Условия отбора 3 страница

Идентификация представляет собой ввод имени пользователя при входе в систему. Аутентификация – это процедура проверки системой подлинности личности пользователя.

Стандартным способом проверки подлинности является пароль. К более сложным методам аутентификации относятся сканирование радужной оболочки глаза, отпечатки пальцев.

Разграничение доступак элементам защищаемой информации представляет собой политику предоставления прав (привилегий или полномочий) на пользование базы данных в полном объеме или отдельных объектов внутри базы данных.

Привилегии или полномочия пользователей или групп пользователей – это набор действий (операций), которые они могут выполнять над объектами базы данных.

При определении прав могут быть два варианта. При первом варианте разные пользователи могут обладать разными правами доступа к одному и тому же объекту. При втором варианте каждому объекту данных присваивается некоторый классификационный уровень, а каждый пользователь обладает некоторым уровнем допуска. При этом доступом к определенному объекту данных обладают только пользователи с соответствующим уровнем допуска.

Пользователи могут быть объединены в специальные группы пользователей. Один пользователь может входить в несколько групп.

В последних версиях ряда коммерческих СУБД появилось понятие «роли». Роль – это поименованный набор полномочий. Существует ряд стандартных ролей, которые определены в момент установки сервера баз данных. Возможно создание новых ролей путем группировки в них произвольных полномочий. Введение ролей не связано с конкретными пользователями, поэтому роли могут быть определены и сконфигурированы до того, как определены пользователи системы. Пользователю может быть назначена одна или несколько ролей.

Криптографические методы защиты относятся к программным средствам защиты и основаны на зашифровании и расшифровании данных.

В шифре всегда различают два элемента: алгоритм и ключ. Ключ – это конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных. Наиболее распространены системы криптографической защиты данных с открытым ключом. В таких системах для зашифрования данных используется несекретный ключ, который доступен всем пользователям, шифрующим данные. Расшифрование данных осуществляется с помощью второго ключа, являющегося секретным и известным только получателю информации.

Важной характеристикой шифра, обеспечивающей защиту данных от несанкционированного доступа, является криптостойкость, под которой понимается стойкость шифра к дешифрованию. Она определяется периодом времени, необходимым для дешифрования. Дешифрование представляет собой процесс преобразования закрытых данных в открытые данные при неизвестном ключе и, возможно, неизвестном алгоритме.

Использование сканеров безопасности. Сканеры безопасности – представляют собой программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них уязвимостей, которые могут привести к компьютерным нарушениям. Принцип действия сканера заключается в моделировании действий взломщика. Основными пользователями таких систем являются системные администраторы и специалисты по безопасности баз данных.

На примере AppDetective рассмотрим функциональные возможности сканирующих средств. В настоящее время AppDetective поддерживает следующие платформы: MySQL, Oracle, Sybase, IBM DB2, Microsoft SQL Server, Lotus Notes/Domino, Oracle Application Server, Web Applications.

Основные функции данного продукта:

Сканирование – поиск всех имеющихся в заданной сети СУБД и занесение их в свою базу в виде иерархичной, древовидной структуры.

Выявление уязвимостей – проведение ряда проверочных тестов на определение того, каким образом нарушитель или неавторизированный пользователь может получить доступ к системе. В состав тестов входят, например, тест для проверки пароля на устойчивость к взлому, проверка на устойчивость к «отказу в обслуживании».

Аудит безопасности – это расширенная проверка конфигураций системы и потенциальных «дыр» в системе безопасности. Сканер в этом случае выступает в роли пользователя проверяемой системы и имеет доступ к внутренним настройкам системы. В состав тестов на этом этапе входят:

– проверка разрешения на доступ;

– проверка целостности приложения и операционной системы;

– проверка пароля на устойчивость к взлому.

Основные преимущества AppDetetective являются: защита корпоративных баз данных, интуитивно понятный Windows интерфейс, большое количество тестов, частое обновление базы уязвимостей, система распределенного управления.

11.4. Правовая охрана баз данных

Основным законодательным актом в Республике Беларусь, регламентирующим правовую охрану баз данных является Закон РБ «Об информатизации».

В статье 22 Закона сформулированы основные цели защиты баз данных:

– предотвращение утечки, хищения, утраты, искажения, подделки данных;

– предотвращение несанкционированных действий по уничтожению, модификации, копированию и блокированию данных;

– сохранение полноты, точности, целостности данных;

– обеспечение секретности, конфиденциальности информации, накапливаемой в базах данных;

– сохранение секретности, конфиденциальности документированной информации.

Статья 23. определяет права и обязанности субъектов по защите информационных ресурсов. Собственник информационной системы или уполномоченные им лица обязаны обеспечить уровень защиты документированной информации в соответствии с требованиями настоящего Закона и иных актов законодательства.

Информационные ресурсы, имеющие государственное значение, должны обрабатываться только в системах, обеспеченных защитой, необходимый уровень которой подтвержден сертификатом соответствия. Защита другой документированной информации устанавливается в порядке, предусмотренном ее собственником или собственником информационной системы.

Собственник или владелец информационной системы обязаны сообщать собственнику информационных ресурсов обо всех фактах нарушения защиты информации.

Статья 24 предусматривает необходимость сертификации технических и программных средств по защите информационных ресурсов. Технические и программные средства по защите информационных ресурсов подлежат обязательной сертификации в национальной системе сертификации Республики Беларусь органом сертификации.

Юридические лица, занимающиеся созданием средств по защите информационных ресурсов, осуществляют свою деятельность в этой сфере на основании разрешения органа, уполномоченного Президентом Республики Беларусь.

В статье 25 регламентируется роль участников информационных процессов в предупреждении правонарушений в сфере информатизации. Предупреждение действий, влекущих за собой нарушение прав и интересов субъектов правоотношений в сфере информатизации, установленных настоящим Законом и иным законодательством Республики Беларусь, осуществляется органами государственной власти и управления, юридическими и физическими лицами, принимающими участие в информационном процессе.

Владельцы информационных ресурсов и систем, создатели средств программно-технической и криптографической защиты документированной информации при решении вопросов защиты руководствуются настоящим Законом и нормативными актами специально уполномоченного государственного органа по защите информации.

Статья 26 определяет ответственность за правонарушения в сфере информатизации. За правонарушения в сфере информатизации юридические и физические лица несут ответственность в соответствии с законодательством Республики Беларусь.

Статья 27. предусматривает судебное разбирательство вопросов по защите прав субъектов правоотношений в сфере информатизации. Защита прав и интересов юридических и физических лиц, государства в сфере информатизации осуществляется судом, хозяйственным судом с учетом специфики правонарушений и причиненного ущерба.

В «Уголовном кодексе Республики Беларусь» в разделе ХII главе 31 «Преступления против информационной безопасности» в статьях 349 – 354 квалифицированы уголовно-наказуемые виды преступлений и определены меры наказания за их совершение. К уголовно наказуемым преступлениям относятся приведенные ниже виды преступлений.

В статье 349 «Несанкционированный доступ к компьютерной информации»:

1. Несанкционированный доступ к информации, хранящейся в компьютерной системе, сети или на машинных носителях, сопровождающийся нарушением системы защиты, повлекший по неосторожности изменение, уничтожение, блокирование информации или вывод из строя компьютерного оборудования либо причинение иного существенного вреда.

2. Несанкционированный доступ к компьютерной информации, совершенный из корыстной или иной личной заинтересованности, либо группой лиц по предварительному сговору, либо лицом, имеющим доступ к компьютерной системе сети.

В статье 350 «Модификация компьютерной информации»:

1. Изменение информации, хранящейся в компьютерной системе, сети или на машинных носителях, либо внесение заведомо ложной информации, причинившие существенный вред, при отсутствии признаков преступления против собственности.

2. Модификация компьютерной информации, сопряженная с несанкционированным доступом к компьютерной системе или сети, повлекшая по неосторожности крушение, аварию или иные тяжкие последствия.

В статье 351 «Компьютерный саботаж»:

1. Умышленное уничтожение, блокирование, приведение в непригодное состояние компьютерной информации или программы, либо вывод из строя компьютерного оборудования, либо разрушение компьютерной системы, сети или машинного носителя.

2. Компьютерный саботаж, сопряженный с несанкционированным доступом к компьютерной системе или сети, повлекший тяжкие последствия.

В статье 352 «Неправомерное завладение компьютерной информацией»:

1. Несанкционированное копирование либо иное неправомерное завладение информацией, хранящейся в компьютерной системе, или на машинных носителях, либо перехват информации, передаваемой с использованием средств компьютерной связи, повлекшие причинение существенного вреда.

В статье 353 «Изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети»:

1. Изготовление с целью сбыта либо сбыт специальных программных или аппаратных средств для получения неправомерного доступа к защищенной компьютерной системе или сети

В статье 354 «Разработка, использование либо распространение вредоносных программ:

1. Разработка компьютерных программ или внесение изменений в существующие программы с целью несанкционированного уничтожения. Блокирования, модификации или копирования информации, хранящейся в компьютерной системе, сети или на машинных носителях, либо разработка специальных вирусных программ, либо заведомое их использование, либо распространение носителей с такими программами.

В статье 355 «Нарушение правил эксплуатации компьютерной системы или сети»:

1. Умышленное нарушение правил эксплуатации компьютерной системы или сети лицом, имеющим доступ к этой системе или сети, повлекшее по неосторожности уничтожение, блокирование, модификацию компьютерной информации.

Уголовным кодексом предусмотрены следующие меры наказания за преступления против информационной безопасности в зависимости от причиненного вреда: штраф, лишение права занимать определенные должности, арест на срок от трех до шести месяцев, ограничение свободы на срок до пяти лет, лишение свободы на срок до десяти лет.

 

[J1]Изменено 17.11.11

[J2]Изменено 17.11.11.

[J3]Добавлено

17.11.11.

[J4]Добавлено 17.11.11.

[J5]Редакция

17.11.11.

[J6]Добавлено 17.11.11.

[J7]Поменялись местами абзацы 17.11.11.