- •Содержание
- •17.1. Проблемы защиты базы данных.
- •17.2. Контрмеры – компьютерные средства контроля.
- •17.2.1. Авторизация и аутентификация пользователей.
- •17.2.2. Представления данных.
- •17.2.3. Резервное копирование и восстановление.
- •17.2.4. Поддержка целостности.
- •17.2.5. Шифрование.
- •17.2.6. Вспомогательные процедуры.
- •17.3. Контрмеры – некомпьютерные средства контроля.
- •17.3.1. Меры обеспечения безопасности и планирования защиты от непредвиденных обстоятельств.
- •17.3.2. Контроль над персоналом.
- •17.3.3. Защита помещений и хранилищ.
- •17.3.4. Гарантийные договора.
- •17.3.5. Договора о сопровождении.
- •17.3.6. Контроль над физическим доступом.
- •17.4. Защита статистических баз данных.
- •17.5. Установка привилегий доступа пользователей в InterBase.
- •17.5.1. Предоставление привилегий пользователям (оператор grant).
- •17.5.2. Отмена предоставленных пользователям привилегий (оператор revoke).
- •Контрольные вопросы:
17.3. Контрмеры – некомпьютерные средства контроля.
Некомпьютерные средства контроля включают такие методы, как выработку ограничений, соглашений и других административных мер, не связанных с компьютерной поддержкой:
меры обеспечения безопасности и планирование защиты от непредвиденных обстоятельств;
контроль над персоналом;
защита помещений и хранилищ;
гарантийные соглашения;
договора о сопровождении;
контроль над физическим доступом.
17.3.1. Меры обеспечения безопасности и планирования защиты от непредвиденных обстоятельств.
Понятие выработки мер обеспечения безопасности и планирования от непредвиденных обстоятельств существенно отличаются друг от друга. Первое предполагает исчерпывающее определение средств, посредством которых обеспечиваться защита вычислительной системы данной организации. Второе состоит в определении методов, с помощью которых будет поддерживаться функционирование организации в случае возникновения любой аварийной ситуации. Каждая организация должна подготовить и реализовать как перечень мер обеспечения безопасности, так и план зашиты защиты от непредвиденных обстоятельств.
Меры обеспечения безопасности. В документе по мерам обеспечения безопасности рекомендуется определять следующее:
область деловых процессов организации, для которой они устанавливаются;
ответственность и обязанности отдельных работников;
дисциплинарные меры, принимаемые в случае обнаружения нарушения установленных ограничений;
процедуры, которые должны обязательно выполняться.
Планирование защиты от непредвиденных обстоятельств. План защиты от непредвиденных обстоятельств разрабатывается с целью подробного определения последовательности действий, необходимых для выхода из различных необычных ситуаций, не предусмотренных процедурами нормального функционирования системы – например, в случае пожара или диверсии. В системе может существовать единый план защиты от непредвиденных обстоятельств, а может быть несколько – каждый по отдельному направлению. Типичный план защиты от непредвиденных обстоятельств должен включать такие элементы, как:
сведения о том, кто является главным ответственным лицом и как можно установить с ним контакт;
информация о том, кто и на каком основании принимает о возникновении необычной ситуации;
технические требования к передаче управления резервным службам, которые могут включать следующее:
сведения о расположении альтернативных сайтов;
сведения о необходимом дополнительном оборудовании;
сведения о необходимости дополнительных линий связи.
организационные требования в отношении персонала, который осуществляет передачу управления резервным службам;
сведения о наличии страховки на случай данной конкретной ситуации.
Любой разработанный план зашиты от неопределенных обстоятельств должен периодически пересматриваться и тестироваться на предмет его осуществимости.
17.3.2. Контроль над персоналом.
Создатели коммерческих СУБД возлагают всю ответственность за эффективность управления системой на ее пользователей. По этому, с точки зрения защиты системы, исключительно важную роль играет отношение к делу и действия людей, непосредственно вовлеченных в эти процессы. Важность этого замечания подчеркивается тем, что основной риск в любой организации связан с действиями, производимыми сотрудниками самой организации, а не с возможными внешними угрозами. Отсюда следует, что обеспечение необходимого уровня контроля над персоналом позволяет минимизировать возможный риск.