- 1
- 2
- 3
- 4
- 5
- . . .
- последняя (116) »
хорошую рекомендацию человеку, которого мы не знаем, то мы обычно склонны относится к этому незнакомцу с большим доверием, чем если бы познакомились с ним сами. В этом случае, поскольку мы доверяем своему другу, то полагаемся на правильность его мнения.Точно так же в сфере электронных коммуникаций и Интернета появился ряд ассоциаций доверия, которые являются аффилиированными компаниями организаций, web-сайтов и кадровых агентств и в зависимости от направления деятельности осуществляют контроль соблюдения политики конфиденциальности, оценку безопасности и надежности программного и аппаратного обеспечения, занимаются аудитом систем и сертификацией специалистов и продуктов в сфере информационных технологий. Некоторые примеры таких ассоциаций приведены в табл. 1.2 [105].Так, например, известные ассоциации доверия Better Business Bureau и TrustE знакомят другие компании с законами в области обеспечения конфиденциальности и помогают им разрабатывать собственные политики и правила [39]. Если компания выполняет все рекомендации ассоциации доверия, то получает ее "печать одобрения" (некоторый символ или логотип ассоциации) для размещения на своем web-сайте.
|Общепринятое название | Тип | Формальное название | Описание | |BBB | Web-сайт | Better Business Bureau | Выдача компаниям свидетельств о соблюдении ими правил конфиденциальности | |CCSA | Кадры | Certification in Control Self-Assessments | Сертификация специалистов по аудиту информационных систем | |CISA | Кадры | Certified Information Systems Auditor | Сертификация специалистов по аудиту информационных систем | |CISSP | Кадры | Certified Information Systems Security Professional | Сертификация специалистов по безопасности информационных систем | |Common Criteria | Системы | Common Criteria | Оценка и сертификация безопасности и надежности ИТ-продуктов | |CPP | Кадры | Certified Protection Professional | Сертификация специалистов в сфере безопасности | |GIAC | Кадры | Global Information Assurance Certification | Сертификация специалистов | |Good Housekeeping | Web-сайт | Good Housekeeping Web Certification | Контроль соблюдения конфиденциальности и сертификация | |SAS70 | Системы | Statement on Auditing Standards 70 | Аудит систем | |Trust E | Web-сайт | Trust E | Контроль соблюдения конфиденциальности, выдача компаниям свидетельств | Таблица 1.2.Примеры ассоциаций доверия
По существу эта печать идентифицирует доверие, связанное с рекомендациями авторитетных ассоциаций, и подтверждает обязательства владельцев сайта в отношении предоставленных посетителями сведений. Когда пользователь сталкивается с неизвестным сайтом и видит "печать одобрения" авторитетной ассоциации, то относится с большим доверием к компании-владельцу сайта. Ассоциации доверия берут на себя функции контроля за соблюдением политики конфиденциальности. Если проверка выявляет нарушение, то ассоциация уведомляет об этом компанию и рекомендует ей пересмотреть принятые правила - с тем чтобы либо правила отражали изменения в ее коммерческой деятельности, либо компания отказалась от подобной практики. (обратно)
|Общепринятое название | Тип | Формальное название | Описание | |BBB | Web-сайт | Better Business Bureau | Выдача компаниям свидетельств о соблюдении ими правил конфиденциальности | |CCSA | Кадры | Certification in Control Self-Assessments | Сертификация специалистов по аудиту информационных систем | |CISA | Кадры | Certified Information Systems Auditor | Сертификация специалистов по аудиту информационных систем | |CISSP | Кадры | Certified Information Systems Security Professional | Сертификация специалистов по безопасности информационных систем | |Common Criteria | Системы | Common Criteria | Оценка и сертификация безопасности и надежности ИТ-продуктов | |CPP | Кадры | Certified Protection Professional | Сертификация специалистов в сфере безопасности | |GIAC | Кадры | Global Information Assurance Certification | Сертификация специалистов | |Good Housekeeping | Web-сайт | Good Housekeeping Web Certification | Контроль соблюдения конфиденциальности и сертификация | |SAS70 | Системы | Statement on Auditing Standards 70 | Аудит систем | |Trust E | Web-сайт | Trust E | Контроль соблюдения конфиденциальности, выдача компаниям свидетельств | Таблица 1.2.Примеры ассоциаций доверия
По существу эта печать идентифицирует доверие, связанное с рекомендациями авторитетных ассоциаций, и подтверждает обязательства владельцев сайта в отношении предоставленных посетителями сведений. Когда пользователь сталкивается с неизвестным сайтом и видит "печать одобрения" авторитетной ассоциации, то относится с большим доверием к компании-владельцу сайта. Ассоциации доверия берут на себя функции контроля за соблюдением политики конфиденциальности. Если проверка выявляет нарушение, то ассоциация уведомляет об этом компанию и рекомендует ей пересмотреть принятые правила - с тем чтобы либо правила отражали изменения в ее коммерческой деятельности, либо компания отказалась от подобной практики. (обратно)
Концепция инфраструктуры безопасности
Важным фундаментом доверия в сфере электронных коммуникаций является поддержка инфраструктуры безопасности. Инфраструктура может рассматриваться как базис некоторой масштабной среды. Всем известны такие инфраструктуры, как компьютерные сети, позволяющие выполнять обмен данными между различными компьютерами, и электросети, обеспечивающие работу разнообразного электрооборудования. Несмотря на различия, их объединяет один и тот же принцип: инфраструктура существует для того, чтобы совершенно разные субъекты могли подключиться к ней и использовать ее в своих целях [44].Инфраструктура, отвечающая целям безопасности, должна строиться на тех же принципах и предоставлять те же преимущества. Инфраструктура безопасности обеспечивает защищенность целой организации и должна быть доступна для всех приложений и объектов организации, которым необходима безопасность. "Точки входа" в инфраструктуру безопасности должны быть удобны и унифицированы, как электрические розетки в стене, - ничто не должно мешать объектам, желающим использовать инфраструктуру.Инфраструктура безопасности, по сути, является рациональной архитектурой для многих сред. Понятие инфраструктуры безопасности - достаточно широкое, включающее в себя многие аспекты, в том числе совместимость имен, политики авторизации, мониторинг, аудит, управление ресурсами, контроль доступа и т.п.Большинство технических специалистов связывают доверие в сфере электронных коммуникаций с надежной инфраструктурой, к которой относятся системы, приложения и процессы, обеспечивающие надежную, защищенную обработку транзакций. Важными компонентами этой инфраструктуры являются межсетевые экраны, маршрутизаторы, сканеры вирусов, средства оценки уязвимости и защищенные серверы. Большая доля ИТ-затрат приходится на них, поскольку они образуют наиболее осязаемую материальную базу защиты доверия. (обратно)Уровни инфраструктуры
Рассмотрим уровни инфраструктуры безопасности (рис. 1.1). Простейший уровень, находящийся внизу, - это физический уровень. Принимая во внимание ограниченное число рисков, связанных с физическими атаками, этот уровень защищать проще, чем другие. Чтобы гарантировать трудность физического доступа к центру хранения и обработки данных или аналогичным ресурсам, используют одновременно средства сигнализации, охрану и замки. Интересно отметить, что бывает проще физически разрушить хорошо защищенный сайт, чем взломать его. Следовательно, организации важно иметь хорошо проработанный план восстановления после аварии, включая организацию центров "горячего" и "теплого" резервирования данных. (обратно)Физический уровень
Хотя физический доступ и не рассматривается как реальная угроза сегодняшнего дня, очевидно, что нарушение физической безопасности может привести к нарушению информационной безопасности. Для обеспечения высокой степени доверия к защите физического уровня необходимы следующие меры:* Ограниченный доступ с использованием нескольких механизмов аутентификации (например, применение биометрического устройства и считывателя карт).* Постоянный мониторинг безопасности с использованием видео- и аудиоаппаратуры, сенсорный мониторинг внешней и внутренней среды.* Обученный персонал, отвечающий за безопасность.* Журналы, регистрирующие доступ по ID-картам, проверку документов службой охраны и т.п. (обратно)Системный уровень
Следующий уровень, системный, включает совокупность- 1
- 2
- 3
- 4
- 5
- . . .
- последняя (116) »