Интеллектуальные компьютерные технологии защиты информации

Методическое пособие - Компьютеры, программирование

Другие методички по предмету Компьютеры, программирование

? условием заключения контракта на сопровождение.

Хотя налицо некоторые преимущества использования каналов удаленной диагностики, в одинаковой степени существуют и определенные опасности. Если не установлен надлежащий контроль, такие каналы могут представлять основную угрозу конфиденциальности и целостности системы и ее данным, особенно если поставщик знает, как система поддерживает производственную деятельность организации.

 

3.9.1 Потенциальные угрозы

Потеря конфиденциальности вследствие:

  1. доступа поставщика к уязвимым данным;
  2. несанкционированного использования канала дальней связи;
  3. перехвата сообщений между организацией и поставщиком.

Потеря целостности и/или доступности вследствие:

  1. неконтролируемого или несанкционированного изменения поставщиком программного обеспечения или данных;
  2. внешнего вмешательства во время передачи сообщений в санкционированное изменение программного обеспечения;
  3. заражения компьютерным вирусом.

 

3.9.2 Пути снижения рисков

  1. обеспечить, чтобы поставщики полностью сознавали свою ответственность и необходимость сохранения конфиденциальности и безопасности системы и ее данных. Проверять, какие устройства устанавливает поставщик. Они должны быть подтверждены письменным договором или контрактом;
  2. отключать коммутируемый канал, когда он не используется;
  3. использовать процедуру обратного дозвона для проверки происхождения запроса на установление связи;
  4. вести журнал регистрации времени начала связи, совершенных действий и времени прерывания связи;
  5. контролировать доступ по каналу связи в систему и к уязвимым данным с помощью паролей или аналогичных средств. Рассмотреть возможность временного удаления очень уязвимых данных прежде, чем разрешить установление соединения;
  6. тестировать все новые версии программных средств, полученные по каналу удаленной диагностики, в том же объеме, что и программные средства, получаемые обычным путем;
  7. шифровать все сообщения, передаваемые между организацией и поставщиком.

 

3.9.3 Обязательные правила

Не передавайте уязвимую информацию по сетям общего пользования или по другим сетям, находящимся вне контроля организации, если только она не защищена средствами шифрования или эквивалентными средствами (за консультацией обращайтесь к администратору безопасности).

Не подключайтесь ни к какой внешней услуге или линии связи без получения консультации у специалистов относительно прямых или непрямых последствий такого подключения и относительно особых правил, касающихся определенных типов линий связи или услуг. Это в особенности касается подключения к сети Internet.

 

4. Перечень стандартов Республики Беларусь, касающихся информационной безопасности

 

ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. М.: Госстандарт СССР.

ГОСТ 31078-2002. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.

СТБ ИСО/МЭК 9126-2003. Информационные технологии. Оценка программной продукции. Характеристики качества и руководства по их применению.

СТБ ИСО/МЭК ТО 9294-2003. Информационные технологии. Руководство по управлению документированием программного обеспечения.

СТБ ИСО/МЭК 12119:1994. Информационные технологии. Пакеты программ. Требования к качеству и тестирование

СТБ ИСО/МЭК ТО 12182-2003. Информационные технологии. Классификация программных средств.

СТБ ИСО/МЭК 12207-2003. Информационные технологии. Процессы жизненного цикла программных средств.

СТБ ИСО/МЭК 14764-2003. Информационные технологии. Сопровождение программных средств.

СТБ ГОСТ Р 51241-2003. Средства контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.

СТБ 1176.1. Функция хеширования.

СТБ 1176.2. Процедуры выработки и проверки электронной цифровой подписи.

СТБ 1221-2000. Документы электронные. Правила выполнения, обращения и хранения.

СТБ 34.101.1 - 2001. Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Ч. 1. Введение и общая модель.

СТБ 34.101.2 - 2001. Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Ч. 2. Функциональные требования безопасности.

СТБ 34.101.3 - 2001. Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Ч. 3. Гарантийные требования безопасности.

СТБ П 34.101.4-2002. Информационная технология. Профиль защиты электронной почты предприятия.

СТБ П 34.101.5-2003. Информационные технологии и безопасность. Общая методология испытаний продуктов и систем информационных технологий на соответствие уровням гарантий.

СТБ П 34.101.6-2003. Информационные технологии и безопасность. Задание по обеспечению безопасности. Разработка, обоснование, оценка.

СТБ П 34.101.7-2003. Информационные технологии и безопасность. Профиль защиты. Разработка, обоснование, оценка.

СТБ П 34.101.8-2003. Информационные технологии. Методы и средства безопасности. Программные средства защиты от воздействия вредоносных программ и антивирусные программные средства. Общие требования

РД РБ07040.1001-2002. Автоматизированная система межбанковских расчетов. Общие требования по обеспечению непрерывной работы и восстановления работоспособности уч