Средства

Как только цели намечены, мы можем взглянуть на проблему с точки зрения ИТ-индустрии. Средства – это принципы делового и инженерного характера, используемые, чтобы достичь целей; это болты и гайки защищенной службы. В то время как цели по большей части ориентированы на конечного пользователя, средства – это внутренние принципы в рамках компаний. Считайте, что цели – это ответ на вопрос, что осуществляется, а средства – как осуществляется.

Средства	Деловые и инженерные принципы, позволяющие поставщику систем добиваться достижения целей
Защищенность	Предприняты шаги для защиты конфиденциальности, целостности и готовности к работе данных и систем.
Конфиденциальность	Данные о пользователе никогда не собираются и не передаются другим людям и организациям без его согласия. Конфиденциальность достигается в случае сбора, хранения и использования информации в соответствии с «Принципами честного использования информации» (Fair Information Practices).
Готовность к работе	Система доступна и готова к использованию при необходимости.
Управляемость	Систему легко установить и ей легко управлять – с учетом ее размера и сложности (масштабируемость⁵, эффективность и экономичность рассматриваются как элементы управляемости).
Точность	Система правильно выполняет свои функции. Результаты расчетов не содержат ошибок, и данные защищены от потери и повреждения.
Удобство использования	С программным обеспечением легко работать, и оно отвечает потребностям пользователя.
Готовность помочь	Компания берет на себя ответственность за проблемы и предпринимает меры по их устранению. Клиентам оказывается помощь в планировании приобретения продукта, его установке и работе с ним.
Прозрачность	Компания открыто ведет свои дела с клиентами. Ее побуждения ясны, она держит свое слово, и клиенты знают, какова их роль в операциях и взаимодействиях с компанией.

Вот некоторые примеры:

· Защищенность. Система может быть спроектирована так, чтобы использовать шифрование по алгоритму triple-DES⁶ для важных данных, например паролей, перед сохранением их в базе данных и протокол SSL⁷ – для передачи информации по Интернету.

· Конфиденциальность. Такие технологии и стандарты, как P3P (Platform for Privacy Preferences – «Платформа для индивидуальных настроек конфиденциальности»), позволяют пользователям быть в курсе того, как собираются и используются их данные, и управлять этим процессом. В то же время Microsoft установила ясные принципы обеспечения конфиденциальности и ряд правил, которым следует в своей работе.

· Готовность к работе. Операционная система выбирается по принципу максимизации среднего времени между отказами (Mean Time Between Failures, MTBF). Для служб должны быть определены и объявлены задачи функционирования, стандарты и правила обеспечения работоспособности системы.

· Управляемость. Система проектируется настолько самоуправляющейся, насколько это целесообразно. Предусматривается возможность установки исправлений и программных обновлений при минимальном участии пользователя.

· Точность. Схема системы включает в себя RAID-массивы⁸, достаточную избыточность и другие средства для уменьшения потерь и повреждений данных.

· Удобство использования. Интерфейс пользователя не запутан и интуитивен. Предупреждения и окна диалога полезны, а сообщения хорошо сформулированы.

· Готовность помочь. Контроль качества продукта проводится, начиная с самых ранних стадий. Руководители ясно дают сотрудникам понять, что надежность и безопасность важнее, чем богатый набор функций или дата начала поставок. Службы постоянно находятся под наблюдением, и предпринимаются меры, если их работа в чем-то не соответствует поставленным задачам.

· Прозрачность. Контракты между компаниями составляются как соглашения, ведущие к взаимной выгоде, а не ради возможности извлечь максимальную краткосрочную прибыль для одной из сторон. Компания открыто и честно ведет диалог со всеми своими акционерами.

Исполнение – это то, каким образом действует организация, чтобы воплотить в жизнь составляющие, необходимые для защищенной информационной системы. Здесь есть три аспекта: установки, реализация и подтверждения. Установки – это корпоративные и законодательные принципы, задающие требования к проектированию, созданию и поддержке продукта. Реализация – это бизнес-процесс, претворяющий в жизнь заданные установки. Подтверждения – это механизм, при помощи которого мы удостоверяемся, что реализация привела к осуществлению установок.

Вот примеры:

Установки	o Внутренние правила, принципы, директивы и критерии эффективности o Контракты и обязательства перед клиентами, включая Соглашения об уровне сервиса (Service Level Agreements, SLAs). o Корпоративные, отраслевые и нормативные стандарты o Государственные законы, правила и нормы
Реализация	o Анализ рисков o Методы разработки, включая проектирование, кодирование, составление документации и тестирование o Теоретическое и практическое обучение o Характер ведения бизнеса o Методы маркетинга и продаж o Методы работы, включая развертывание, сопровождение, продажу и поддержку, а также управление рисками o Воплощение установок и разрешение споров
Подтверждения	o Внутренняя оценка o Аккредитация третьими сторонами o Внешний аудит

Эту проблему можно решить, только работая в двух параллельных направлениях.

Первое направление – это текущие проблемы, то, о чем люди читают и беспокоятся каждый день. Мы должны заняться известными насущными проблемами и укрепить известные слабые места. Таким образом мы также сможем узнать о более фундаментальных проблемах. Мы должны быть как можно лучше осведомлены о том, что происходит на самом деле, а также о том, что мы можем и что не можем исправить в рамках существующих систем.

Частично тревога пользователей вызвана тем, что в настоящее время использование персональных компьютеров распространяется на те сферы, которые прежде не вызывали беспокойства. Проще всего сосредоточить внимание на таких областях, как банки и банковские услуги, где подобные проблемы хорошо известны и имеют давнюю историю.

Хотя предстоит проделать много работы по постепенному улучшению существующих систем, эти усилия не решат фундаментальных проблем, некоторые из которых описаны в следующей главе.

Компьютерной индустрии необходимо выявить и решить самые насущные проблемы и постепенным образом внедрить эти решения в уже имеющиеся огромные системы. Предстоит долгий технологический цикл замены, в ходе которого важная инфраструктура, от которой зависит общество, постепенно замещается новыми улучшенными компонентами. Раз эти системы уже существуют, люди не могут просто выбросить их в окно и начать с нуля. Таким образом, мы должны выявить слабые места в наиболее важной инфраструктуре и имеющихся системах, а затем в первую очередь обновить их, обеспечив при этом построение новых систем на основе разумных принципов.

<== предыдущая лекция	\|	следующая лекция ==>
Модель защищенных информационных систем	\|	Сложность обработки данных

Поделиться с друзьями:

Дата добавления: 2014-01-07; Просмотров: 230; Нарушение авторских прав?; Мы поможем в написании вашей работы!

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление

Генерация страницы за: 0.01 сек.