Geum.ru

Интеллектуальные компьютерные технологии защиты информации

Методическое пособие - Компьютеры, программирование

Другие методички по предмету Компьютеры, программирование

доступа меняется от предприятия к предприятию.

Нелегальное ознакомление с информацией

Нелегальное ознакомление с информацией - другая распространенная угроза. Определите степень конфиденциальности информации, хранящейся в ваших компьютерах. Расшифровка файла паролей откроет дорогу несанкционированному доступу. Мимолетный взгляд на ваше коммерческое предложение может дать конкуренту решающее преимущество. Техническая статья способна вместить в себя годы напряженных исследований.

Отказ в обслуживании

Компьютеры и сети предоставляют своим пользователям множество ценных услуг, от которых зависит эффективная работа многих людей. Когда услуги вдруг становятся недоступными, возникают потери -прямые и косвенные.

Отказ в обслуживании возникает по разным причинам и проявляется по-разному. Сеть может прийти в неработоспособное состояние от поддельного пакета, перегрузки или по причине отказа компонента. Вирус способен замедлить или парализовать работу компьютерной системы. Каждая организация должна определить для себя набор необходимых сервисов и для каждого из них проанализировать последствия его недоступности.

1.2.3 Распределение прав пользователей

При разработке политики безопасности необходимо дать ответы на ряд вопросов, а именно:

  1. Кто имеет право использовать ресурсы?
  2. Как правильно использовать ресурсы?
  3. Кто наделен правом давать привилегии и разрешать использование?
  4. Кто может иметь административные привилегии?
  5. Каковы права и обязанности пользователей?
  6. Каковы права и обязанности администраторов безопасности (системных и сетевых администраторов) по отношению к другим пользователям?
  7. Как работать с конфиденциальной информацией?

Кроме того, представляется целесообразным отразить в политике этические аспекты использования вычислительных ресурсов.

 

1.2.3.1 Кто имеет право использовать ресурсы?

Одним из шагов в разработке политики безопасности является определение того, кто может использовать ваши системы и сервисы. Должно быть явно сказано, кому дается право использовать те или иные ресурсы.

 

1.2.3.2 Как правильно использовать ресурсы?

После определения круга лиц, имеющих доступ к системным ресурсам, необходимо описать правильные и неправильные способы использования ресурсов. Для разных категорий пользователей (студенты, внешние пользователи, штатные сотрудники и т.д.) эти способы могут различаться. Должно быть явно сказано, что допустимо, а что - нет. Могут быть описаны также ограничения на использование определенных ресурсов. При этом вам придется специфицировать уровни доступа разных групп пользователей.

Пользователи должны знать, что они несут ответственность за свои действия независимо от применяемых защитных средств и что использовать чужие счета и обходить механизмы безопасности запрещено.

Для регламентации доступа к ресурсам нужно дать ответы на следующие вопросы:

  1. Разрешается ли использование чужих ресурсов?
  2. Разрешается ли отгадывать чужие пароли?
  3. Разрешается ли разрушать сервисы?
  4. Должны ли пользователи предполагать, что если файл доступен всем на чтение, то они имеютправо его читать?
  5. Имеют ли право пользователи модифицировать чужие файлы, если по каким-либо причинам у нихесть доступ на запись?
  6. Должны ли пользователи разделять ресурсы?

В большинстве случаев ответы на подобные вопросы должны быть отрицательными.

В политике могут найти отражение авторские и лицензионные права на программное обеспечение. Лицензионное соглашение с поставщиком налагает на организацию определенные обязательства; чтобы не нарушить их, необходимо приложить некоторые усилия. Кроме того, вы, возможно, захотите проинформировать пользователей, что присваивать защищенное авторскими правами программное обеспечение запрещено законом.

Более точно, вы должны довести до сведения пользователей, что:

  1. копировать авторское и лицензионное программное обеспечение запрещено, за исключением явнооговоренных случаев;
  2. они всегда могут узнать авторский/лицензионный статус программного обеспечения;
  3. в случае сомнений копировать не следует.

Политика в области правильного использования ресурсов очень важна. Если явно не сказано, что запрещено, вы не сможете доказать, что пользователь нарушил политику безопасности.

Бывают исключительные случаи, когда в исследовательских целях пользователи или администраторы пытаются расколоть защиту сервиса или лицензионной программы. Политика должна давать ответ на вопрос, разрешены ли подобные исследования в вашей организации и каковы могут быть их рамки.

Применительно к исключительным случаям следует дать ответы на следующие вопросы:

  1. Разрешены ли вообще подобные исследования?
  2. Что именно разрешено: попытки проникновения, создание и/или запуск червей и вирусов и т.п.?
  3. Какие регуляторы должны использоваться для контроля за подобными исследованиями (например, их изоляция в рамках отдельного сегмента сети)?
  4. Как защищены пользователи (в том числе внешние) от подобных исследований?
  5. Как получать разрешение на проведение исследований?

В случае, когда получено разрешение на исследование, следует изолировать тестируемые сегменты от основной сети предприятия. Черви и вирусы не должны выпускаться в живую сеть.

Следует определить порядок и условия исс?/p>