metBD (1084482), страница 18

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 18)

Результатом ознакомления с сопроводительной документацией пакета должен стать план действий по его установке. В этом плане должны быть отражены любые изменения, которые могут повлиять на базу данных и приложения, а также предложены решения по их реализации. В некоторых случаях может потребоваться, чтобы программисты выполнили поиск в тексте программ определенных конструкций или осуществили какие-либо иные подготовительные действия. Иногда требуемые изменения могут оказаться минимальными  после модернизации системы достаточно будет просто перекомпилировать некоторые из программ. В других случаях могут потребоваться более существенные подготовительные действия  например, изменение типа используемых данных. Однако, какие бы изменения не потребовались, все они должны быть учтены и для каждого из них должна быть дана оценка времени выполнения с учетом объема всего имеющегося программного обеспечения. Главная задача АБД  обеспечить плавный и безболезненный переход от старой версии системы к новой.

В функционирующей системе, которая должна быть постоянно доступна на протяжении всего рабочего времени, установки любых пакетов модернизации обычно выполняются во внерабочее время  например, в выходные дни. Непосредственно перед выполнением модернизации должна быть сделана полная резервная копия существующей системы  на случай возможного отказа. Затем выполняется установка пакета модернизации, а в данные и программы вносятся все необходимые изменения, сопровождаемые требуемыми процедурами тестирования. Только после полного завершения указанных процедур система может быть запущена в работу с использованием реальных данных.

Изменения, вносимые в программы СУБД в результате модернизации, могут оказать влияние на любые используемые прикладные программы, созданные различными программистами. Поэтому список необходимых изменений должен быть либо разослан всем заинтересованным лицам, либо открыт для всеобщего доступа. Некоторые из вносимых изменений могут представлять собой интерес, если они связаны, например, с исправлением замеченных ранее ошибок и позволяют удалить использовавшиеся до этого искусственные способы их обхода. Кроме того, желательно, чтобы сопроводительная документация включала список известных ошибок с указанием использовавшихся путей их обхода (“заплат”). Эти сведения также должны быть разосланы всем заинтересованным лицам или сделаны общедоступными.

Контрмеры  некомпьютерные средства контроля

Некомпьютерные средства контроля включают такие методы, как выработку ограничений, соглашений и других административных мер, не связанных с компьютерной поддержкой. Мы рассмотрим такие некомпьютерные средства контроля, как:

 меры обеспечения безопасности и планирование защиты от непредвиденных обстоятельств;

 контроль за персоналом;

 защита помещений и хранилищ;

 гарантийные соглашения;

 договора о сопровождении;

 контроль за физическим доступом.

Меры обеспечения безопасности и планирование защиты от непредвиденных обстоятельств

Понятия выработки мер обеспечения безопасности и планирования защиты от непреднамеренных обстоятельств существенно отличаются друг от друга. Первое предполагает исчерпывающее определение средств, посредством которых будет обеспечиваться защита вычислительной системы данной организации. Второе состояние в определении методов, с помощью которых будет поддерживаться функционирование организации в случае возникновения любой аварийной ситуации. Каждая организация должна подготовить и реализовать как перечень мер обеспечения безопасности, так и план защиты от непредвиденных обстоятельств.

Меры обеспечения безопасности

В документе по мерам обеспечения безопасности должно быть определено следующее :

 область деловых процессов организации, для которой они устанавливаются;

 ответственность и обязанности отдельных работников;

 дисциплинарные меры, принимаемые в случае обнаружения нарушения установленных ограничений;

 процедуры, которые должны обязательно выполняться.

Процедуры, определяемые как меры обеспечения безопасности, могут потребовать разработки других процедур, определение которых выходит за рамки данного документа. Например, одно из установленных в системе ограничений может заключаться в требовании, чтобы доступ к прикладным приложениям системы могли получать только авторизированные пользователи, однако способ реализации этого требования в данном документе не конкретизируется. Для исчерпывающего определения методов авторизации различных пользователей потребуется разработать отдельный набор процедур. Кроме того, дополнительно может быть подготовлен стандарт выполнения процедуры авторизации, устанавливающий, например, принятый формат паролей (если они используются в системе). В подобном случае документ с определением мер обеспечения безопасности постоянно сохраняет свою значимость, хотя может потребоваться его периодический пересмотр, тогда как выполняемые процедуры реализации этих требований должны модифицироваться при каждом внесении изменений в систему или модернизации используемой технологии. Пример перечня мер обеспечения безопасности можно найти в работе Герберта (Herbert, 1990).

Планирование защиты от непредвиденных обстоятельств

План защиты от непредвиденных обстоятельств разрабатывается с целью подробного определения последовательности действий, необходимых для выхода из различных ситуаций, непредусмотренных процедурами нормального функционирования системы  например, в случае пожара или диверсии. В системе может существовать единый план защиты от непредвиденных обстоятельств, а может быть несколько  каждый по отдельному направлению. Типичный план защиты от непредвиденных обстоятельств должен включать такие элементы, как :

 сведения о том, кто является главным ответственным лицом и как можно установить с ним контакт;

 информация о том, кто и на каком основании принимает решение о возникновении необычной ситуации;

 технические требования к передаче управления резервным службам, которые могут включать следующее :

 сведения о расположении альтернативных сайтов;

 сведения о необходимом дополнительном оборудовании;

 сведения о необходимости дополнительных линий связи.

 организационные требования в отношении персонала, который осуществляет передачу управления резервным службам;

 сведения о любых внешних источниках, в которых можно будет получить помощь, например, о поставщиках оборудования;

 сведения о наличии страховки на случай данной конкретной ситуации.

Любой разработанный план защиты от непредвиденных обстоятельств должен периодически пересматриваться и тестироваться на предмет его осуществимости.

Контроль за персоналом

Создатели коммерческих СУБД возлагают всю ответственность за эффективность управления системой на ее пользователей. Поэтому, с точки зрения защиты системы, исключительно важную роль играют отношение к делу и действия людей, непосредственно вовлеченных в эти процессы. Важность этого замечания подчеркивается тем, что основной риск в любой организации связан с действиями, производимыми сотрудниками самой организации, а не с возможными внешними угрозами. Отсюда следует, что обеспечение необходимого уровня контроля за персоналом позволяет минимизировать возможный риск.

Защита помещений и хранилищ

Основное оборудование системы, включая принтеры, если они используются для печати конфиденциальной информации, должно размещаться в запираемом помещении с ограниченным доступом, который должен быть разрешен только основным специалистам. Все остальное оборудование, особенно переносное, должно быть надежно закреплено в месте размещения и снабжено сигнализацией. Однако условие держать помещение постоянно запертым может оказаться нежелательным или неосуществимым, поскольку работникам может требоваться постоянный доступ к установленному там оборудованию.

Выше, при обсуждении вопросов резервного копирования, уже упоминалось о необходимости иметь защищенное помещение, предназначенное для хранения носителей информации. Для любой организации жизненно необходимо иметь подобное надежно защищенное место, в котором будут храниться копии программ, резервные копии системы, прочие архивные материалы и документация. Предпочтительно, чтобы это помещение находилось на площадке, отличной от места расположения основного оборудования системы. Все носители информации, включая диски и магнитные ленты, должны храниться в несгораемых сейфах. Аналогичным образом должна сохраняться и документация. Все, что хранится в подобном помещении, должно быть зарегистрировано в специальном каталоге, с указанием даты помещения носителя или документа на хранение. Периодичность, с которой новые материалы будут помещаться в подобный архив, должна регламентироваться разработанными процедурами копирования. Кроме того, организации могут использовать и внешние хранилища, периодически доставляя туда вновь созданные резервные копии и другие архивные материалы, причем частота доставки также должна определяться установленными нормами и процедурами. Существуют независимые компании, специализирующиеся на организации внешних хранилищ информации. Они предоставляют свои услуги многочисленным компаниям-клиентам.

Гарантийные договора

Гарантийные договора представляют собой юридические соглашения в отношении программного обеспечения, заключаемые между разработчиками программ и их клиентами, на основании которых некоторая третья фирма обеспечивает хранение исходного текста программ приложения, разработанного для клиента. Это одна из форм страховки клиентов на случай, если компания-разработчик отойдет от дел. В этом случае клиент получит право забрать исходные тексты программ у третьей фирмы, вместо того чтобы остаться с приложением, лишенным всякого сопровождения. Данная область юриспруденции считается одной из тех, в которых очень часто допускаются ошибки и различные недооценки. По мнению некоторых авторов (Revella, 1993), 95% всех гарантийных договоров по программному обеспечению не достигает своей изначальной цели. Чтобы избежать ошибок, при заключении подобных соглашений необходимо тщательно продумывать следующее:

 тип помещаемых на хранение материалов;

 процедуры обновления и поддержания актуальности этих материалов;

 сведения о любом используемом программном обеспечении от сторонних производителей;

 необходимость проведения верификации помещенных на хранение материалов;

 условия, при которых материалы могут быть переданы клиенту;

 четкая регламентация процесса передачи сохраняемых материалов.

Договора о сопровождении

Для всего используемого организацией оборудования и программного обеспечения сторонней разработки или изготовления обязательно должны быть заключены соответствующие договора о сопровождении. Установленный интервал ожидания ответа в случае любого отказа или ошибки зависит от важности отказавшего элемента для нормального функционирования всей системы. Например, если произойдет отказ сервера базы данных, желательна немедленная реакция обслуживающей организации с целью скорейшего возвращения системы в работоспособное состояние. Однако в случае отказа принтера договор вполне может предусматривать устранение неисправности в течение рабочего дня или даже двух  предполагается, что всегда найдется подходящий резервный принтер, который можно будет использовать до устранения аварии. В некоторых случаях договором может быть предусмотрена временная замена неисправного оборудования на период ремонта отказавших технических средств.

Контроль за физическим доступом

В этом разделе мы кратко рассмотрим, какие методы могут быть использованы для организации контроля за физическим доступом к оборудованию и т.д. В целом, все методы контроля могут быть разделены на внешние и внутренние.

Внутренний контроль

Этот метод контроля используется внутри отдельных зданий и предназначен для управления тем, кто будет иметь доступ в определенные помещения этих зданий. Например, наиболее “ответственные” помещения(скажем, те, в которых установлены основные компьютеры) могут быть оборудованы системами входного контроля. В подобных системах могут использоваться самые различные принципы  например, специальные ключи, карточки, кодовые замки или средства указания пароля. Наиболее сложные комплексы предполагают использование отпечатков пальцев, снимков радужной оболочки глаз, фиксацию особенностей голоса или почерка. Однако в настоящее время очень не многие коммерческие организации применяют столь изощренные методы контроля  в основном из-за их высокой стоимости.

Внешний контроль

Данный метод контроля применяется вне строений и предназначен для ограничения доступа на площадку или в отдельные здания. Для наблюдения за территорией может использоваться специальная охрана, в обязанности которой входит контроль входа/выхода персонала и посетителей организации. Следует отметить, что основной задачей любых механизмов контроля за физическим доступом является обеспечение их эффективности, однако требуемая эффективность должна достигаться без создания дополнительных препятствий персоналу в выполнении их служебных обязанностей. В противном случае возрастает опасность поиска персоналом всевозможных путей обхода установленных требований.

Защита ПК

В отличии от больших компьютерных систем, защита вычислительных комплексов, состоящих из обычных персональных компьютеров, может представлять собой серьезную проблему, поскольку их перемещение не для кого не составит труда. Общепринятые меры контроля доступа, применяемые для мейнфреймов и миникомпьютеров, мало подходят для систем, состоящих из ПК. Основное затруднение состоит в том, что подобные компьютеры обычно располагаются непосредственно на рабочих местах сотрудников. Поэтому какой-либо специальный контроль за физическим доступом к этим устройствам, как правило, отсутствует  за исключением мер, принимаемых для защиты всего здания или отдельных его помещений.

Характеристики

Список файлов книги