Разработка систем безопасности
Вся детальная информация тут:. Кабель КГ - детальное описание на сайте!          

Анализ данных защиты

Любые наши действия на компьютерах и в сетях вызывают либо перемещение, либо обработку информации. Каждая компания, организация и правительственное учреждение занимаются сбором и обработкой данных независимо от своих функций. Даже промышленные предприятия учитывают важные аспекты обработки данных в своих операциях, включая ценообразование, автоматизацию рабочих цехов и инвентаризационный контроль. Работа с данными играет настолько важную роль, что при разработке правил инвентаризации ресурсов необходимо, чтобы все лица, принимающие участие в их разработке, четко понимали структуру и характер использования данных (а также условия их хранения).

Обработка данных

Каким образом обрабатывается информация? При разработке правил следует учитывать множество аспектов, касающихся обработки информации. Необходимо определить, каким образом будет осуществляться обработка данных и как будет поддерживаться целостность и конфиденциальность данных. Помимо


обработки информации необходимо рассмотреть, каким образом будет осуществляться аудит этой информации. Следует помнить, что данные являются источником жизненной силы организации, так что необходимо иметь средства наблюдения за состоянием этих сил в системе.

А как насчет использования данных третьей стороны, которые могут быть конфиденциальными и запатентованными? Большинство источников информации связаны соглашениями о совместном использовании и контроле информации, которые входят в условия приобретения данных. При учете информационной базы организации в инвентаризационных документах должны быть учтены внешние службы и прочие источники информации. В инвентаризационных документах также необходимо определить, кто работает с данными и на каких условиях собираются и. возможно, распространяются эти данные.

Учет и обработка внешних данных
Данными от внешних источников может являться любая информация, предоставленная источником вне компании. Всякий раз, когда эти данные поступают, они сопровождаются соглашениями об авторских правах и конфиденциальности, в которых указывается, как использовать эту информацию. Независимо от того, являются ли эти данные обычной информацией или последней версией программного продукта, необходимо предусмотреть механизмы для соблюдения соглашений, согласно которым приобретаются и используются эти данные.
Одним из довольно сложных вопросов является сбор информации из источников с общедоступной информацией, которая при работе объединяется с другой информацией. Для служащих не составляет труда вырезать и вставлять информацию с Web-узлов и других источников во внутреннюю документацию. Поскольку согласно стандартам законного использования это вполне легитимно, служащие должны сопровождать эту информацию соответствующей атрибутикой, особенно, если эта информация цитируется дословно. Они, конечно, должны сами это знать. Тем не менее, это должно быть установлено правилами и быть включено в программу предупредительной безопасности.

Поскольку информацию, используемую организацией, используют совместно и другие компании, организация может также захотеть совместно использовать их информацию. Независимо от того, является ли это соглашением о партнерстве или каким-то иным видом деловых отношений, необходимо обеспечить механизмы защиты рассредоточенных данных или технологий, которые передаются в качестве интеллектуальной собственности. В разрабатываемые правила информационной безопасности могут быть включены следующие пункты, касающиеся защиты рассредоточенной интеллектуальной собственности.

  • Использование информации компании в неделовых целях
  • Определение требований, касающихся использования интеллектуальной собственности
  • Передача информации третьей стороне
  1. 1. Соглашения о конфиденциальности
  2. 2. Полностью открытая информация
  • Защита открытой информации

Довольно сложно предугадать, как сложатся обстоятельства бизнеса, и что можно разглашать и на каких условиях, но в правилах должны быть учтены эти процессы. Один из способов выяснить их влияние на политику безопасности заключается в том, чтобы разобраться, каким образом соблюдаются уже существующие соглашения. В качестве выполнения этапа инвентаризации адвокаты, работающие в комиссии, могли бы собрать все эти соглашения и замечания и обсудить их на рабочих совещаниях. Пользуясь такой информацией, можно разработать правила защиты передаваемой информации и технологий компании в виде руководства пользователя.

Обычно трудно разработать подобное руководство из-за необходимости предварительно классифицировать информацию. Одним из широко распространенных методов является использование защитных меток. Несмотря на то, что использование защитных меток несовместимо со всеми операционными системами, базами данных и прикладным программным обеспечением, разработчики руководства должны определить, каким образом маркировать данные согласно их уровням защиты. Это оказывается необходимым во многих случаях. В частности, персонал, работающий с информацией здравоохранения, является кандидатом номер один для маркировки защиты.

Персонал и данные персонала

Организация может набирать персонал и собирать информацию о персонале различными способами. Эти способы затрагивают и общение по электронной почте, в процессе которого собирается информация с WеЬ-узлов. Компании, которые занимаются продажей товаров и услуг, могут собирать данные о клиентах на основе заказов/входных сообщений или звонков в отдел обслуживания покупателей. Даже объявления о продаже или наведение справок потенциальными покупателями могут дать информацию об отдельном лице или компании. Независимо от того, каким образом приобретены эти данные, для каждого типа данных должны быть сформулированы правила, касающиеся использования этих данных.

Политика секретности и государственная политика в Соединенных Штатах
В то время, когда писалась эта книга, создатели государственной политики в Вашингтоне обсуждали практику сбора и обработки данных о персонале в течение цикла их деловой деятельности. В недавних сводках новостей Федеральная торговая комиссия (FTC — Federal Trade Commission) рекомендовала, чтобы конгресс одобрил законы, требующие раскрывать, каким образом компании используют информацию, которую собирают путем доступа к Web-узлам. Этот вопрос встал на повестку после выяснения того, что многие Web-узлы не проводят политику секретности и не соблюдают правила информационной безопасности, описанные ниже.
В настоящее время директивы FTC о секретности представляют собой всего лишь рекомендации и не являются частью государственного законодательства. По просьбе FTC Конгресс рассмотрел эти предложения. По причине множества спорных вопросов прогнозируется, что обсуждение этих предложений затянется очень надолго.
Один из таких вопросов заключается в том, каким образом внедрять политику безопасности, когда ваша организация функционирует вне страны. Компании США, которые занимаются бизнесом в Европе, например, должны соблюдать строгие правовые нормы, охраняющие неприкосновенность личной жизни в Германии и Скандинавии. Несмотря на то, что эти нормы могут быть непопулярными внутри вашей организации, при работе вне Соединенных Штатов следование им может оказаться очень полезным. Подробная информация об этом содержится в Приложении Б.

Когда речь идет о соблюдении правил секретности, нужно установить, что не только организация должна обеспечивать соблюдение конфиденциальности информации, касающейся служащих или клиентов, но и сами служащие должны соблюдать права конфиденциальности организации. Правилами должно быть установлено, что все, что касается конфиденциальности, права собственности и другой подобной информации не может быть доступным без предварительного согласия.

Дать определение политики секретности не так легко. Поскольку правила представляют собой лишь указания, а не являются рабочими инструкциями, некоторые организации предпочитают определять, что необходимо защитить в рабочей документации. Один из наилучших способов разграничить эти понятия, заключается в том, чтобы выяснить, что должно быть включено в правила соблюдения секретности, и составить одну или несколько общих формулировок. Эти формулировки и являются правилами. Таким образом вопрос о том, как обрабатывать информацию, относится уже к области технологии.

Лицензирование COTS

Правила лицензирования коммерческого программного обеспечения COTS (commercial off-the-shelf) должны учитывать, что в большинстве случаев организации не владеют правом собственности на программное обеспечение или данные, регламентированным соответствующими лицензиями. Лицензии COTS разрешают использование программного обеспечения с определенными ограничениями. Это означает, что все правила COTS базируются на соблюдении существующих лицензий.

Индустрия программного обеспечения расширяет правоприменение процедур лицензирования с помощью альянса производителей коммерческого программного обеспечения BSA (Business Software Alliance). Используя обычно сведения, поступающие от недовольных служащих, BSA проводит аудит и докладывает о лицензионном статусе собственнику программного обеспечения. После расследования BSA поддерживает компанию в судебных процессах против компаний, нарушивших законы о хранении и использовании информации.

Строгие правила COTS предусматривают периодический просмотр лицензионных соглашений, нормативов на приобретение прав собственности, подтверждений лицензий на программное обеспечение, а также протоколов регистрации продукции, поступивших от производителей. Кроме того, должны быть разработаны правила, определяющие права копирования, а также установлен строгий контроль за этими ресурсами и отчетность за них.

Обсуждая политику COTS, автор не раз слышал одно широко распространенное суждение: "Лицензии на программное обеспечение являются собственностью и должны рассматриваться в качестве таковой". Эта идея не нова. Такие лицензии представляют собой материальную собственность с определенной стоимостью, которая может быть подсчитана и обесценена так же, как и станочный парк в рабочих цехах. Таким подходом будет доволен финансовый директор компании, если он или она будет учитывать стоимость программного обеспечения при определении суммы амортизационных отчислений на оборудование, установки и материалы.


Содержание раздела