книги
  2.  Сохранность книг от краж
  3.  Идентификация посетителей.

Система радиочастотной идентификации включает в себя три основных компонента:

  1.  RFID метка с встроенным чипом, содержащим уникальный идентификационный код и информацию о книге. Этот код позволяет идентифицировать книгу на стеллажах, при оформлении абонемента, при ее выносе из читального зала.
  2.  Специальное устройство (ридер), считывающее информацию с метки
  3.  Компьютерное обеспечение, позволяющее обрабатывать информацию, считанную с метки.

Технология RFID позволяет существенно ускорить технологические процессы в библиотеке. Суть технологии в следующем: RFID метки помещаются на каждую книгу и , когда такая книга попадает в поле действия ридера, метка обнаруживает его сигнал и начинает передавать обратно в ридер данные, хранящиеся в ее памяти. Эти данные затем передаются в компьютер для дальнейшей обработки.

Толщина RFID метки (обычно на пластиковой или бумажной подложке) не превышает 0,3 мм, что позволяет размещать ее незаметно в любом месте книги.

Системы RFID имеют немало преимуществ перед технологией штрихового кодирования:

  1.  Метки могут быть скрыты глубоко внутри объектов, которые подлежат идентификации. Одновременно могут считываться несколько меток RFID. Метка RFID, в отличие от штрихового кода, не должна быть в поле прямой видимости ридера или не должна быть расположена определенным образом для успешного считывания.
  2.  Срок службы метки RFID составляет не менее 10 лет, в целом метка гораздо более устойчива к механическим воздействиям, чем штрих-код.
  3.  Данные, содержащиеся на метках, могут быть многократно перезаписаны.
  4.  RFID системы дают практически 100-процентную точность передачи данных при очень быстром считывании.
  5.  В метке RFID может быть применена противокражная функция, и таким образом идентификация книг и защита от краж сочетаются в одной метке.
  6.  Данные на метках могут нести достаточно большой объем информации (до 30 КБ), причем записанная информация может быть защищена от несанкционированного считывания.

На сегодняшний день только технология RFID позволяет эффективно решать целый комплекс задач в библиотеках:

  1.  Уменьшается время поиска книг: для поиска книги достаточно пройти с ридером вдоль полки; обнаружив книгу, ридер издаст сигнал;
  2.  увеличивается производительность труда за счет автоматизации процессов;
  3.  эффективная реализация противокражной функции; система радиочастотной идентификации является наиболее надежной (самый высокий процент срабатывания и высокая устойчивость к помехам);
  4.  удобство инвентаризации, не снимая ни одной книги с полки;
  5.  создание базы данных читателей: каждый читатель библиотеки может получить пластиковую карту с уникальным идентификационным кодом. Эта карта считывается библиотекарем и позволяет моментально получить информацию о пользователе из компьютерной базы;
  6.  создание электронного абонемента: в метке может записываться информация о каждой выдаче и возврате книги; таким образом, история каждой книги постоянно отслеживается в компьютере.

Следует заметить, что радиочастоты, на которых работают системы RFID, считаются безопасными для окружающих, товаров и электронных устройств. Благодаря RFID технологиям, программы управления отношениями с клиентами и контроля движения объектов выходят на новый этап развития. RFID решения легко внедряются в уже существующие процессы управления предприятий, оставаясь при этом эффективными с позиции затрат. Эффективность этих внедрений обеспечивается уникальными возможностями и техническими характеристиками современных RFID решений.


Глава 2. Современные средства защиты информационных ресурсов библиотеки

2.1. Основы информационной безопасности в библиотеках.

Организация информационной безопасности библиотеки исключительно важна для ее успешной деятельности. Вопросам информационной безопасности в последнее время уделяется значительное внимание в различных отраслях науки и производства. Под информационной безопасностью подразумеваются состояние защищенности, методы, средства и мероприятия, направленные на обеспечение защиты, а также предотвращение различных угроз [14]. Задачами информационной безопасности является предотвращение угрозы несанкционированного доступа с целью уничтожения, порчи, искажения, изменения, хищения и изъятия информации, а также обеспечение информационно-психологической безопасности читателя. Специалисты выделяют четыре основных вида угроз:

  1.  жизни и здоровью персонала;
  2.  среде его обитания (зданию библиотеки);
  3.  имуществу, в том числе материально-техническим средствам библиотеки, обеспечивающим ее жизнедеятельность;
  4.  информационным ресурсам.

Существует подтвержденная многочисленными примерами опасность неумелого проведения соответствующих мероприятий, когда даже дорогие и надежные средства оказываются не в состоянии обеспечить необходимую защиту жизни людей, объектов жизнедеятельности и информации. Эта безграмотность представляет собой еще один вид угроз.

С появлением Интернета и с возрастанием количества информационных ресурсов на электронных и бумажных носителях появилась новая разновидность угрозы для людей – информационно-психологическая, состоящая в противоречии между ограниченными возможностями человека в восприятии и переработке информации и существующими мощными потоками и массивами хранящейся информации в мире. Информационная перегрузка препятствует нормальной, здоровой деятельности человека. Вследствие этого человек либо пропускает (не воспринимает) часть информации, либо процесс восприятия и переработки всей информации осуществляется с затратой большего количества времени. Бывает, что информация воспринимается в искаженной форме или происходит отказ от нее. Все последствия информационной перегрузки наносят отрицательный результат психическому здоровью человека и его информационной деятельности [15]. Угрозой для читателя также является недостаток или отсутствие необходимой информации, ее недостоверность, искажение и хаотичность существования (информационные ресурсы Интернета). Угрозой представляется информация сомнительного характера, возбуждающая социальную, расовую, национальную или религиозную ненависть и вражду, провозглашающая расовое, национальное, религиозное или языковое превосходство, пропагандирующая культ жестокости и насилия [3].

Приоритетными направлениями обеспечения информационно-психологической безопасности читателей являются следующие:

  1.  обеспечение свободного и беспрепятственного доступа личности к информации; совершенствование информационной культуры читателей (пользователей) и библиотекарей;
  2.  аналитико-синтетическая переработка электронных сетевых документов (создание справочных пособий по интернет-ресурсам, обзоров интернет-ресурсов);
  3.  информирование читателей об угрозах их информационно-психологической безопасности, о направлениях защиты от них и возможностях библиотеки в решении данной проблемы.

К собственным информационным ресурсам современных публичных библиотек относятся следующие виды информации.

1. Персональные данные читателей библиотеки, получаемые при их регистрации и перерегистрациях.

2. Различного рода служебная информация, используемая административным и техническим персоналом библиотеки (договоры, инструкции, персональные данные работников, финансовые документы и т.д.).

3. Программные средства, обеспечивающие основную работу всей автоматизированной системы  и содержащие информацию о ее параметрах.

4. Программные средства, обеспечивающие необходимый уровень защиты информации и содержащие данные о параметрах системы безопасности.

5. Электронные каталоги книжного фонда библиотеки.

6. Электронная картотека периодических изданий фонда библиотеки.

7. Полные тексты, отражающие (частично или полностью) фонд библиотеки на бумажных носителях.

8. Полные тексты, отражающие материалы фонда, существующие только в электронной форме.

9. Правовые базы данных и другие открытые электронные материалы.

Для эффективного пользования этими информационными ресурсами компьютеры, на которых они обрабатываются и хранятся, объединяются в одну или несколько сетей.

Прежде всего в единой компьютерной сети следует хранить и обрабатывать информацию электронных каталогов, электронной картотеки периодических изданий и полнотекстовых баз данных. Локальная сеть обычно соединена с глобальной сетью Интернет, поскольку таким образом читателям предоставляется доступ к АБИС других публичных библиотек (через корпоративную сеть), специальным информационным службам, электронным библиотекам и прочим интернет- материалам.

Довольно часто на практике часть ресурсов, содержащих персональные данные и служебную информацию, размещается (по технологическим причинам) в той же локальной сети. Информация открытых электронных материалов и правовых баз данных может циркулировать в ней же или в отдельной сети, но также с подключением к Интернету.

Наиболее критичная с точки зрения безопасности часть ресурсов с персональными данными, технология работы с которой позволяет не использовать ее в общих сетях библиотеки, может размещаться на локальных компьютерах, возможно, объединенных в отдельную сеть, физически изолированную от других сетей (как от локальных, так и от Интернета). К примеру, по данной технологии осуществляется защита персональных данных в ГПНТБ России. Кроме того, все виды ресурсов могут записываться на съемные машинные носители информации и передаваться по сети.

По месту расположения информация, составляющая информационные ресурсы библиотек, делится на следующие категории:

a) информация, хранящаяся и обрабатывающаяся в физически защищенной (изолированной) части аппаратных средств;

b) информация, хранящаяся и обрабатывающаяся на компьютерах, подключенных к общей Сети, либо автономных, но находящихся в открытом пользовательском доступе;

c) информация, хранящаяся на съемных машинных носителях (дискетах, CD и DVD разных типов, переносных накопителях на жестких дисках, а также обычных накопителях на жестких дисках компьютеров в ситуациях, когда они по тем или иным причинам физически изымаются из процесса нормальной эксплуатации в автоматизированной системе (сами по себе или в составе системного блока компьютера), магнитных лентах и т.п.);

d) информация, передающаяся по сетевым каналам.

Ниже они будут называться категориями расположения "а", "b", "с" и "d".

Соблюдение общих требований информационной безопасности автоматизированной системы подразумевает, что обеспечиваются три главные свойства информации и систем ее обработки, а именно:

• конфиденциальность информации – установленные ограничения на круг субъектов, имеющих доступ к ней;

• целостность информации – отсутствие ее ненадлежащих преобразований (под ненадлежащим преобразованием понимается создание, модификация, удаление информации, выполненные либо субъектом, не имеющим соответствующих полномочий, либо уполномоченным субъектом, но вследствие ошибочных действий);

• доступность информации – постоянная готовность автоматизированной системы обеспечивать для субъектов, имеющих соответствующие полномочия, своевременный беспрепятственный доступ к интересующей их информации и обслуживание поступающих от них запросов.


2.2. Методы защиты информации в библиотеках.

Методы, используемые для защиты конфиденциальности информации,  делятся на три категории:

• организационные (меры, регламентируемые внутренними документами – правилами, инструкциями и т.д. библиотеки);

• технологические (механизмы защиты на базе программно-аппаратных средств);

• правовые (меры контроля за исполнением нормативных актов федерального и регионального законодательства).

Реально применяемые методы могут сочетать в себе элементы из разных категорий.

Правовые методы используются для защиты информационных ресурсов и должны включать, прежде всего, мероприятия по обеспечению соблюдения положений Федерального закона “Об информации, информатизации и защите информации” (ФЗ РФ “Об информации, информационных технологиях и о защите информации” // Российская газ. – 2006. – 29 июля) [3] и других законодательных актов РФ, регламентирующих работу с персональными данными и устанавливающих ответственность за нарушения режима защиты, обработки и порядка использования этих данных.

Применение конкретных мер защиты конфиденциальности зависит от категории расположения информации. Для категории расположения "информация на съемных носителях" используются в основном организационные методы. Они состоят в установлении и строгом исполнении порядка обращения с машинными носителями (на которых хранится конфиденциальная информация).

Этот порядок должен включать следующий комплекс мер [17]:

• создание машинных носителей (запись на них информации) на рабочих местах, обеспечивающих физическую сохранность носителей и отсутствие утечек информации по техническим каналам;

• постановка на учет машинных носителей с простановкой соответствующей маркировки на зарегистрированном носителе. Одним из элементов маркировки должен быть гриф конфиденциальности (секретности) информации, хранящейся на данном носителе;

• передача машинных носителей между подразделениями библиотеки под расписку;

• вынос машинных носителей за пределы библиотеки только с разрешения уполномоченных лиц;

• хранение машинных носителей в условиях, исключающих несанкционированный доступ к ним посторонних. Для хранения рекомендуется использовать надежно запираемые и опечатываемые шкафы. Надлежащие условия хранения должны быть обеспечены для всех учтенных машинных носителей, независимо от того, находятся они в эксплуатации или нет; уничтожение машинных носителей, которые утратили свои эксплуатационные характеристики или не используются из-за перехода на новый тип носителя, специально организованными комиссиями согласно актам, утверждаемым уполномоченными лицами. Уничтожение носителей должно производиться путем их физического разрушения, не допускающего восстановления и повторного использования носителей. Перед уничтожением конфиденциальная информация должна быть, по возможности, гарантированно удалена;

• передача в ремонт средств вычислительной техники  без машинных носителей (в том числе без накопителей на жестких дисках). В случае ремонта машинных носителей информация на них должна быть гарантированно удалена. Если удалить информацию невозможно, решение о ремонте принимается руководителем соответствующего подразделения или коллегиально, а ремонт осуществляется в присутствии лица, ответственного за защиту информации на данном носителе;

• периодический контроль контролирующими подразделениями соблюдения установленных правил обращения с машинными носителями и их физической сохранности.

Для успешного исполнения перечисленных мер в должностных инструкциях персонала, работающего в автоматизированной системы библиотеки, следует установить ряд запрещений:

• сообщать кому бы то ни было, если это не вызвано служебной необходимостью, любые сведения о порядке защиты, учета и хранения машинных носителей, о системе охраны автоматизированной системы библиотеки;

• использовать для работы с конфиденциальной информацией незарегистрированные машинные носители;

• хранить на машинных носителях информацию с более высокой степенью конфиденциальности (секретности), чем определено для него в момент регистрации (и указано в грифе маркировки);

• работать с неучтенными экземплярами конфиденциальных документов, полученных в ходе обращений в автоматизированную систему, и передавать их другим сотрудникам;

• выносить из помещений машинные носители, содержащие конфиденциальные данные, подготовленные в автоматизированной системе документы, а также другую документацию, отдельные блоки, аппаратуру и другое оборудование; принимать и передавать машинные носители и документы без соответствующей расписки в учетных документах, знакомить с ними других сотрудников без разрешения соответствующих должностных лиц;

• делать на этикетках машинных носителей или на их упаковках пометки и надписи, раскрывающие содержание этих носителей;

• уничтожать машинные носители и документы без санкции соответствующего должностного лица и оформления в установленном порядке;

• проводить в автоматизированной системе обработку конфиденциальной информации и выполнять другие работы, не обусловленные заданиями, поступающими запросами и инструкциями по эксплуатации автоматизированной системы, а также знакомиться с содержанием машинных носителей и документами по вопросам, не имеющим отношения к служебным обязанностям;

• вносить в помещения, где расположены автоматизированные системы, постороннее имущество и материалы, в том числе кино-, фото-, радио- и другую аппаратуру.

Последние два запрета относятся и к организационным мерам защиты конфиденциальности информации других категорий расположения. Кроме того, физический доступ в помещения, где находится изолированная часть аппаратных средств и служебная часть, подключенная к общей Сети, должен быть строго регламентирован организационно и обеспечиваться также технологическими мерами (специальными замками, системами сигнализации и т.п.).

Существенной чертой информации категорий расположения  является принципиальная неустранимость физического канала доступа (по Сети к ресурсам других компьютеров или к внутренним ресурсам компьютера, к которому есть непосредственный доступ) к конфиденциальной информации лиц, не имеющих полномочий доступа (читателей библиотеки, персонала без соответствующих полномочий).

В такой ситуации можно применять только технологические методы защиты конфиденциальности. Прежде всего, это системы идентификации и аутентификации пользователей автоматизированной системы. При этом методы, основанные на использовании индивидуальных биометрических характеристик, не могут считаться приемлемыми вследствие их слишком высокой стоимости. Наиболее подходящими для этих целей являются парольные системы (программно-аппаратные комплексы, реализующие систему идентификации и аутентификации пользователей автоматизированной системы на основе паролей). Во-первых, они сравнительно недороги, а во-вторых, имеется большое количество готовых разработок (в том числе в составе некоторых распространенных операционных систем).

Для повышения уровня безопасности, обеспечиваемого парольной системой, при ее эксплуатации рекомендуется придерживаться следующих правил и ограничений:


1. Устанавливать минимальную длину, меньше которой пароль пользователя быть не может.

2. Использовать в паролях различные группы символов.

3. Проверять и отбраковывать пароли по словарю (запрещать пароли, являющиеся осмысленными комбинациями символов, имеющимися в словарях).

4. Устанавливать максимальный срок действия пароля.

5. Устанавливать минимальный срок действия пароля.

6. Запретить установление паролей, когда-либо использовавшихся каким-либо участником системы.

7. Вести журнал истории паролей.

8. При вводе пользователем неправильного пароля использовать задержку обработки очередного введенного пароля (кратковременное блокирование парольной системы для данного пользователя).

9. Ввести ограничение числа попыток ввода неправильного пароля (после нарушения которого происходит долговременное блокирование парольной системы для данного пользователя).

10. Запретить выбор пароля пользователем, а генерировать пароли автоматически.

11. Ввести принудительную смену пароля при первой регистрации пользователя в системе.

Правила 1,2 увеличивают мощность пространства паролей и этим снижают вероятность подбора пароля методом “тотального опробования”, а также усложняют задачу злоумышленника при попытке подсмотреть пароль. Правило 3 не позволяет злоумышленнику реализовать эффективную атаку по словарю (опробование в качестве паролей слов из словарей). Правило 4 уменьшает вероятность подбора пароля методом “тотального опробования”. Правило 5 содействует тому же, препятствуя попыткам пользователя заменить пароль на старый после его смены по правилу 4. Правило б исключает такую смену вообще. Правило 7 необходимо для исполнения правил 4-6. Правила 8,9 препятствуют любым методам интерактивного подбора паролей злоумышленником. Правило 10 исключает возможность подбора пароля по словарю благодаря специальному методу генерации (а также делает ненужным правило 5 и, обычно, автоматически учитывает правила 1,2). Правило 10 затрудняет работу пользователей, а потому его применение не всегда оправданно. Правило 11 защищает от неправомерных действий администратора системы, имеющего доступ к паролю во время создания учетной записи пользователя.

Кроме того, в базах данных учетных записей парольной системы не рекомендуется хранить пароли в открытом виде. Для защиты от угрозы захвата баз данных учетных записей злоумышленником пароли следует хранить либо в виде сверток (значений хэш-функций), либо зашифрованными на некотором ключе.

Выбирая для использования ту или иную парольную систему, нужно принимать во внимание, позволяет ли она обеспечить выполнение указанных рекомендаций.

Информация, обрабатывающаяся на компьютерах общей Сети, по сравнению с информацией, находящейся в изолированной части аппаратных средств, более уязвима вследствие того, что к ней имеется физический канал доступа из глобальной сети Интернет. Следовательно, требуется учитывать значительно более широкий круг потенциальных нарушителей информационной безопасности автоматизированной системы. Это означает большую вероятность того, что среди последних могут быть лица высшей квалификации и с самым мощным уровнем технической оснащенности. Кроме того, если над действиями лиц, находящихся внутри помещений библиотеки, имеется возможность визуального контроля (непосредственного или с помощью видеокамер), то для удаленных нарушителей такой возможности в принципе не существует.

Поэтому для защиты конфиденциальности информации, находящейся на компьютерах общей Сети, нужно более жестко следовать указанным выше рекомендациям для использования парольных систем, а также, может быть, применять дополнительные меры защиты. Например, криптографические, т.е. хранить конфиденциальную информацию в зашифрованном виде. Для дополнительной защиты от опасных воздействий со стороны глобальной сети Интернет следует использовать хорошо зарекомендовавшие себя межсетевые экраны (иначе именуемые брандмауэрами, или firewall). Многие из них при квалифицированном использовании позволяют достаточно гибко (по большому числу критериев) настраивать систему ограничений потоков информации как из внутренней сети в сеть Интернет, так и наоборот.

Что касается информации, передающейся по сетевым каналам, то дополнительная специфика ее уязвимости по сравнению с другими категориями расположения связана с тем, что неконтролируемый физический доступ нарушителя (с соответствующим оснащением) к любому участку внутренней компьютерной сети библиотеки приводит к возможности получения передаваемой информации минуя все средства защиты. Поэтому здесь на первый план выступают упоминавшиеся выше организационные и технологические методы контроля доступа в соответствующие помещения.


Тем не менее, абсолютной гарантии отсутствия доступа нарушителя к информации, передающейся по сетевым каналам, быть не может, а среди этой информации есть и аутентифицирующая (передающиеся по сети пароли). Поэтому в процедурах сетевой аутентификации рекомендуется использовать парольные системы, предоставляющие защиту от угроз, связанных с перехватом паролей, передаваемых по Сети. Это могут быть системы, применяющие одноразовые пароли (в том числе на основе односторонних функций), а также работающие на основе протокола “рукопожатие” 

Более подробно эти вопросы изложены в [18], [19].

Для облегчения персоналу пользования такими парольными системами можно предусмотреть двухступенчатую процедуру (сначала – локальную, затем – сетевую). На первой ступени процесса аутентификации пользователь при помощи обычного многоразового пароля получает доступ ко второй ступени: находящемуся внутри локального компьютера ресурсу, который уже осуществляет сетевую аутентификацию.

Все указанные выше меры по защите конфиденциальности, ограничивающие доступ к ЭИР, защищают и от нарушения целостности конфиденциальной информации. Для защиты целостности неконфиденциальной информации их также следует использовать, но только устанавливая неполное ограничение доступа: чтение разрешается, а любое изменение (запись, создание, удаление) запрещено.

Поскольку информационные ресурсы библиотеки, как правило, не обладают особо высокой коммерческой, политической и оборонной ценностью для злоумышленников, то целенаправленное применение мощных специальных средств нарушения информационной безопасности автоматизированной системы со стороны хорошо технически и технологически оснащенных противников (специальных и разведывательных служб иностранных государств, коммерческих конкурентов и т.п.) маловероятно. Чаще следует опасаться неосторожных (ошибочных) действий пользователей и персонала либо преднамеренных действий со стороны слабомотивированных (безответственные развлечения, примитивное самоутверждение) злоумышленников невысокой квалификации. В таких условиях наиболее вероятно реализуемыми и, следовательно, наиболее опасными становятся воздействия так называемых компьютерных вирусов и других вредоносных программ (“троянские кони” (Trojans), “черви” (Worms) и т.д.).

Некоторые из них направлены на нарушение конфиденциальности информации, существуют также программы, приводящие к сбоям и отказам служб автоматизированных систем, но очень часто действия обычно распространяемых вирусов ведут к нарушению именно целостности информации.

2.3. Защита информационных ресурсов библиотек от компьютерных вирусов

Чрезвычайно важным аспектом общей защиты от нарушения информационной безопасности автоматизированной системы и, в особенности, защиты от нарушения целостности информации является нейтрализация компьютерных вирусов.

Некоторую защиту от вирусного воздействия со стороны сети Интернет могут обеспечивать уже упоминавшиеся выше межсетевые экраны. Последние версии многих операционных систем (в том числе Windows) и пакетов прикладных программ содержат компоненты, также способные защищать от определенных угроз вредоносных воздействий. Но все это очень слабая (притом опосредованная) защита. Поэтому для того, чтобы иметь достаточно высокий уровень защиты АС от вирусных атак, необходимо оснастить систему одной из современных надежных антивирусных программ. Например, AVP Касперского, Norton Antivirus, Dr. Web и др. При этом следует изначально устанавливать последнюю версию программы и затем регулярно (желательно, ежедневно) обновлять антивирусные базы (и саму программу, по мере ее обновления производителем) через Интернет (все разработчики лучших антивирусных средств предоставляют такую возможность). Само собой, антивирусной защитой должны быть обеспечены все компьютеры автоматизированной системы.

В состав эффективной антивирусной программы должны входить, по крайней мере, две основные части: монитор и сканер. Антивирусный монитор работает резидентно, т.е. загружается вместе с операционной системой, постоянно присутствует в памяти компьютера и проводит проверку всех файлов в момент их запуска, создания или копирования. Таким образом, антивирусный монитор постоянно контролирует ситуацию во время работы компьютера, оперативно защищая от вирусных вторжений со стороны Сети или съемных дисков. Следует только убедиться, что эта постоянная защита включена, т.е. в настройках программы выбран соответствующий параметр (он может называться “текущим сканированием”, “фоновым сканированием” или “наблюдением в режиме реального времени”). Антивирусный сканер позволяет проводить полномасштабную проверку дисков, папок и файлов по инициативе и выбору пользователя. В этом процессе рекомендуется придерживаться следующих правил:

Проверять на присутствие вирусов все съемные машинные носители (дискеты, CD, DVD, флэш-диски и т.д.) перед их использованием.

Регулярно (раз в неделю или чаще) проводить полную проверку компьютера. Для этого следует задать конкретное время автоматического начала проверок в настройках антивирусной программы.

Запускать антивирусный сканер в режиме полной проверки компьютера, не дожидаясь очередной автоматической проверки, если появились признаки, предположительно свидетельствующие о возможном заражении компьютера. К таким признакам относятся разного рода “странные” вещи, происходящие с компьютером, например:

• вывод на экран непредусмотренных сообщений или изображений;

• подача непредусмотренных звуковых сигналов;

• неожиданное открытие и закрытие лотка CD-ROM-устройства;

• произвольный, без участия пользователя, запуск на компьютере каких-либо программ.

Чаще всего следует применять настройки параметров защиты, рекомендуемые разработчиком антивирусной программы и заданные по умолчанию. Однако иногда стандартные настройки защиты антивирусной программы могут мешать нормальной пользовательской работе (например, некоторые ограничения на работу VBA-макросов). В таких случаях нужно изменить настройки, ослабив соответствующие ограничения.

Следует дополнить систему защиты от вирусов мерами организационного характера, снижающими риск вирусного заражения. Такие меры могут включать в себя следующие запреты и рекомендации:

Установка ПО должна быть разрешена только специально уполномоченным на это лицам.

При установке следует использовать только лицензионное ПО.

Следует запретить читателям и персоналу библиотеки использовать посторонние (неучтенные в библиотеке) съемные машинные носители (дискеты, CD, DVD, флэш-диски).

Рекомендовать персоналу при получении по электронной почте сомнительных сообщений (со “странной” темой (“Congratulations! You win...”, “Лучший способ заработать...” и т.п.), без обратного адреса), особенно если к ним присоединены файлы с опасными расширениями (com, exe, scr, zip), удалять их безвозвратно (не открывая сами сообщения или, по крайней мере, не копируя и не запуская присоединенные к ним файлы).

Следует запретить (или ограничить) получение личной электронной почты читателями на компьютеры библиотеки, не предназначенные для этой услуги.

Для защиты от нарушения целостности информации вследствие износа, порчи или разрушения носителя очень важно обеспечивать правильные условия хранения и эксплуатации машинных носителей. Эти условия зависят от типа носителя.

В целях предотвращения порчи, искажения, изменения, хищения информационных ресурсов программистами устанавливаются схемные замки и незаписывающие дисководы, блокируются входы USB. Установка антивирусных программ является еще одной мерой защиты программного обеспечения компьютера. Согласно правилам пользования библиотекой читатель может воспользоваться услугами компьютера только в учебно-научных и образовательных целях.

Для обнаружения нарушения целостности можно применять технологические средства контроля целостности битовых последовательностей, хранящихся на машинных носителях информации. Среди них наиболее удобными являются средства, использующие циклический контрольный код. Этот алгоритм широко применяется в аппаратных устройствах (дисковых контроллерах, сетевых адаптерах и др.) для верификации неизменности входной и выходной информации, а также во многих программных продуктах для выявления ошибок при передаче данных по каналам связи. Однако при этом надежно обнаруживаются лишь случайные (результат технических сбоев или ошибок) или сделанные неопытным нарушителем изменения в данных, а несанкционированное изменение информации квалифицированным злоумышленником указанный метод может не обнаружить.

Для восстановления информации следует применять резервное копирование данных (дублирование их с рабочих носителей на резервные). Различают фоновое (постоянное) и периодическое резервирование. Фоновое резервирование должно обеспечиваться операционной системой (потому это один из критериев ее выбора). Периодическое резервирование должно быть организовано специально и требует соблюдения следующих правил:

1. Резервирование должно выполняться на машинные носители, которые должны использоваться только для хранения резервных данных; должны быть защищены от несанкционированного доступа и случайных угроз (потери, пожара, и т.д.), например, храниться в несгораемом сейфе; должны храниться способом, не создающим препятствий для своевременного санкционированного получения размешенной на них информации.

2. В случае если на компьютере, с которого резервируется информация, отсутствует эффективная многоуровневая защита от вирусов, то перед резервированием информации и в любом случае перед ее восстановлением необходимы тщательный поиск и обезвреживание вирусов в компьютерной системе.

3. Должна быть зарезервирована вся ценная информация, хранящаяся на жестких дисках и других рабочих внешних носителях.

4. Должна быть зарезервирована вся системная информация о параметрах настройки компьютерной системы, включая данные, хранящиеся в энергонезависимой CMOS-памяти компьютера.

5. Кроме резервирования системных и несистемных данных должны быть обособленно зарезервированы программные средства восстановления работоспособности компьютерной системы.

6. Машинные носители, на которых хранятся наиболее ценные резервные данные, следует дублировать.

7. Должен вестись бумажный журнал учета резервирования, отражающий содержимое библиотеки информационного резерва с заданием для каждого элемента резервных данных его краткого описания, идентификатора резервного носителя, на котором он размещен, а также времени и даты последнего обновления.

8. При резервировании все машинные носители библиотеки резерва должны помечаться идентификаторами, зарегистрированными в журнале учета резервирования.

9. Необходимо строго соблюдать правила обновления резервных данных.

Указанные в последнем пункте правила зависят от типа резервируемой информации.

Информационные файлы (файлы текстовых документов, БД, электронных таблиц и т.д.) следует обновлять после их модификации по окончании сеанса работы с ними.

Файлы, входящие в состав программных средств восстановления работоспособности компьютера, должны обновляться только при обновлении программ, входящих в набор средств восстановления.

Файлы конфигурирования и настройки, используемые операционной системой и другими программными средствами, целесообразно не обновлять, а каждый раз после изменения параметров настройки программных систем сохранять по-новому вместе со сведениями о конфигурации рабочей среды, для которой они сохраняются. Такой подход позволяет отслеживать все изменения параметров настройки компьютерной системы, а также восстанавливать требуемую конфигурацию операционной системы и программных средств в случае необходимости, например, при некорректной работе программ после очередного изменения каких-нибудь параметров настройки.

Те же рекомендации касаются характеристик аппаратной конфигурации компьютера, хранящихся в энергонезависимой CMOS-памяти.

В качестве резервных машинных носителей рекомендуется использовать CD-R и DVD-R (наиболее дешевый и доступный вариант), магнитные ленты (при наличии стримера), а также специально выделяемые под эти цели накопители на жестких дисках.

2.4. Защита информационных ресурсов библиотек от угрозы отказа служб.

Нарушение работоспособности программно-аппаратных средств (отказ служб) и нарушение целостности информации отчасти взаимосвязаны, поскольку потеря или искажение некоторых данных приводят к сбоям и отказам служб АБИС, а нарушение работоспособности программно-аппаратных средств, в свою очередь, является одной из основных причин потерь информации. Поэтому меры, направленные на обеспечение целостности системных и иных влияющих на работу служб АБИС данных, способствуют защите и от нарушения доступности информации. Рассмотренные ниже меры, кроме своего прямого назначения, повышают также и уровень защиты от угрозы нарушения целостности информации.

Основными методами защиты от угроз нарушения работоспособности АБИС являются внесение структурной, информационной, временной и функциональной избыточности компьютерных ресурсов.

Структурная избыточность является наиболее эффективным видом избыточности. Она достигается за счет резервирования аппаратных компонентов и машинных носителей, организации замены и своевременного пополнения резервных компонентов.

Внесение информационной избыточности выполняется путем фонового и периодического резервирования данных, о чем говорилось в предыдущем пункте в связи с защитой целостности. Указанная там в правилах необходимость резервирования системной информации и программных средств восстановления работоспособности компьютерной системы специально направлена на защиту от угрозы отказа служб.

Временная избыточность заключается в наличии дополнительного процессорного времени, с тем чтобы использовать этот запас производительности компьютера для контроля исполнения программ и восстановления процесса обработки данных.

Функциональная избыточность компьютерных ресурсов достигается дублированием функций или внесением дополнительных функций в программно-аппаратные ресурсы АС для повышения ее защищенности от сбоев и отказов. К таким функциям, в частности, относятся периодическое тестирование и восстановление, а также самотестирование и самовосстановление компонентов АБИС.

Проведение тестирования необходимо для периодической проверки работоспособности аппаратных средств, а также физической и логической целостности хранящихся на внешних носителях структур данных.

Восстановление требуется для возобновления работоспособности программно-аппаратных средств после отказов, а также устранения ошибок, обнаруженных при периодической проверке аппаратуры и структур данных на внешних носителях. Восстановлению также подлежит информация, случайно удаленная пользователем или поврежденная по причине отказа или несанкционированных действий.

Функции самотестирования и самовосстановления должны быть заложены в каждую программу разработчиками, и наличие этих функций может служить дополнительным критерием при выборе программного обеспечения.

Сегодня комплексная система безопасности данных библиотеки — это не просто комплекс средств, но и комплекс мер, направленных на предотвращение потерь данных.
Нет сомнений, что защита критически важных информационно-вычислительных ресурсов должна соответствовать многочисленным международным, национальным, корпоративным, нормативным и методическим нормативам. Во многих библиотеках применяются дорогостоящие технические решения и внедряются регламентированные организационные мероприятия. Однако основной проблемой остается поиск ответа на вопрос — насколько предлагаемое или уже реализованное решение хорошо, какова его планируемая или реальная эффективность?

2.5. Политика безопасности информационных ресурсов библиотеки.

Предотвращение неавторизованного доступа к сетевым ресурсам означает невозможность физического доступа к компонентам информационно-вычислительной системы — рабочим станциям, серверам, сетевым устройствам и т. п. Оборудование в помещении библиотеки должно находиться под пристальным наблюдением. Когда сетевое соединение выходит за пределы организации (например, в точке подключения к внешнему провайдеру Интернета), то физический контроль за сетью теряется. Тогда остается полагаться на методы шифрования и туннелирования данных.
Как бы просто это ни звучало, но проблему несанкционированного доступа часто решает обычный дверной замок. Серверы, на которых хранятся важные данные, не должны стоять открыто на столе или в незапертой комнате, куда может зайти почти любой. Аналогичным образом должны защищаться маршрутизаторы, концентраторы, коммутаторы и другие устройства. Комнаты с компьютерами должны закрываться на замок или находиться под постоянным наблюдением. В идеале доступ в подобные помещения должен контролироваться путем регистрации в журнале.
Еще одно замечание к технологии резервирования данных. Такие объекты, как резервные носители, ленты или перезаписываемые компакт-диски, должны быть защищены так же, как и исходные данные. Недопустимо хранить резервные копии данных на сервере (рабочей станции) в открытой папке, в виде физических носителей на столе или в незапертом ящике.
Следует ограничить программный доступ к сети. Независимо от того, насколько хорошо налажен контроль доступа к сети, всегда найдется человек, который нарушит эту защиту. Поэтому необходимо иметь возможность проследить сетевые события и определить по ним, не пытался ли кто-то вторгнуться в сеть, и насколько ему это удалось.

Все пользователи (сотрудники библиотек, читатели) обязаны использовать информационно-вычислительные ресурсы квалифицированно, эффективно, придерживаясь норм этики и соблюдая законы.
Политика безопасности, ее правила и условия касаются всех пользователей информационно-вычислительных ресурсов библиотеки (централизованной библиотечной системы), где бы эти пользователи ни находились. Нарушение этой политики влечет за собой дисциплинарные взыскания, вплоть до привлечения к административной или уголовной ответственности.
Данная политика может изменяться и пересматриваться по мере необходимости.
1. Администрация библиотеки имеет право, но не обязана проверять любой или все составляющие информационно-вычислительной и компьютерной системы, в том числе электронную почту, с целью гарантировать соблюдение политики безопасности. Вычислительная техника и бюджетные ассигнования предоставляются пользователям библиотек с целью увеличения эффективности выполнения их работы.
2. Информационно-вычислительные ресурсы библиотеки (ЦБС) могут использоваться только в рабочих целях. Пользователи не должны рассчитывать на конфиденциальность данных, которые они создают, посылают или получают с помощью информационно-вычислительных и телекоммуникационных ресурсов библиотеки.
3. Пользователям следует руководствоваться мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб. Компьютерные и телекоммуникационные ресурсы и службы включают в себя (но не ограничиваются ими): серверы, рабочие станции, мобильные компьютеры, программное обеспечение, внутренние и внешние сети связи (Интернет, коммерческие интерактивные службы и системы электронной почты).
4. Пользователи должны соблюдать условия всех программных лицензий, авторское право и законы, касающиеся интеллектуальной собственности.
5. Неверные, навязчивые, непристойные, клеветнические, оскорбительные, угрожающие или противозаконные материалы запрещается пересылать по электронной почте или с помощью других средств электронной связи, а также отображать и хранить их на ресурсах библиотеки. Пользователи, заметившие или получившие подобные материалы, должны сразу сообщить об этом инциденте своему руководителю.
6. Пользователям не разрешается устанавливать на компьютерах и в сети библиотеки программное обеспечение без разрешения системного администратора.
7. Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя.
8. Пользователям запрещается изменять и копировать любые файлы, принадлежащие другим пользователям, без разрешения владельцев файлов.
9. Запрещается использование без предварительного письменного разрешения вычислительных и телекоммуникационных ресурсов и служб библиотеки (ЦБС) для передачи или хранения коммерческих, личных объявлений; ходатайств, рекламных материалов, а также разрушительных программ (вирусов, самовоспроизводящегося кода), политических материалов и любой другой информации, на работу с которой у пользователя нет полномочий или она не предназначена для личного использования.
10. Пользователь несет ответственность за сохранность своих паролей для входа в информационную систему библиотеки (ЦБС). Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. Пользователи несут ответственность за все транзакции, которые кто-либо совершит с помощью их пароля.
11. Возможность входа в другие компьютерные системы через сеть не дает пользователям права на подключение к этим системам и на использование их без специального разрешения операторов этих информационных ресурсов и систем.

Практика показывает, что большинство успешных решений было успешным именно благодаря грамотной их организации, технические меры защиты вовсе не главное. Обычно используются решения, уже опробованные на практике: когда в ходе некого мероприятия было обработано несколько рисков одновременно. Такой подход минимизирует затраты, требует меньше ресурсов для контроля информационной безопасности. Большинство рисков можно минимизировать управленческими решениями, если рассматривать эти риски в качестве операционных, а остальные риски можно минимизировать программными и аппаратными средствами.
Часто же библиотеки устанавливают новые технические решения без предварительной оценки рисков, не определяя целей информационной безопасности и не анализируя, как они повлияют на технологические процессы. А это всегда приводит к потере контроля над ними.
Во многих библиотеках системы информационной безопасности строятся по принципу «все запретить», что вызывает неудобства в работе сотрудников, а самое важное — может стать тормозом развития, поскольку данные и знания перестают быть доступными. Необходимо найти оптимальное сочетание ограничений и свободы обмена информацией внутри и вне библиотеки. Главное, чтобы информационная безопасность из средства не превратилась в цель. Как правило, большое количество запретов приводит к тому, что люди ищут способы обмена данными в обход защищенных каналов, а это сводит все усилия по обеспечению защиты данных к нулю, то есть технологические процессы библиотеки перестраиваются, обходя все запреты.
В заключение следует отметить, что построение эффективной системы информационной безопасности в библиотеке — сложный и непрерывный процесс, от которого зависит наличие тех или иных ресурсов и их работа. Чтобы построить такую систему грамотно, надо привлекать к участию в ее создании много разных специалистов: администрацию, сотрудников, консультантов по данному вопросу, технических экспертов. Один из наиболее важных этапов — это создание эффективного механизма управления рисками, который позволит принимать обоснованные решения и позволит поддерживать бесперебойное функционирование ресурсов библиотеки.


Заключение

Новые информационные технологии, глобальная компьютеризация и информационно-вычислительные сети, облачные вычисления породили новые источники угроз для всей информационной среды, в которой существует и развивается современное общество. Сегодня информационным атакам подвергаются различные объекты: экономические, объекты управления, оборонные системы, информационные системы библиотек и т.п. Появились новые объекты защиты, на которые не обращалось практически никакого внимания в недавнем прошлом, например, персональные данные.

Глобализационные тенденции развития современного общества требуют решения новых проблем. В условиях широкого использования средств вычислительной техники, сетевых ресурсов и новейших технологий в информационной деятельности перед социально-коммуникационными институтами, в частности библиотеками, стоит задача защиты информационных ресурсов и обеспечения информационной безопасности.

Процесс обеспечения информационной безопасности библиотеки имеет непрерывный, аналитический, совершенствующийся характер, используя человеческие, финансовые, технические и технологические ресурсы.

Политика безопасности в библиотеке — это комплекс мер по защите данных и информационных процессов, включающий в себя определенные требования к персоналу, пользователям и техническим службам.
Хорошая политика обеспечения информационной безопасности, понятная всем пользователям, — нечто большее, чем просто средство предотвращения некоторых возможных проблем. Хорошей и зарекомендовавшей себя практикой является процедура регулярного повторного ознакомления сотрудников с этой политикой, наравне с инструктажем по технике безопасности на рабочем месте.

Список сокращений

АБИС – автоматизированная библиотечно-информационная система

БД – база данных

ЭК – электронный каталог

ЭР – электронные ресурсы

ЭБ – электронная библиотека

ЭБС – электронно-библиотечная система

ВЭБ – вузовская электронная библиотека

БО – библиографическое описание

ВУЗ – высшее учебное заведение

ГПНТБ – Государственная публичная научно-техническая библиотека

ОС – операционная система

ЛВС – локально-вычислительная сеть

ПО – программное обеспечение


Список литературы

  1.  Закон Р. Ф. от 9 октября 1992 г. № 3612-1 «Основы законодательства Российской Федерации о культуре» //Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации от. – 1992. – Т. 19. – С. 1.
  2.  ГОСТ Р. 7.0. 5-2008. Система стандартов по информации, библиотечному и издательскому делу. Библиографическая ссылка. Общие требования и правила составления» //Библиографическая ссылка. Общие требования и правила составления. – 2008.
  3.  Закон Ф. Об информации, информатизации и защите информации //Российская газета. – 1995. – Т. 22. – С. 15-16.
  4.  ГОСТ Р. Система стандартов по информации, библиотечному и издательскому делу БИБЛИОГРАФИЧЕСКАЯ ССЫЛКА Общие требования и правила составления //Библиография. – 2006. – №. 3. – С. 8-18.
  5.  Куликова Л. Модельный стандарт деятельности публичной библиотеки (новая редакция) //Библиотечное дело. – 2007. – №. 16. – С. 13-16.
  6.  Справочник библиотекаря / под ред. А.Н. Ванеева. – СПб.: Профессия, 2010. – 656 с.
  7.  Митрофанова С. В. Учет библиотечных фондов: метод. пособие //М.: ИПО Профиздат. – 2001.
  8.  Чернина Е. С., Великова Т. Д., Кобякова В. И. Планирование действий на случай бедствия в вашей библиотеке. – 2000.
  9.   Рекомендации по выбору оборудования контроля несанкционированного выноса. -М.:Центр безопасности культурных ценностей ГМВЦ «РОСИЗО», 2004. -28с.
  10.   Безопасность библиотек и библиотечных фондов: Практическое руководство/Сост. А.В.Лихоманов. –М.:ЦБКЦ МК РФ.-99с.
  11.   Алешин, Л.И. Безопасность в библиотеке [Текст] : учеб.-метод. пособие / Л. И. Алешин. - М. : Либерея, 2005. - (Библиотекарь и время. XXI век). - Библиогр.: с. 186 - 197. - ISBN 5-85129-175-3.
  12.   Новосёлов П. В. Современная библиотека: идентификация и защита книг // Материалы международной конференции КРЫМ 2004. - М., ГПНБ России, 2004. Режим доступа: http://www.gpntb.ru/win/inter-events../crimea2004/88.pdf.
  13.   Абрамов С. Б. и др. Проблемы внедрения технологии радиочастотной идентификации в библиотеках // Материалы международной конференции КРЫМ 2010. - М., ГПНБ России, 2010. Режим доступа: http://gpntb.ru/win/inter-events/crimea2010/disk/60.pdf.
  14.   Исмайлов З. И. Информационная безопасность и библиотеки: вклад Президентской Библиотеки Управления делами Президента Азербайджанской Республики // Материалы международной конференции КРЫМ 2012. - М., ГПНБ России, 2012. Режим доступа: http://www.gpntb.ru/win/Inter-Events/crimea2012/eng/disk/025.pdf.
  15.   Теоретические основы компьютерной безопасности : учеб. пособие для вузов / П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. – М.: Радио и связь, 2000. – 192 с.
  16.   ГОСТ 34.601-90. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. Введ. 29.12.90. Взамен ГОСТ 24.601–86 и ГОСТ 24.602–86. Переиздан. Июнь 1997 г.
  17.   Теоретические основы компьютерной безопасности: учеб. пособие для вузов / П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. – М.: Радио и связь, 2000. – 192 с.
  18.   Мафтик С. Механизмы защиты в сетях ЭВМ / С. Мафтик ; пер. с англ. В.Г. Потемкина, А.В. Потемкина. – М.: Мир, 1993. – 217 с.
  19.   Введение в криптографию / под общ. ред. В.В. Ященко. – 2-е изд., испр. – М.: МЦНМО: ЧеРо, 1999. –271 с – (Новые математические дисциплины)
  20.   Воройский, Ф. С. Основы проектирования автоматизированных библиотечно-информационных систем / Ф. С. Воройский. – Изд. 2-е, доп. и перераб. – Москва :Физматлит, 2007. – 521 с.: ил. 25; табл. 19. – Библиогр.: 430 назв. – 1000 экз. – ISBN   5-9221-0289-3.
  21.  Гончаров, М. В. Практическая реализация библиотечного Интернет-комплекса : научно-практ. пособие / М. В. Гончаров, К. А. Колосов. – Москва : ФАИР-ПРЕСС, 2005. – 192 с. –3000 экз. – ISBN 5-8183-0880-4.
  22.  Воройский, Ф. С. Развитие электронных библиотек как подсистем АБИС перспективное направление автоматизации библиотек // «Информационные технологии, компьютерные системы и издательская продукция для библиотек»: докл. и тез.докл. Междунар. конф. «LIBCOM–2006». – Москва : ГПНТБ России. – 2006. – [Электронный ресурс] – Режим доступа: http://www.gpntb.ru/libcom6/disk/trud.html. – Загл. с экрана.
  23.  Воройский, Ф. С. Основные принципы организационно-функционального построения электронных библиотек как подсистем АБИС // ”Библиотеки и ассоциации в меняющемся мире: новые технологии и новые формы сотрудничества”: Материалы конф. «Крым–2007». – Москва : ГПНТБ России, 2007. – [Электронный ресурс] – Режим доступа: http://www.gpntb.ru/win/inter-events/crimea2007/cd/proceeding.html. – Загл. с экрана.
  24.  Воройский, Ф. С. Информатика. Энциклопедический систематизированный словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. – 4-е изд. перераб. и доп. – Москва :Физматлит, 2006. – 965 с. – ISBN 5-4126-5193-4.
  25.  Колосов, К. А. Новые возможности поисковых средств портала ВГБИЛ // Труды 12-й Междунар. конф. "Крым–2005". – Москва : ГПНТБ России, 2005. [Электронный ресурс] – Режим доступа: http://www.gpntb.ru/win/inter-events/crimea2005/disk/183.pdf. – Загл. с экрана.
  26.  Степанов, В. К. Бесплатные Интернет-библиотеки: перспективы существования в России / В. К. Степанов // Науч. итехн. б-ки. – 2006. – №1. – C.76 – 78.
  27.  Шрайберг, Я. Л. Роль библиотек в обеспечении доступа к информации и знаниям в информационном веке / Я. Л. Шрайберг // Науч. итехн. б-ки. – 2008. – №1. – C. 7 – 44.
  28.   Исмагилова, A. X. Оценка качества электронных библиотек / A.X. Исмагилова // Науч. итехн. б-ки. – 2010. – №5. – C. 60 – 66.
  29.   Земсков, А. И. Электронная информация и электронные ресурсы: публикации и документы, фонды и библиотеки / А.И. Земсков, Я.Л. Шрайберг; под ред. Л.А. Казаченковой. – Москва: ФАИР, 2007. – 528 с.: ил.
  30.   Земсков, А. И. Будущее электронных библиотек / А. И. Земсков //Науч. итехн. б-ки. – 2009. – №4. – C. 26 – 35.
  31.  Шрайберг, Я. Л. Библиотеки, электронная информация и меняющееся общество в информационном веке / Я. Л. Шрайберг // Науч. итехн. б-ки. - 2007. - №1. - С.25-56.
  32.  Сорокина, Л. В. Система автоматизации библиотек ИРБИС: итоги развития/ С. М. Дунаевская, Л. В. Сорокина // Библиотеки и ассоциации в меняющемся мире: новые технологии и новые формы сотрудничества. Тема 2003 года: Библиотеки и доступность информации в современном мире: электронные ресурсы науке, культуре и образованию: Тр. конф. Судак, 7-15 июня 2003 г./ 10-ая  юбилейнаяМеждунар. конф. «Крым 2003». - М.,  2003. - Т.1. - C. 118-122
  33.  Антопольский, А. Б. Информационные ресурсы России : Научно–методическое пособие / А. Б. Антопольский. – Москва : Либерия, 2004. - 424 с. - ISBN   5-85129-175-3.
  34.  Вегнер, Б Электронные средства информации в процессе обучения и исследованиях. Роль библиотек как информационных посредников/ Б. Вегнер, Г. А. Евстигнеева //Библиотека в эпоху перемен: философско-культурологические и информационные аспекты: Дайджест/ Рос.гос. б-ка. - М.,  2003. - Вып.2(18). - С.139-144
  35.  Земсков, А. И. Электронные библиотеки: Учебн. пособие для студентов ун-тов ивузов культуры и искусств и др. учебн. заведений /А.И. Земсков, Я. Л. Шрайберг. – Москва, 2004. – 130 с. – Библиогр.: 34 назв. - ISBN 5-85638-061-4.
  36.  Ядрова, Г. В. Опрос удаленного пользователя как инструмент изучения и оценки электронных ресурсов вузовской библиотеки / Г. В. Ядрова // Науч. итехн. б-ки.  - 2004. - №10. - С. 28-35.
  37.  Гончаров, М. В.  Интернет-технологии в современной библиотеке / М. В. Гончаров // Библиотеки и ассоциации в меняющемся мире: новые технологии и новые формы сотрудничества: Тема 2000 года: Библиотеки, издательства, книгораспространение и образование в едином информационном и социокультурном  пространстве: Тр. конф. / Седьмая междунар. конф. «Крым 2000». – Москва,  2000. - Т.1. - C. 208 с.
  38.  Воропаев, А. Н. Электронная книга и электронно-библиотечные системы России: Отраслевой доклад / А. Н. Воропаев, К. Б. Леонтьев. – Москва : Федеральное агентство по печати и массовым коммуникациям, 2010. - 60 с. - ISBN 978-5-904427-09-2.
  39.  Антопольский, А. Б. Электронные библиотеки: принципы создания : научно-методическое пособие / А. Б. Антопольский, Т. В. Майстрович. - М.: Либерия-Бибинформ, 2007. - 283 с. - (Библиотекарь и время. XXI век. Вып. 5.). – 3500 экз. –  ISBN 5-85129-175-3.
  40.  Маршак, Б. И. Современные проблемы разработки и  внедрения  автоматизированных библиотечно-информационных систем: системный подход и оценка программного окружения / Б. И. Маршак // Библиотеки и ассоциации в меняющемся мире: новые технологии и новые формы сотрудничества. Тема 2002 года: Электронные информационные ресурсы и социальная значимость библиотек будущего: Тр.конф.,Судак и др.,8-16 июня 2002/ Девятая Междунар.конф.  «Крым 2002». – Москва : ГПНТБ России,  2002. - Т.1. - С.69-72
  41.  Шрайберг, Я. Л. Как создать свой Web-сервер / Я.Л. Шрайберг, М.В. Гончаров; Под ред. Л.А. Казаченковой. – Москва :Либерея, 2000. – 64 с.: ил. – (С компьютером на «ты»:Справоч. Пособие для б-к по информ. технологиям и Интернет; Вып. 4). – 2000 экз. – ISBN 4-8436-6623-1.
  42.   Цветкова, А. Л. Электронная библиотека на основе информационной среды образовательного учреждения / А. Л. Цветкова // Науч. итехн. б-ки. – 2010. – №5. – C. 67 – 75.
  43.  Государственная публичная научно-техническая библиотека России [Электронный ресурс]. – Режим доступа: http://www.gpntb.ru/
  44.  Информация для всех [Электронный ресурс]. – Режим доступа:http://www.ifap.ru/
  45.  Электронная библиотека МГУКИ [Электронный ресурс]. – Режим доступа:http://www.mguki.gpntb.ru/
  46.  Либрусек [Электронный ресурс]. – Режим доступа: http://www.lib.rus.ec/
  47.  Российское образование: Федеральный образовательный портал [Электронный ресурс]. – Режим доступа: http://www.edu.ru//
  48.  Автоматизированная библиотечно-информационная система ИРБИС [Электронный ресурс]. – Режим доступа:  http://www.lib.cap.ru/irbis.asp
  49.   Российские электронные библиотеки [Электронный ресурс]. – Режим доступа: http://www.elbib.ru/


 

А также другие работы, которые могут Вас заинтересовать

21943. ОПОРНІ ГЕОДЕЗИЧНІ МЕРЕЖІ 2.87 MB
  Для зменшення впливу похибок вимірювань на точність визначення координат пунктів геодезичної мережі її створюють €œвід загального до часткового€. За цим принципом в Україні геодезична мережа поділяється на: державну геодезичну мережу; мережі згущення; знімальні мережі. Планові геодезичні мережі створюють способами: Астрономічний спосіб – полягає в визначені широти  довготи  кожного пункту та астрономічного азимута напрямів ліній геодезичної мережі за спостереженнями небесних світил.
21944. Топографічні знімання 9.53 MB
  Топографічні знімання Ми розглянули які виміри виконуються в геодезії як оцінити кількісні та якісні характеристики вимірів. Види знімань місцевості Процес виконання геодезичних вимірів для складання карт і планів місцевості називається зніманням. Якщо при зніманні визначають взаємне розміщення предметів та контурів місцевості то його називають горизонтальним або контурним зніманням. Знімання ситуації та рельєфу місцевості називають топографічним.
21945. ВИМІРЮВАННЯ ДОВЖИНИ ЛІНІЙ 1.36 MB
  Методи та прилади лінійних вимірювань Залежно від наявності приладів вимог точності умов місцевості лінії вимірюють способами: а прямим або безпосереднім способом за допомогою мірних стрічок рулеток підвісних мірних проволок та інших лінійних приладів; б непрямим або посереднім способом за допомогою ниткових віддалемірів та електрооптичних приладів світло та радіовіддалемірів геометричних побудов фігур на місцевості. Між закріпленими на місцевості точками А і В в створі лінії послідовно укладають мірний прилад. Створ лінії утворює...
21946. ВИМІРЮВАННЯ ПЕРЕВИЩЕНЬ 3.47 MB
  Види нівелювання Перевищенням називають різницю висот точок земної поверхні або будівельних конструкцій. Нівелювання – вид геодезичних робіт для вимірювання перевищень між точками земної поверхні або споруд. За методами розрізняють такі види нівелювання [1]: Геометричне – використовується принцип горизонтальності візирного променя зорової труби. В інженернобудівельній справі переважно використовуються: геометричне тригонометричне та гідростатичне нівелювання.
21947. Геодезичні розмічувальні роботи при плануванні та зведені інженерних споруд 1.67 MB
  Розмічування виконують в такій послідовності: 1 В точці А встановлюють теодоліт приводять в робоче положення і за ходом годинникової стрілки відкладають величину проектного кута . графічно зображено розмічування точки D з вихідного пункту В.Спосіб лінійної засічки Точка С в способі розмічування лінійною засічкою визначається перетином дуг проектних відстаней d1 і d2 віддалених від двох опорних пунктів A і В рис. Спосіб GPSрозмічування Використання GPSприймачів дозволяє визначати координати точок на земній поверхні та на поверхні...
21948. ГЕОДЕЗИЧНІ РОБОТИ ПРИ МОНТАЖІ ЕЛЕМЕНТІВ БУДІВЕЛЬНИХ КОНСТРУКЦІЙ 1.06 MB
  ГЕОДЕЗИЧНІ РОБОТИ ПРИ МОНТАЖІ ЕЛЕМЕНТІВ БУДІВЕЛЬНИХ КОНСТРУКЦІЙ Розглянувши елементи та методи інженерногеодезичних робіт розглянемо методику геодезичного забезпечення встановлення елементів будівельних конструкцій в проектне положення. Завдання та зміст геодезичних робіт При проведенні монтажних робіт встановлюють в проектне положення елементи та вузли будівельних конструкцій: фундаменти колони панелі цегляні стіни балки плити перекриття тощо. У промислових спорудах після монтажу будівельних конструкцій у проектне положення...
21949. ІНЖЕНЕРНО-ГЕОДЕЗИЧНІ ВИШУКУВАННЯ ЛІНІЙНИХ СПОРУД 3.34 MB
  Комплекс інженерногеодезичних робіт по вибору найбільш оптимальної економічно обґрунтованої траси називають трасуванням. Проектування траси лінійної споруди по топографічним картах і планам називають камеральним трасуванням. Вибір траси безпосередньо на місцевості називають польовим трасуванням.1 виходячи із дотримання граничного ухилу траси.
21950. ОРГАНІЗАЦІЯ ІНЖЕНЕРНО-ГЕОДЕЗИЧНИХ РОЗМІЧУВАЛЬНИХ РОБІТ 5.04 MB
  Організація інженерногеодезичних робіт Для геодезичного забезпечення будівельної галузі в системі Міністерства будівництва архітектури та комунального господарства України повинна бути створена державна Геодезична служба в будівництві ДГСБ. Вона повинна законодавчо відповідати за стан якість виконання інженерногеодезичних робіт в будівництві бути керівним органом по створенню нормативнотехнічних документів НТД. В системі Держбуду інших міністерствах і відомствах повинні бути створені підрозділи ДГСБ які б виконували керівні та...
21951. Виды и стадии инженерно-геологических изысканий 184.22 KB
  Виды и стадии инженерногеологических изысканий 1. Инженерногеологическая рекогносцировка. Инженерногеологическая съемка. Инженерногеологическая разведка.