Автор работы: Пользователь скрыл имя, 09 Октября 2010 в 14:44, Не определен
Контрольная работа
Одним из ключевых элементом любого кодекса практики должен быть его добровольный характер, поскольку любой такой кодекс является средством саморегулирования, используемым некой отраслью, компанией, корпорацией или профессиональной ассоциацией для достижения определенного уровня защиты данных. Одна из значимых сторон любого кодекса состоит в том, что члены отрасли, корпорации или ассоциации могут самостоятельно определять, какие принципы защиты данных им стоит переводить в работоспособные положения своего кодекса практики или поведения. Если кодекс просто провозглашает широкие принципы защиты данных, но не предлагает мер для соблюдения этих принципов, то он не является средством защиты данных.
И, наконец, следует отметить, что кодексы поведения или практики являются обычно инструментами частного сектора. Этому способствуют несколько причин. Во–первых, регулирование защиты данных публичного сектора обычно осуществляется на основании правил, установленных внутренними инструкциями. Во–вторых, в большинстве стран защита данных частного сектора остается сравнительно нерегулируемой, что предоставляет отраслям и корпорациям возможности для саморегулирования, что приемлемо и для международных отраслевых ассоциаций, таких, как Международная ассоциация воздушного транспорта (IАТА), находящаяся вне сферы правового регулирования какой–либо страны.
Однако
существуют и кодексы публичного
сектора, например, Кодекс ассоциации
начальников полиции в
Итак, есть две категории кодексов: кодексы, которые не имеют никакой законодательной поддержки, и кодексы, которые пользуются той или иной формой законодательной поддержки. Большинство существующих кодексов попадает в первую категорию, и лишь немногие (по крайней мере, на данной стадии развития) – во вторую. Большинство «незаконодательных» кодексов пришло из стран общего права, в которых (за исключением Великобритании) отсутствует исчерпывающее общее законодательство о защите данных в частном секторе.
Кодексы поведения могут быть весьма гибкими инструментами для внедрения закона в отрасли и секторы экономики. Кодексы поведения предоставляют определенным отраслям возможность продемонстрировать реальную заботу о вопросах защиты права на невмешательство в частную жизнь. Однако регулирование при помощи кодексов может быть ограничено условиями конкуренции и другими аспектами некоего конкретного сектора или отрасли. Кодексы поведения могут усложнить или запутать правовые рамки, субъекты данных не всегда осведомлены о статусе конкретного кодекса поведения. Как следует из изложенного, наметилась важная тенденция к легитимизации корпоративных и профессиональных кодексов практики/поведения, возведения их в статус «отраслевых» законов.
Другим
фактором, повышающим роль кодексов практики/поведения,
стало стремление международных организаций
использовать такие кодексы в совокупности
с новым правовым средством – прямыми
договорами между экспортером и импортером
данных с обусловленными стандартами
защиты передаваемых данных для преодоления
трудностей при обмене данными между странами
с разными уровнями правовой защиты персональных
данных.
34.
Обеспечение достоверности
информации в КИС. Программные
методы контроля учетной
информации.
Программные
методы контроля учетной
информации представляют собой программное
обеспечение, специально предназначенное
для выполнения функций защиты информации.
Программные
комплексы защиты реализуют максимальное
число защитных механизмов:
• идентификация и аутентификация пользователей;
• разграничение доступа к файлам, каталогам, дискам;
• контроль целостности программных средств и информации;
• возможность создания функционально замкнутой среды пользователя;
• защита процесса загрузки операционной системы (ОС);
• блокировка ПЭВМ на время отсутствия пользователя;
•
криптографическое
• регистрация событий;
• очистка памяти
•
антивирусные средства защиты
Аутентификация пользователей – процесс достоверной идентификации отождествления пользователя, процесса или устройства, логических и физических объектов сети для различных уровней сетевого управления. Идентификация пользователей – присвоение каждому пользователю персонального идентификатора: имени, кода, пароля и т.д. Программные системы защиты в качестве идентификатора используют, как правило, только пароль. Пароль может быть перехвачен резидентными программами двух видов. Программы первого вида перехватывают прерывания от клавиатуры, записывают символы в специальный файл, а затем передают управление операционной системой. После перехвата установленного числа символов программа удаляется из оперативной памяти (ОП). Программы другого вида выполняются вместо штатных программ считывания пароля. Такие программы первыми получают управление и имитируют для пользователя работу со штатной программой проверки пароля. Они запоминают пароль, имитируют ошибку ввода пароля и передают управление штатной программе парольной идентификации. Отказ при первом наборе пароля пользователь воспринимает как сбой системы или свою ошибку и осуществляет повторный набор пароля, который должен завершиться допуском его к работе. При перехвате пароля в обоих случаях пользователь не почувствует, что его пароль скомпрометирован. Для получения возможности перехвата паролей злоумышленник должен изменить программную структуру системы. В некоторых программных системах защиты для повышения достоверности аутентификации используются съемные магнитные диски, на которых записывается идентификатор пользователя.
Значительно сложнее обойти блок идентификации и аутентификации в аппаратно–программных системах защиты от несканкционированного доступа к информации. В таких системах используются электронные идентификаторы, чаще всего – Touch Memory.
Для каждого пользователя устанавливаются его полномочия (разграничение доступа) в отношении файлов, каталогов, логических дисков. Элементы, в отношении которых пользователю запрещены любые действия, становятся «невидимыми» для него, т. е. они не отображаются на экране монитора при просмотре содержимого внешних запоминающих устройств. Для пользователей может устанавливаться запрет на использование таких устройств, как накопители на съемных носителях, печатающие устройства. Эти ограничения позволяют предотвращать реализацию угроз, связанных с попытками несанкционированного копирования и ввода информации, изучения системы защиты.
В наиболее совершенных системах реализован механизм контроля целостности файлов с использованием хэш–функции Причем существуют системы, в которых контрольная характеристика хранится не только в ПЭВМ, но и в автономном ПЗУ (постоянном запоминающем устройстрве) пользователя. Постоянное запоминающее устройство, как правило, входит в состав карты или жетона, используемого для идентификации пользователя. Так в системе «Аккорд–4» хэш–функции вычисляются для контролируемых файлов и хранятся в специальном файле в ПЭВМ, а хэш–функция, вычисляемая для специального файла, хранится в Touch Memory.
После завершения работы на ПЭВМ осуществляется запись контрольных характеристик файлов на карту или жетон пользователя. При входе в систему осуществляется считывание контрольных характеристик из ПЗУ карты или жетона и сравнение их с характеристиками, вычисленными по контролируемым файлам.
Для того, чтобы изменение файлов осталось незамеченным, злоумышленнику необходимо изменить контрольные характеристики как в ПЭВМ, так и на карте или жетоне, что практически невозможно при условии выполнения пользователем простых правил.
Очень эффективным механизмом борьбы с несанкционированным доступом к информации является создание функционально–замкнутых сред пользователей. Суть его состоит в следующем. Для каждого пользователя создается меню, в которое попадает пользователь после загрузки ОС. В нем указываются программы, к выполнению которых допущен пользователь. Пользователь может выполнить любую из программ из меню. После выполнения программы пользователь снова попадает в меню. Если эти программы не имеют возможностей инициировать выполнение других программ, а также предусмотрена корректная обработка ошибок, сбоев и отказов, то пользователь не сможет выйти за рамки установленной замкнутой функциональной среды. Такой режим работы вполне осуществим во многих АСУ (автоматизированных системах упроавления).
Защита процесса загрузки ОС предполагает осуществление загрузки именно штатной ОС и исключение вмешательства в ее структуру на этапе загрузки. Для обеспечения такой защиты на аппаратном или программном уровне блокируется работа всех ВЗУ, за исключением того, на котором установлен носитель со штатной ОС. Если загрузка осуществляется со съемных носителей информации, то до начала загрузки необходимо удостовериться в том, что установлен носитель со штатной ОС. Такой контроль может быть осуществлен программой, записанной в ПЗУ ЭВМ. Способы контроля могут быть разными: от контроля идентификатора до сравнения хэш–функций. Загрузка с несъемного носителя информации все же является предпочтительнее.
Процесс загрузки ОС должен исключать возможность вмешательства до полного завершения загрузки, пока не будут работать все механизмы системы защиты. В КС достаточно блокировать на время загрузки ОС все устройства ввода информации и каналы связи.
При
организации
Одним из наиболее эффективных методов разграничения доступа является криптографическое преобразование информации, которое основано на использовании методов шифрования (кодирования) информации. Этот метод является универсальным. Он защищает информацию от изучения, внедрения программных закладок, делает операцию копирования бессмысленной. При шифровании данные обрабатываются специальной шифрующей программой, что не дает злоумышленникам восстановить данные из зашифрованного кода. Для этого требуется ключ (обычно это длинная бинарная последовательность), при помощи которого и просходит шифрование и дешифрование текста. Криптосистемы с секретными ключами используют один и тот же ключ для шифрования и дешифрования. Криптосистемы с открытым ключом используют секретный ключ для расшифровки, и открытый ключ – для шифрования. В системах с открытым ключом кто угодно может послать секретное сообщение, но прочитать его сможет лишь тот, коту оно предназначено.
Для своевременного пресечения несанкционированных действий в отношении информации, а также для контроля за соблюдением установленных правил субъектами доступа, необходимо обеспечить регистрацию событий, связанных с защитой информации. Степень подробности фиксируемой информации может изменяться и обычно определяется администратором системы защиты. Информация накапливается на ВЗУ (внешних запоминающих устройствах). Доступ к ней имеет только администратор системы защиты.
Важно обеспечивать стирание информации в ОП и в рабочих областях ВЗУ. В ОП размещается вся обрабатываемая информация, причем, в открытом виде. Если после завершения работы пользователя не осуществить очистку рабочих областей памяти всех уровней, то к ней может быть осуществлен несанкционированный доступ.
В настоящее время наиболее острую проблему безопасности (даже в тех системах, где не требуется сохранять секретную информацию, и в домашних компьютерах) составляют вирусы*. Исследования международного института по компьютерной безопасности (ISCA) показали, что вирусы являются причиной более 40% случаев потери данных в информационных системах. Поэтому использование эффективных антивирусных средств защиты является критическим для безопасности корпоративной информационной системы.
Основным средством защиты от вирусов служит архивирование. Другие методы заменить его не могут, хотя и повышают общий уровень защиты. Архивирование необходимо делать ежедневно. Архивирование заключается в создании копий используемых файлов и систематическом обновлении изменяемых файлов. Это дает возможность не только экономить место на специальных архивных дисках, но и объединять группы совместно используемых файлов в один архивный файл, в результате чего гораздо легче разбираться в общем архиве файлов. Наиболее распространенные программы архивирования: zip и rar.
Файлы рекомендуется
В современных антивирусных программах используются различные методики обнаружения вирусов: сканирование сигнатур (для борьбы с вирусами, использующими неизменный код), проверка целостности (путём создания и использования базы контрольных сумм файлов), эвристические методы (анализ программы по выявлению таких действий, как форматирование жёсткого диска), полиморфный анализ (в специальной защищённой области), анализ на наличие макровирусов (они распространяются, например, с файлами MS Word, MS Excel, MS Access). Наряду с этими средствами ряд пакетов содержат дополнительные функции защиты от почтовых вирусов и вирус–модулей ActiveX и Java–аплетов. Некоторые антивирусные пакеты (например, Panda Antivirus Platinum и PC–cillin) блокируют доступ компьютера к подозрительным Web–страницам.
Информация о работе Лингвистическое и правовое обеспечение корпоративных информационных технологий