б) периодический анализ (просмотр) содержимого ключевых полей или файлов данных для подтверждения их достоверности и целостности; в) сверка твердых (печатных) копий вводимых документов с вводимыми данными на предмет выявления любых неавторизованных изменений этих данных (необходимо, чтобы все изменения во вводимых документах были авторизованы); г) процедуры реагирования на ошибки, связанные с подтверждением данных; д) процедуры проверки правдоподобия вводимых данных; е) определение обязанностей всех сотрудников, вовлеченных в процесс ввода данных. 10.2.2 Контроль обработки данных в системе 10.2.2.1 Области риска Данные, которые были введены правильно, могут быть искажены вследствие ошибок обработки или преднамеренных действий. С целью обнаружения подобных искажений в функции систем следует включать требования, обеспечивающие выполнение контрольных проверок. Необходимо, чтобы дизайн приложений обеспечивал уверенность в том, что внедрены ограничения, направленные на минимизацию риска отказов, ведущих к потере целостности данных. Необходимо учитывать, в частности, следующее: - использование места в программах для функций добавления и удаления данных; - процедуры для предотвращения выполнения программ в неправильной последовательности или ее исполнения после сбоя на предыдущем этапе обработки данных (8.1.1); - использование корректирующих программ для восстановления после сбоев и обеспечения правильной обработки данных. 10.2.2.2 Проверки и средства контроля Выбор необходимых средств контроля зависит от характера бизнес-приложения и последствий для бизнеса любого искажения данных. Примеры встроенных средств обеспечения информационной безопасности могут быть: а) средства контроля сеансовой или пакетной обработки с целью выверки контрольных данных (остатков/контрольных сумм) в файлах данных после транзакционных обновлений; б) средства контроля входящих остатков с целью их проверки с предыдущими закрытыми остатками, а именно: 1) средства контроля "от выполнения - к выполнению"; 2) общие суммы измененных данных в файле; 3) средства контроля "от программы - к программе"; в) подтверждение корректности данных, генерированных системой (10.2.1); г) проверки целостности полученных или переданных данных (программного обеспечения) между центральным (главным) и удаленными компьютерами (10.3.3); д) контрольные суммы записей и файлов; е) проверки для обеспечения уверенности в том, что прикладные программы выполняются в нужное время; ж) проверки для обеспечения уверенности в том, что программы выполняются в правильном порядке и прекращают работу в случае отказа, и что дальнейшая обработка приостанавливается до тех пор, пока проблема не будет разрешена. 10.2.3 Аутентификация сообщений Аутентификация сообщений - это метод, используемый для обнаружения неавторизованных изменений или повреждений содержания переданного электронного сообщения. Аутентификация сообщений может быть реализована как аппаратным, так и программным путем в физическом устройстве аутентификации сообщений или в программном алгоритме. Аутентификацию сообщений необходимо использовать для бизнес-приложений, где должна быть обеспечена защита целостности содержания сообщений, например при электронных переводах денежных средств, пересылке спецификаций, контрактов, коммерческих предложений и прочих документов, имеющих большую важность, или других подобных электронных обменов данными. Чтобы определить, требуется ли аутентификация сообщений, необходимо выполнять оценку рисков безопасности и выбирать наиболее подходящий метод ее реализации. Аутентификация сообщений не предназначена для защиты содержания сообщения от неправомочного его раскрытия. Для этой цели при аутентификации сообщений могут использоваться криптографические методы (10.3.2 и 10.3.3). Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 все
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |