Гарантии по защите информации и безопасности
Компания «КСТ-М-3» - разработчик
программного комплекса «М-3» стала первой, получившей на свой продукт сертификат Гостехкомиссии при Президенте РФ еще на предыдущую версию системы – «М-2». Однако, впоследствии отказалась от этой сертификации на дальнейшие версии системы по следующей причине.
Программный продукт проходит сертификацию Гостехкомиссии на определенный момент времени с определенным составом кода системы. Принимая во внимание тот факт, что в любом программном продукте высока вероятность выявления ошибки, после ее исправления код системы изменяется, а значит и Сертификат Гостехкомиссии теряет свою силу, поскольку продукт уже иной, и, соответственно, его нужно вновь сертифицировать. А в варианте реализации доработок (будет необходимо, например, при внедрении модуля «Управление Производством») этот документ превращается практически в фикцию.
Принимая во внимание большой опыт работы с промышленными предприятиями высокой степени секретности (
ОКБМ им. Африкантова,
ВНИИА им. Духова,
ОАО «Тензор»,
НПО «Искра») и зная изнутри проблемы, возникающие при внедрении на таких предприятиях, одной из функций созданного Партнерства стало обеспечение секретности и безопасности данных с точки зрения соблюдения принятых на предприятиях норм. По условиям соглашения о Партнерстве в реализуемых проектах внедрения могут принимать участие специалисты группы внедрений предприятий-членов Партнерства, в том числе, имеющие необходимый допуск для работы.
Для обеспечения норм безопасности по защите информации работы по проекту можно разделить следующим образом:
- на этапе подготовки все работы по проекту, не предусматривающие допуск к «закрытой» информации предприятия, выполняются специалистами компании-разработчика, в т.ч. анализ базы Заказчика, если он предоставляется в зашифрованном виде;
- для работы непосредственно на предприятии могут привлекаться специалисты предприятий-членов Партнерства, имеющие соответствующие сертификаты и необходимый допуск для работы (анализ базы, в случае если она передается в открытом виде; проведение консультаций по сложным вопросам использования модулей Системы с непосредственной демонстрацией их работы на базе Заказчика).
Возможности безопасности, предоставляемые СУБД ORACLE
Необходимо принимать во внимание, что
СУБД Oracle предоставляет огромные возможности по защите информации и безопасности данных.
База данных Oracle9i обеспечивает защиту данных за счет усовершенствованного высокоизбирательного управления доступом, шифрования базы данных и применения новой технологии тонкого аудита.
В базе данных Oracle предусмотрены средства шифрования данных на основе технологии Oracle Advanced Security при передаче данных из базы и обратно. Встроенные возможности шифрования защищают наиболее ценную информацию даже от привилегированных пользователей, которые могут превысить свои полномочия, а также от злонамеренных пользователей, пытающихся прочесть файлы данных из операционной системы.
Тонкий аудит отслеживает действия базы данных, включая операторы, выполняемые пользователями, и возвращаемую информацию. Это предостерегает пользователей от превышения своих полномочий, так как они знают, что все их действия отслеживаются. Широкие возможности аудита также помогают выявить бреши в безопасности. Например, при обращении к секретным областям базы данных обработчик событий может отправить предупреждение администратору. Если действия пользователя будут признаны опасными, сеанс работы с базой данных будет немедленно прерван.
