Читайте также:
|
1. Пароли никогда не следует хранить в вычислительной системе в явной форме
2. Пароли не следует печатать в явном виде или выводить на экран.
3. Постоянная смена пароля
4. Не выбирать слишком очевидные пароли.
Вопрос 30. Матрица полномочий.
После осуществления процедуры установления подлинности могут быть проверены полномочия запросов.
Полномочия – право пользователя, терминала или другого субъекта осуществлять те или иные процедуры над защищаемыми данными.
Матрица полномочий – прямоугольная матрица, элемент которой означает право (полномочия) соответствующего субъекта относительно соответствующего элемента защищаемых данных.
Профиль полномочий – строка матрицы полномочий, т.е. полный перечень полномочий соответствующего субъекта относительно всех элементов защищаемых данных.
Элементы матрицы установления полномочий обычно содержат биты, соответствующие действиям, которые могут быть выполнены с терминала при обращении к элементу данных. При необходимости элементы матрицы могут содержать указатели на процедуры. Эти процедуры исполняются при каждой попытке доступа с данного терминала к заданному элементу данных. И могут принимать те решения о доступе, которые зависят от информации, представленные не столь очевидно, как в простой матрице доступа.
Решение о доступе основывается на истории доступа других ресурсов. Пользователь A может записывать данные в файл B только в случае, если он не читал файл C.
Уровень полномочий – максимальный уровень секретности данных или процедур, к которым разрешен доступ соответствующему объекту (субъекту).
Субъекты являются активными элементами, объекты – пассивными. Одни и те же элементы могут быть объектами или субъектами, но не одновременно.
Вопрос 31. Правовое регулирование информационной безопасности в США
Ключевую роль в правовом регулировании информационной безопасности США играет американский "Закон об информационной безопасности". Его цель - реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий.
В первом разделе Закона называется конкретный исполнитель - Национальный институт стандартов и технологий (НИСТ), отвечающий за выпуск стандартов и руководств, направленных на защиту от уничтожения и несанкционированного доступа к информации, а также от краж и подлогов, выполняемых с помощью компьютеров. Таким образом, имеется в виду, как регламентация действий специалистов, так и повышение информированности всего общества.
Согласно Закону, все операторы федеральных информационных систем, содержащих конфиденциальную информацию, должны сформировать планы обеспечения ИБ. Обязательным является и периодическое обучение всего персонала таких ИС.
С практической точки зрения важен раздел 6 Закона, обязывающий все правительственные ведомства сформировать план обеспечения информационной безопасности, направленный на то, чтобы компенсировать риски и предотвратить возможный ущерб от утери, неправильного использования, несанкционированного доступа или модификации информации в федеральных системах. Копии плана направляются в НИСТ и АНБ.
В 1997 году появилось продолжение описанного закона - законопроект "О совершенствовании информационной безопасности", направленный на усиление роли Национального института стандартов и технологий и упрощение операций с криптосредствами.
В законопроекте констатируется, что частный сектор готов предоставить криптосредства для обеспечения конфиденциальности и целостности (в том числе аутентичности) данных, что разработка и использование шифровальных технологий должны происходить на основании требований рынка, а не распоряжений правительства. Для защиты федеральных информационных систем рекомендуется более широко применять технологические решения, основанные на разработках частного сектора. Кроме того, предлагается оценить возможности общедоступных зарубежных разработок.
Приветствуется разработка правил безопасности, нейтральных по отношению к конкретным техническим решениям, использование в федеральных ИС коммерческих продуктов, участие в реализации шифровальных технологий, позволяющее в конечном итоге сформировать инфраструктуру, которую можно рассматривать как резервную для федеральных ИС.
Важно, что в соответствии с разделами 10 и далее предусматривается выделение конкретных (и немалых) сумм, называются точные сроки реализации программ партнерства и проведения исследований инфраструктуры с открытыми ключами, национальной инфраструктуры цифровых подписей. В частности, предусматривается, что для удостоверяющих центров должны быть разработаны типовые правила и процедуры, порядок лицензирования, стандарты аудита.
За четыре года (1997-2001 гг.) на законодательном и других уровнях информационной безопасности США было сделано многое. Смягчены экспортные ограничения на криптосредства, сформирована инфраструктура с открытыми ключами, разработано большое число стандартов (например, новый стандарт электронной цифровой подписи - FIPS 186-2, январь 2000 г.). Все это позволило не заострять более внимания на криптографии как таковой, а сосредоточиться на одном из ее важнейших приложений - аутентификации, рассматривая ее по отработанной на криптосредствах методике. На базе этих законов в США сформирована общенациональная инфраструктура электронной аутентификации. Программа безопасности должна включать:
§ периодическую оценку рисков с рассмотрением внутренних и внешних угроз целостности, конфиденциальности и доступности систем, а также данных, ассоциированных с критически важными операциями и ресурсами;
§ правила и процедуры, позволяющие, опираясь на проведенный анализ рисков, экономически оправданным образом уменьшить риски до приемлемого уровня;
§ обучение персонала
§ периодическую проверку и (пере)оценку эффективности правил и процедур;
§ действия при внесении существенных изменений в систему;
§ процедуры выявления нарушений информационной безопасности;
Дата добавления: 2015-02-16; просмотров: 23 | Поможем написать вашу работу | Нарушение авторских прав |