Конфиденциальность информации - Юридические вопросы | MMGP
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 434,545 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение -  .
Вход через:  
Финансовое, гражданское, процессуальное и уголовное право. Законодательство. Налогообложение. Образцы документов. Статьи. Консультации. Вопросы и ответы. Долговые обязательства и страхование
Важная информация
Есть опыт работы с криптовалютами? Заведи Крипто-Блог и заработай на нём!
Торгуешь криптовалютой? Оставь свой отзыв о бирже!
Разбираешься в криптовалюте? Прими участие в акции Крипторайтер 2.0 (2-10 поинтов за 1000 символов)
Изменения в акции "Оплата за сообщения".
Как на одной публикации заработать $100
Ответить
 
Первый пост Опции темы
Сообщения прочитаны и/или просмотрены Сегодня, 14:19
Старый 22.08.2008, 11:41
#1
Заблокированный
 
Пол: Мужской
Адрес: Панама
Инвестирую в: sexusex.net ;)
Регистрация: 25.02.2008
Сообщений: 2,323
Благодарностей: 169
УГ: 0
КП: 0.000
Конфиденциальность информации

Конфиденциальность информации – обеспечение доступа к засекреченной информации только тому субъекту, которому она предназначена.

Предположим, Вы создали некоторое ПО, которое обеспечивает платный онлайновый сервис, и Вы опасаетесь, что это ПО может быть похищено хостером.
Или иначе - у Вас есть архив собственных фоторабот, который Вы продаете.
Возможно, у Вас на сервере просто сетевой диск с ценной базой данных, за которую конкуренты и мать родную продадут.

Итак, мы определились: есть некоторая информация, представленная в виде файла и требующая хранения на удаленном сервере для нормальной работы, но в то же время требующая защиты от несанкционированного доступа.

Классифицируем уровни возможных рисков:

1. Локальный несанкционированный доступ к комплектующим сервера.
2. Локальный несанкционированный доступ к серверу.
3. Удаленный несанкционированный доступ к серверу авторизированных пользователей.
4. Удаленный несанкционированный доступ к серверу неавторизированных пользователей.

Под локальным доступом к комплектующим сервера мы подразумеваем возможности физического похищения информации. Например, просто унести дисковый накопитель; возможность внедрить аппаратно-программный комплекс, направленный на получение конфиденциальной информации и прочее.
Это самый простой и эффективный способ похитить информацию. Следовательно, необходимо предусмотреть возможность активных или пассивных мер защиты. Например, срабатывание устройства, генерирующего электромагнитный импульс при вскрытии корпуса - это активная мера защиты. А вот специализированный контроллер диска, который не даст доступа к носителю без ввода пароля, или просто зашифрованный диск - пассивная.

Под локальным доступом к серверу мы подразумеваем физический доступ к серверу без вскрытия корпуса. Обладая физическим доступом, можно перезагрузить сервер, попытаться зайти в служебный режим работы, загрузиться с внешнего носителя, снять пароль в BIOS, поставить black box в разрыв между сетевой картой и витой парой и т.п.
Необходимо предусмотреть возможность входа сотрудников провайдера, однако в то же время необходимо исключить доступ к конфиденциальной информации.
Полностью блокировать загрузку с внешних носителей и локальный вход в служебном режиме работы невозможно. Следовательно, необходимо разделить аппаратно или программно сервер на публичную часть и приватную. Хорошим примером служит зашифрованный диск, представляющий собой обычный файл. Для того, чтобы его примонтировать, необходимо ввести пароль, причем это можно сделать удаленно. Естественно, что целостность публичной части должна быть под контролем. Как минимум, установка tripwire обязательна.

Удаленный доступ к системе авторизированными пользователями наиболее опасен, так как они имеют доступ к конфиденциальным данным и вопрос защиты тут зависит в большей степени от человеческого фактора, чем от технических средств защиты. Для защиты же от кражи пароля у авторизированного пользователя существует достаточно много методов, самый простой из которых - это изоляция пользователя в своей среде (chroot;jail) с эмуляцией прав суперпользователя в ней. Злоумышленник, похитивший пароли, сразу выдаст себя попытками скачать эксплоиты, компиляцией и прочими действиями.

Удаленный доступ к системе неавторизированными пользователями должен быть предотвращен с неменьшим старанием, чем остальные. Классическим примером кражи файла служит взлом через upload. Приведем пример.
Предположим, что на веб-сервере есть директория, куда пользователи могут сохранять файлы. Злоумышленник загружает туда специальный скрипт php, после чего обращается к нему с веб-сервера и получает полный доступ к содержимому сайта. Он может скачать все файлы, узнать доступ к базе данных из незашифрованного конфигурационного файла и пр.

Отметим, что защита должна быть комплексной и разрабатываться специалистами. И естественно, что это достаточно дорогое удовольствие.

Статья 9. Ограничение доступа к информации

1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.

4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.

7. Срок исполнения обязанностей по соблюдению конфиденциальности информации, составляющей профессиональную тайну, может быть ограничен только с согласия гражданина (физического лица), предоставившего такую информацию о себе.

8. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.
Баннер: {{ slide.title }}
zigzug вне форума  
Ответить
Войдите, чтобы оставить комментарий.
Сообщения прочитаны и/или просмотрены Сегодня, 14:19
Опции темы

Быстрый переход


Случайные темы
Аватар Telron
Your Fund Here - www.yourfundhere.cn
От Telron в разделе «Архив: Список проблемных/неактивных/закрытых программ»
Аватар Chiquita
Бизнес-леди MMGP-2015. История участницы Chiquita
От Chiquita в разделе «Истории бизнес-леди MMGP»
Аватар Allaire
Эксперимент, получаем сигналы с Zulutrade
От Allaire в разделе «Торговые сигналы»
Аватар kamol_mix
Facebook: мы принесли глобальной экономике четверть триллиона долларов
От kamol_mix в разделе «Новости в мире финансов и инвестиций»
Аватара нет
Cajutel поглотит 80 процентов интернет-пользователей в Западной Африке, это JIO 4G из
От saleenasmith в разделе «Инвестирование в криптовалюты»
Аватар EceHuH
прогнозы от EceHuH'a
От EceHuH в разделе «Прогнозы»
.     
Пользователей
434,545
Тем
504,163
Сообщений
12,657,817

mmgp.telegram