аплет і цей аплет виконався на його комп'ютері. Тому повинні бути зроблені такі заходи безпеки, які б запобігали таким випадкам.

Низький ризик

Користувачі повинні бути проінформовані про ризики інтерактивних програм, і про те, як конфігурувати свої браузеры так, щоб запобігти завантаженню аплетів.

Середній ризик

Якщо це можливо, брандмауэыр повинні бути конфігуровані так, щоб блокувати завантаження аплетів із зовнішніх джерел і завантаження аплетів з внутрішніх довірених мереж зовнішніми користувачами, якщо тільки для захисту від недовірених джерел не використовується технологія аутентифікації.

Користувачі повинні конфігурувати свої браузеры так, щоб завантаження аплетів було можливе тільки з надійних джерел. Якщо це неможливо, то браузеры слід конфігурувати так, щоб завантаження аплетів було заборонене.

При необхідності слід дозволити завантажувати аплети тільки в дослідницьких мережах, але не в тих, які використовуються для забезпечення роботи організації.

Високий ризик

Використання інтерактивних програм заборонене. Веб-браузери, і по можливості брандмауери, повинні бути конфігуровані так, щоб завантаження аплетів було заборонене. Співробітники відділу автоматизації повинні проводити аудирование конфігурації браузеров. Недотримання цієї політики повинне приводити до адміністративних покарань.

Ліцензування програм

Інтернет дозволив багатьом компаніям використовувати нові шляхи розповсюдження програм. Велике число компаній дозволяють користувачам завантажувати тестові версії їх продуктів, іноді демо-версии, або версії, які працюють обмежений час. Проте, багато компаній застосовують підхід

shareware при якому можна завантажувати повнофункціональні версії програм для тестування, а користувач повинен реєструватися і заплатити, якщо він використовуватиме програму в комерційних цілях.

Низький ризик

Слід дотримувати правила ліцензій виробників програм для всіх комерційних програм, завантажених по Інтернету. Тестові версії програм повинні бути видалені після закінчення періоду тестування, або організацією повинна бути придбана легальна версія програми.

Средній-високий ризик

Комерційні програми забороняється завантажувати через інтернет без дозволу системного адміністратора. Всі програми, використовувані на комп'ютерах організації, можуть бути встановлені тільки ситсемными адміністраторами відповідно до правил ліцензій. Співробітники відділу автоматизації повинні періодично інспектувати комп'ютери на предмет дотримання правил ліцензій і відсутності недозволених програм. При виявленні фактів установки неліцензійних і недозволених програм винні будуть покарані.

5.3. Шифрування

Шифрування - це основний засіб, що забезпечує конфіденційність інформації, що посилається по Інтернету. Шифрування може використовуватися для захисту будь-якого трафіку, такого як електронні листи або завантажувані файли. Крім того, шифрування може захистити інформацію при її зберіганні, наприклад в базах даних, що знаходяться на комп'ютері, фізичну безпеку якого не можна забезпечити (наприклад, на ноутбуку співробітника у відрядженні).

При використанні шифрування виникає ряд адміністративних проблем:

Уряд США зараз наклав обмеження на експорт сильних криптографічних алгоритмів, якими зараз вважаються системи шифрування з ключем довше 40 битий, що не дозволяють відновити ключ. Усередині США немає обмежень на використання шифрування. Але для використання його в зарубіжних країнах або в мережах, частина яких знаходиться за кордоном, потрібно отримати дозвіл на експорт. Крім того, деякі країни, такі як Франція і Китай, мають свої власні обмеження на використання шифрування. Тому в кожному випадку треба

ретельно розбиратися, чи не будуть порушені закони іншої країни.

Здатність керівництва організації контролювати внутрішні канали зв'язку або аудировать свої комп'ютерні системи залежить від використання шифрування. Якщо службовець шифрує посиланий електронний лист, або жорсткий диск на своєму комп'ютері, то системні адміністратори не зможуть провести аудит таких повідомлень і файлів. Крім того, при втраті ключів для розшифровки, дані можуть бути втрачені назавжди. Якщо вашій організації потрібний подібний контроль або гарантії відновлення даних, то політика повинна вимагати в обов'язковому порядку використання систем шифрування, що підтримують відновлення ключів.

Існує велике число алгоритмів шифрування і стандартів довжин ключів. Політика повинна вимагати використання алгоритмів, які вже достатньо довго використовуються і довели на практиці, що вони забезпечують безпеку даних.

Рисунок 3.1- Схема передавання ключів для шифрування даних

Довжина ключів шифрування повинна визначатися на основі важливості шифрованих даних. Як правило, в даний час ключі коротші, ніж 40 битий, можуть використовуватися тільки в корпоративній мережі за брандмауером. У Інтернеті провідні криптографи рекомендують використовувати ключі з довжиною не менше 75 бітний - але краще завдовжки 90 битий. DES використовує 56 битий, які будуть прийнятні тільки на рік-два. NIST розробляє новий стандарт посиленого шифрування. Поки ж рекомендується потрійний DES, що має ефективну довжину ключа 112 бітний .

Загальна політика для шифрування

Для забезпечення гарантій узгодженого використання шифрування політика повинна встановити стандарти, яким повинні задовольняти системи шифрування, використовувані в організації, явно специфицировав алгоритми і їх параметри. Для забезпечення взаємної працездатності систем і скорочення витрат, повинні бути вибрані стандартні продукти. Хоча на ринку є велике число комерційних продуктів шифрування, організаціям слід розуміти, що шифрування приведе до

появи додаткових витрат. Безпечна генерація, зберігання і розповсюдження ключів в організації, а також забезпечення гарантій взаємної працездатності, і відновлення ключів зажадає значних ресурсів. (Як правило, відновлення ключів неактуальне для Інтернету, окрім організацій з високим рівнем риски, але ті ж алгоритми швидше за все використовуватимуться при зберіганні інформації).

Рисунок 3.2 – Схема шифрування даних

Середній-високий

Для ...(перерахуєте типи інформації) повинне використовуватися шифрування при їх зберіганні в небезпечних місцях або передачі по

відкритих мережах, таким як Інтернет. Шифрування будь-якої іншої інформації організації повинне здійснюватися тільки після отримання письмового дозволу на це. При використанні шифрування в організації повинні застосовуватися тільки затверджені в організації стандартні алгоритми і продукти, що їх реалізовують. Для шифрування конфіденційної інформації мінімально допустимою довжиною ключа є 56 битий - рекомендованою довжиною є 75 битий.

Безпека системи шифрування дуже залежить від секретності використовуваних ключів шифрування - порядок