http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/napravleniya-zashhity-processov-obmena-informaciej/ http://www.microfinance.uz/napravleniya-zashhity-processov-obmena-informaciej/#comments Mon, 06 Oct 2008 06:07:17 +0000 admin http://www.microfinance.uz/napravleniya-zashhity-processov-obmena-informaciej/ Те, кто изучал или принимал участие в процессе внедрения систем, возможно, сталкивался с ситуацией, когда система с тщательно продуманной моделью безопасности, с устойчивыми механизмами идентификации и аутентификации, с тонко настраиваемым доступом и правами, с хранением данных, защищенных сильными криптографическими средствами, допускает экспорт практически всех значимых данных (например, для некоторого круга пользователей, у которых есть право на подобный экспорт) в виде абсолютно незащищенного набора данных (обычного текстового файла). С точки зрения бизнес-логики в этом нет ничего противоестественного, система должна обмениваться данными с другими системами, которые могут ничего не знать о форматах данных исходной системы, о ее криптографических алгоритмах и тем более о способах обмена ключами шифрования и т. д. С точки зрения самой системы также все в порядке — она надежно защищала данные внутри себя, предоставила право на экспорт только уполномоченному лицу. Однако с точки зрения комплексной безопасности всего информационного пространства возникает проблема — система освободила себя от забот по обеспечению безопасности! Кто теперь берет на себя эти обязанности?
Экспорт данных. В решении этой проблемы существуют два пути: проективный и реактивный. Первый вариант возможен только тогда, когда соответствующие специалисты задумались о проблеме безопасности обмена данных до того, как была приобретена или разработана информационная система, которая должна обмениваться данными с другими системами и в которой отсутствуют механизмы обеспечения защищенного обмена данными. В этом случае есть возможность определить и выставить требование поддержки защищенного обмена данными для каждой устанавливаемой в информационном пространстве системы. При этих условиях исходная информационная система при экспорте (в этом случае некорректно говорить “экспорт” — речь идет об отправке данных в систему-получатель) не перестает обеспечивать защиту данных до тех пор, пока эту роль не возьмет на себя система-получатель. Таким образом, появляется возможность планировать общий уровень безопасности пространства при внедрении новых систем. Но возможно это только в том случае, когда служба информационной безопасности принимает участие в вопросах проектирования и внедрения систем на самом раннем этапе.
Второй вариант распространен, когда уже внедрено определенное число информационных систем, ничего не знающих друг о друге, и встает вопрос об обеспечении безопасности обмена данными между ними. Скорее всего красиво это сделать уже не удастся. Наилучший из возможных способов, когда система имеет встроенные возможности для дополнительной доработки — прикладные программные интерфейсы (англ. Application Programming Interface — API) или интерфейсы, ориентированные специально на обеспечение безопасности (англ. Security Services Provider Interface, в некоторых источниках — Security Support Provider Interface, — SSPI). Но такую возможность должна иметь каждая пара систем, обменивающихся данными. В этом случае с помощью своих разработчиков либо по дополнительному соглашению с поставщиком системы можно провести соответствующую модификацию. В противном случае придется разрабатывать дополнительные процедуры, в которых необходимо будет использовать возможности операционной системы, устройств передачи данных и каналов связи, дополнительные организационные мероприятия.
Это наиболее часто встречающаяся проблема, однако существуют и другие ответвления информационных потоков, которые не очевидны на первый взгляд и о которых не всегда задумываются. Если мы говорим именно об информационной безопасности, а не только о компьютерной, необходимо прослеживать весь путь и жизненный цикл информации от того момента, как она покинула свой источник создания (например, человеческий мозг), до того, как она перестала существовать (например, потеряла актуальность в архиве). Проще всего это сделать, построив соответствующие схемы, тогда можно проследить, где информация оседает в виде распечаток, на дискетах ит. п., в местах, которые не были очевидны с первого взгляда.

]]> http://www.microfinance.uz/napravleniya-zashhity-processov-obmena-informaciej/feed/ 0