|
|
|
сделать стартовой | добавить в избранное |
 |
|
Компьютеры, Программирование Программное обеспечение
Методические основы защиты систем поддержки бизнеса |
Карабин, 6x60 мм. 
Наклейки для поощрения "Смайлики 2". Д. КОСТРОВ, начальник отдела ИБ ОАО «МТТ» Приятно сознавать, что сегодня уже есть прецеденты внедрения и проработки проектов специализированных информационных систем OSS/BSS многими российскими операторами связи для управления производственной деятельностью, эффективного хранения и использования различной информации (перечень оборудования, данные о работоспособности элементов системы, наборы конфигураций, реестры клиентов, услуг, тарифов и т.п.). Это означает, что компании выходят на более высокий уровень управления своими ИС. Угрозы, риски, рекомендации С немалой долей вероятности можно сказать, что наибольшую опасность для системы OSS/BSS будут представлять внутренние злоумышленники (инсайдеры). Внешние злоумышленники без поддержки внутренних вряд ли смогут нарушить работу бизнес-процессов, выполняемых в рамках OSS/BSS. Поэтому к наиболее опасным источникам угроз на уровне бизнес-процессов относятся внутренние, которые реализуются как в рамках полномочий служащих, так и за их пределами (авторизованные пользователи и операторы, представители менеджмента организации и пр.). Далее по рангу - комбинированные источники, которые подразделяются на внешние (например, конкуренты) и внутренние, действующие «в сговоре» с первыми. Главная цель злоумышленника - получить контроль над активами на уровне бизнес-процессов. Прямое нападение на этом уровне (например, путем раскрытия конфиденциальной информации) более эффективно для нападающего и опаснее для собственника, чем атака на нижних уровнях -физическом (линии связи, аппаратные средства и пр.), сетевом (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и т.п.); приложений и сервисов (ОС, СУБД, технологических процессов и приложений). Причина - атаки на нижних уровнях требуют специфического опыта, знаний и ресурсов (в том числе и временных), а потому менее эффективны по соотношению затраты/результат. Чаще всего потенциальный злоумышленник стремится либо получить доступ к информации базы данных, циркулирующей (хранящейся) в системе OSS/BSS, либо нарушить ход штатного (строго описанного) бизнес-процесса. На стадии эксплуатации должна быть обеспечена также защита от умышленного несанкционированного раскрытия, модификации или уничтожения информации, неумышленной модификации или уничтожения информации, недоставки или ошибочной доставки информации, ухудшения обслуживания или отказа в нем. Кроме того, на сетях связи весьма актуальна угроза отказа от авторства сообщения. Для этого сейчас служит ЭЦП под сообщениями или их массивами. С точки зрения архитектуры система OSS/BSS всегда наложена на существующую офисную компьютерную сеть, и поэтому, как правило, представляет собой выделенную подсеть с повышенным уровнем защиты (например, на базе технологии VLA с контролируемым доступом на 3-м уровне и с применением списков доступа), где достаточно просто реализовать контроль несанкционированных действий. Поэтому при оценке рисков необходимо точно определить, какую именно информацию обрабатывают подсистемы, входящие в OSS/BSS. Часто для систем OSS/BSS предусматриваются дополнительные меры безопасности, например добавочный уровень аутентификации пользователя.
То есть для доступа к ПЭВМ работник компании использует общий USB-токен, а для вызова программы (клиента) системы OSS/BSS он должен предъявить дополнительный ключ. Обычно во внутренней сети вся информация относится к уровню «для внутреннего использования», однако владельцы (не пользователи и не хранители) информации могут отнести ее и к уровню «коммерческая тайна» с дополнительным уровнем обеспечения защищенности (например, введя дополнительную аутентификацию при доступе). Поэтому следует выделить и определить соответствующие роли персонала организации и установить степень ответственности за исполнение этих ролей. Формирование ролей, как правило, должно осуществляться на основании бизнес-процессов, а ответственность зафиксирована в должностных инструкциях. Не рекомендуется применять ролевой механизм, где одна персональная роль включает все правила, необходимые для выполнения полного бизнес-процесса в рамках системы OSS/BSS. Совокупность правил, составляющих роли, не должна быть критичной для компании с точки зрения последствий успешного нападения на исполнителя данной роли. Не следует совмещать в одном лице (в любой комбинации) роли разработки, сопровождения, исполнения, администрирования или контроля (например, оператора и администратора, администратора и аудитора). Обязанности персонала по выполнению требований ИБ в соответствии с положениями ISO R13569 и БО/1ЕС IS 17799-2000 следует включать в трудовые контракты (соглашения, договоры). Хотя в большинстве случаев встроенные механизмы защиты специалисты считают «несерьезными», пренебрегать ими не стоит. Иногда такой дополнительный пароль становится той соломинкой, которая создаст последний, «непроходимый» рубеж безопасности. При распределении прав доступа персонала к системе следует руководствоваться тремя принципами, суть которых изложена в ISO R 13569: «знание своих служащих» (K ow your Employee) -предполагать возможные проблемы сотрудников, которые могут привести к злоупотреблениям ресурсами фирмы, аферам или махинациям; «необходимые знания» ( eed o K ow) - соблюдать правила безопасности для ограничения доступа к информации и ресурсам тех лиц, кому требуется выполнять определенные обязанности; «двойное управление» (Dual Co rol) - использовать в системе независимое управление для сохранения целостности процесса и борьбы с искажением функций системы, которое отражено в требовании ИБ выполнять некое действие до завершения определенных транзакций двумя лицами независимо друг от друга. Важное условие обеспечения защищенности как системы OSS/BSS, так и в целом ИС компании - выделение отдельного подразделения с соответствующими функциями. Главная задача этого подразделения - создание определенных гарантий того, что уровень организации ИБ достаточен по отношению к целям бизнеса организации. И еще одно замечание. Безопасность систем OSS/BSS должна обеспечиваться на всех стадиях жизненного цикла (ЖЦ) с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации). При этом модель ЖЦ (стадии ЖЦ, этапы работ и процессы ЖЦ, выполняемые на этих стадиях) рекомендуется определять в соответствии с ГОСТ 34.6
01 и документом ISO/IEC IS 15288, а разработку технических заданий, проектирование, создание, тестирование и приемку средств и систем защиты OSS/BSS следует обязательно согласовывать с отделом ИБ (ОИБ). Ввод в действие, эксплуатация, снятие с эксплуатации систем OSS/BSS - все должно проходить при обязательном участии ОИБ. Диалектика политики Необходимо отметить, что при разработке политики обеспечения ИБ компании требования в общем случае должны быть взаимоувязаны в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла процесс. Перечень минимально необходимых средств включает защиту от несанкционированных действий, управления доступом и регистрацией в системах (в том числе и OSS/BSS), в телекоммуникационном оборудовании, АТС и т.д., а также антивирусную защиту, средства контроля использования ресурсов Интернета, криптографической защиты информации и защиты информационных технологических процессов (в том числе и системы OSS/BSS). Кроме того, необходимы и организационные меры для определения назначения и распределения ролей и уровней доверия для персонала. В политике информационной безопасности компании могут присутствовать и другие требования, например обеспечение непрерывности бизнес-процессов, физическая защита ресурсов и активов и т.д. Соблюдение политики в значительной мере есть элемент корпоративной этики, поэтому на уровень ИБ в организации оказывают серьезное влияние отношения как в коллективе, так и между коллективом и собственником или менеджментом организации, представляющим интересы собственника. Вместе с тем назначение/лишение полномочий доступа сотрудников к ресурсам сети и системы санкционируется руководителем функционального подразделения организации, несущего персональную ответственность за обеспечение ИБ в данном подразделении. Увы, но любые защитные меры по ряду объективных причин имеют тенденцию к ослаблению своей эффективности, в результате чего снижается общий уровень ИБ, что неминуемо ведет к возрастанию рисков ИБ. Чтобы не допустить этого, нужно проводить регулярный мониторинг и аудит системы ИБ и своевременно принимать меры по поддержанию системы управления ИБ на необходимом уровне. В идеале должна действовать циклическая модель: В целом требования ИБ к OSS/BSS не отличаются от требований для сети предприятия, которые включают идентификацию, аутентификацию, авторизацию; управление доступом; контроль целостности и регистрацию пользователей. При этом рекомендуется организовать службу централизованной парольной защиты для генерации, распространения, смены, удаления паролей, разработки необходимых инструкций, контроля за действиями персонала по работе с паролями (хорошей практикой является использование e- oke s с сертификатами открытых ключей). Не следует забывать и о регистрации действий персонала и пользователей в специальном электронном журнале, который должен быть доступен для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. Для контроля реализации положений нормативных актов по обеспечению ИБ, выявления нештатных (или злоумышленных) действий и потенциальных нарушений ИБ сотрудники ОИБ выполняют мониторинг ИБ.
Обольщаться по этому поводу не стоит: опыт применения альтернативных ОС в большинстве случаев окажется более чем ущербным. «МС-ДОС» («Майкрософт Уиндоуз 3.х, 9х, Ми»). Для ОС этой серии также существуют эмулирующие стандартную архитектуру пакеты и переносы популярных свободных программ, однако многие механизмы (например, распределение полномочий) здесь отсутствуют в принципе. «Классическая» «МакОС». Под торговой маркой «МакОС» вплоть до версии «МакОС X» (исключительно) компания «Эппл Компьютерз» поставляла самодельные ОС для своих ПК «Эппл Макинтош», до сих пор находящиеся в эксплуатации. Под «классическую» «МакОС» перенесено лишь небольшое количество свободных программ. Следует заметить, что сегодня «Эппл» под той же торговой маркой поставляет «МакОС X» — «бутерброд» из свободной открытой ОС «Дарвин» и проприетарных графических компонентов; под «Дарвин» существуют (или легко осуществимы) переносы большей части свободных программ и пакетов. Старые ПК «Макинтош», ресурсов которых недостаточно для запуска «МакОС Х», могут быть модернизированы установкой на них «ГНУ/Линукс» соответствующей версии. 1.2 Практическая интеграция Сильными техническими сторонами открытых ОС, выгодно отличающими их от любых альтернатив в плане практической интеграции (разворачивания, поддержания в работоспособном состоянии, непротиворечивого расширения и наращивания), являются: поддержка широкого спектра аппаратных платформ (самыми «всеядными» являются системы на основе ядра «Линукс»); поддержка различных топологий многопользовательских систем: от совокупности независимых рабочих станций до многотерминальных систем, в том числе, включающих компьютеры на разных аппаратных платформах
4. Математичекие основы теории систем: анализ сигнального графа и синтез комбинационных схем
9. Философское введение в "Основы построения систем искусственного интеллекта"
10. Методические основы стоимостной оценки рабочих мест в банках
11. Законодательные основы защиты населения от радиации
12. Методические основы расчета стоимости имущества предприятий в целях стратегического управления
13. Теоретические и методические основы оценки состояния водных ресурсов в регионе
15. Методические основы анализа финансовой отчетности
Брелок для поиска ключей. 
Ножницы "Pigeon" для детских ногтей. 
Глобус "Зоогеографический детский", 250 мм. 18. Основы микропроцессорных систем
19. Математические основы теории систем
20. HR-бизнес-партнер — эффективная поддержка бизнеса
21. Основи сучасних систем мотивації персоналу підприємств харчування
25. Методические основы производственной физической культуры
27. Вода как информационная основа живых систем (обычная и необыкновенная вода)
29. Полная параллельная поддержка для систем планирования, основанных на случаях
30. Основы формальной логики (учебно-методическое пособие для студентов вечернего и заочного отделения)
32. Наукоемкие технологии, технопарки и технополисы - основа венчурного бизнеса
Тетрадь на резинке "Elements", А5, 120 листов, клетка, синяя. 
Стул детский (цвет: сиреневый). 
Магнитный театр "Три поросенка". 33. Основы построения телекоммуникационных систем
34. Исследование горячеломкости литейных сплавов на основе систем Al-Si, Al-Cu, Al-Si-Cu
35. Учебно-методический материал по курсу "Правовые основы и менеджмент земельного рынка"
36. Государственная поддержка малого бизнеса
37. Основы разработки учебно-методического комплекса по коммерческой географии
41. Билеты по прдмету ОСНОВЫ АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ за 1 семестр 2001 года
42. Основы организации вычислительных систем
43. Основы термодинамики неравновестных процессов и открытых систем
45. Философия правовой поддержки малого бизнеса
46. Основи роботи в системі символьної математики MATLAB 5.2
47. Теория основы построения вычислительных комплексов и систем
Обложки для переплета, А4, пластик, 150 мкм, прозрачные, 100 шт.. 
Отделитель косточек вишни "Mayer & Boch", 1,5 л, механический (арт. 25985). 
Сковорода-сотейник алюминиевая с антипригарным покрытием "Alpenkok" AK-1007/28N "Brown Marble", 28. 49. Бизнес-план как основа маркетингового исследования рынка
50. Маркетинг как основа современного бизнеса
51. Основы ресторанного бизнеса
52. Искусство продаж в XXI веке: творческое мышление как основа успешного бизнеса
53. Методологические основы бизнес-планирования
57. Разработка систем релейной защиты и автоматики основных элементов АЭС
58. Бизнес-план как основа инвестиционного проекта
59. Государственная финансовая поддержка малого бизнеса
61. Основы бизнеса
63. Поддержка малого и среднего бизнеса в Республике Казахстан
64. Сутність та еволюція економічних систем. Поняття та основа класифікації методів управління
Бортик Polini Basic (цвет: белый). 
Подушка "MediumSoft Стандарт", 70х70 см. 
Руль электронный "Я тоже рулю". 65. Совершенствование форм и методов поддержки малого и среднего бизнеса
66. Структура и алгоритмы работы спутниковых радионавигационных систем
67. Особенности искусственных спутников земли на примере спутниковых систем связи
68. Экологические основы устойчивости растений
69. Развертывание систем персонального радиовызова
74. Исследования режима защиты рабочих и служащих химического завода в условиях радиоактивного заражения
76. Подготовка населения в области защиты населения от ЧС
77. Способы защиты населения при радиоактивном и химическом заражении местности
78. Защита населения в чрезвычайных ситуациях
79. Защита населения в чрезвычайных ситуациях
80. Гамма – каротаж. Физические основы метода
Сумка - термоконтейнер Lubby для бутылочки (твердая), 22,5 см. 
Беговел "Funny Wheels Basic" (цвет: оранжевый). 
Набор для творчества "Топиарий. Нежность". 81. Социальная защита государственных служащих
82. Малый бизнес и налоговая политика
83. Правовые и организационные основы деятельности паспортно-визовой службы органов внутренних дел РФ
84. Становление системы социальной защиты государственных служащих в Российской Федерации
85. Правовые основы валютного регулирования и валютного контроля в Российской Федерации
90. Проблемы защиты авторского права в сфере web-журналистики Рунета
91. Юридические формы защиты прав потребителей
92. Гражданско-правовая защита чести, достоинства и деловой репутации
93. Гражданско-правовые способы защиты права собственности и ограниченных вещных прав
94. Сравнение договоров подряда и купли - продажи, форма расчета-инкассо, типы ведения бизнеса
95. Защита авторских прав в интернете
Комплект "Mobile" Раптор, прибор на батарейках и сменный картридж, 240 часов. 
Доска магнитно-маркерная "ECO", деревянная рамка, 40х60 см. 
Настольная игра "Каркассон. Королевский подарок". 97. Основы конституционного права Франции
98. Основы конституционного строя Великобритании
99. Правовые основы государственной службы в зарубежных странах
Совок большой. 
