Статьи по теме
 

 

Рубка Угроз и Защитной Безопасности

1998 Закон об охране информации не был расширением к, а скорее замена, которая сохраняет существующие условия системы защиты данных, установленной в соответствии с 1984 законодательством. Закон должен был вступить в силу с 24 октября 1998, но был отсрочен до 1-ого марта 2000.

В дополнение к данным ручные отчеты должны были быть принесены в пределах сроков новой системы защиты данных, таким образом позволяя подчиненные права доступа на доступ к таким отчетам.

Из-за пособий, сделанных для существующих учреждений, которые будут принесены в согласие с новым законодательством, ручная обработка данных, которая началась до 24 октября 1998, должна была выполнить новые подчиненные договоренности доступа закона до 2001.

Теперь 4 года спустя там все еще нерешены проблемы, такие как угрозы безопасности, представленные компьютеризацией, они могут быть широко разделены на 3 широких категории:

Несовместимое использование:
Где проблема вызвана несовместимой комбинацией аппаратных средств и программного обеспечения, разработанного, чтобы сделать две несвязанных, но полезных вещи, который создает слабые связи между ними, которые могут поставиться под угрозу в выполнение вещей, к которым они не должны быть в состоянии.

Физический:
То, где потенциальная проблема вызвана, давая неправомочным людям физический доступ к машине, могло бы позволить пользователю выполнять вещи, к которым они не должны быть в состоянии.

Программное обеспечение:
Где проблема вызвана ужасно письменными пунктами "привилегированного" программного обеспечения, которое может поставиться под угрозу в выполнение вещей, к которым они не должны быть в состоянии.

философия Безопасности:
Выполнение безопасности систем (программное обеспечение, защищенные аппаратные средства, и совместимый) может быть предоставлено чрезвычайно ничего не стоящим без соответствующих административных процедур для использования компьютерной системы.

Следующие детали результаты анализа угрозы. Если бы компьютерная система была установкой, чтобы подражать текущему управлению практики здоровья, то следующие рассмотрения должны быть поняты:

Активы, Которые будут Защищены:

Данные: Программы и данные сдерживались первичный (произвольный доступ, и прочитайте только память), и вторичные (магнитные) носители данных.

Аппаратные средства: Микропроцессоры, линии связи, маршрутизаторы, и первичный / вторичные носители данных.

Угрозы Безопасности:
Следующие детали соответствующие угрозы безопасности учреждению и большему количеству частых причин компромисса безопасности.

Раскрытие:
Из-за обоих чувствительная природа информации, которая будет сохранена и обработана, есть более строгие требования нового законодательства защиты данных, все разумные предосторожности должны быть взяты, чтобы застраховать от этой угрозы.

Нападавшие:
Хотя огромное большинство несанкционированного доступа передано хакерами, чтобы узнать больше о пути работа компьютерных систем, у действий крекера могли быть серьезные последствия, которые могут подвергнуть опасности организацию из-за последующего нарушения седьмого принципа защиты данных, то есть те анкетные данные должны быть окружены надлежащей безопасностью.

Штат:
Широко полагается, что несанкционированный доступ прибывает из внешней стороны, однако, 80 % компромиссов безопасности переданы хакерами и крекерами, внутренними к организации.

операторы:
Люди, ответственные за установку и конфигурацию системы, имеют критический риск к безопасности. Поскольку они могут:

[1] Имеют неограниченный доступ к системе таким образом данные.

[2] быть в состоянии обойти механизмы защиты системы.

[3] Передают их пароли для Вашей системы к книге, или освобождают примечания.

[4] тенденция использовать общие пароли на всех системах, которые они создают, так, чтобы нарушение на одной системе могло простираться на другие.

предмет данных:
Предмет данных призыв права получить доступ к анкетным данным создает нарушение в безопасности по определению. Выполнить такой запрашивать данные нужно 'отпереть', чтобы обеспечить доступ к этому, таким образом создавая дополнительные риски к безопасности. Поскольку:

[1], Если бы копии должны быть сделаны, это обычно будет конторским штатом, который обычно не имел бы таких прав непосредственно.

[2] копии могут потеряться, будучи сделанным доступный.

[3] Проверка идентичности предмета данных становится очень важной.

Программное обеспечение:
Многие у бизнеса есть заявления базы данных, которые типично разрабатываются, чтобы позволить одному - двум сотрудникам обращаться с большей рабочей нагрузкой. Поэтому такое программное обеспечение не позволяет ратификацию (подтверждение, что записи данных разумны) деталей, в которые входят сотрудники.

Это - критический риск безопасности, поскольку это позволяет основным актам мошенничества быть переданными, такой как, поддельный вход данных (вход в дополнительную несанкционированную информацию).

Важность Хорошей Безопасности:
Данные ценны в терминах времени и денег, потраченных при сборе и обработке этого. Плохие или неадекватные механизмы защиты системы canlead к злонамеренным нападениям компьютерной системы (незаконное проникновение и использование компьютерного оборудования).

Один или более окольный, разрушение, крекеры могут повредить компьютерную систему и / или данные, у такого повреждения могли быть серьезные последствия кроме таковых из последующего нарушения седьмого принципа защиты данных, который может подвергнуть опасности организацию. Например:

Потеря information:Which может стоить деньги, чтобы обновиться.

Ложный information:With возможный взятый судебный иск.

Плохо management:Due к неправильной информации.

Принципы Компьютерной Безопасности:
Публикация и исследование неэффективности и ошибок в программах безопасности, что выход во всех сложных компьютерных программах (включая операционные системы), методы входа и непринужденность доступа к такой технической информации означал, что система только столь же безопасна как люди, у которых есть доступ к этому и что хорошая безопасность системы не может быть гарантирована заявлением устройства или операционной системы.

Компьютеризация:
Сообщения СМИ, которые привлекают общественное внимание к угрозам безопасности, врожденным от природы programable технологии и безопасности информации людей, дали начало ситуациям, где учреждения, порученные с чувствительной информацией, должны провести так много времени и энергии получить общественное доверие таким системам, поскольку они делают в обеспечении serveries.

Хотя этот сценарий еще не относится к промышленности здоровья, поскольку общественность еще не конечные пользователи системы, такие социальные впечатления нужно рассмотреть:

Это приводит нас к вопросу: если жизнь с компьютерами так wonderous, как Вы оставляете ее? Просто щелкните выключателем, и все закроется, и Вы можете исследовать чудеса oustide мира. Компьютеры - только инструменты и, точно так же, как электрическая отвертка, компьютеры могут экономить время и усилие, не убирая ничто из Вас. Все, что Вы должны решить, - то, когда Вы хотите использовать компьютер и когда Вы не делаете, Вы находитесь все еще в полном контроле над Вашей жизнью.

Принципы Вывода:
Одно из новых понятий, введенных по условию, законодательство защиты - 'вывод', и данные теперь расценены как непосредственно чувствительные, если уязвимые данные могут быть выведены из этого. Например, если агент по недвижимости показывает полные детали об одном террасном доме, Вы можете вывести то, на что походит соседний дом. В медицинской практике полные терпеливые детали приблизительно три члена семьи могли вероятно позволить Вам строить детали одной четверти.

Это должно быть связано с суждением, что, за прошлые 10 лет или таким образом больше информации хранилось о людях чем во всей предыдущей истории, и, из-за компьютеризации, вся та информация способна к тому, чтобы быть сплоченным от различных организаций (банки, магазины, государство, и т. д), которые держат это.

Право На Частную жизнь:
Можно заметить, что утверждение 'обработка обработанных на компьютере данных персонала представляет угрозу праву человека на частную жизнь', хорошо основан. К сожалению, до сих пор, не было никакого установленного законом права в английском законе к личной частной жизни.

Поэтому право на частную жизнь той информации было установлено в законодательство защиты данных, и, только такое законодательство препятствует тому, чтобы полные досье были собраны на любом данном человеке.

Работники здравоохранения освобождены от потребности в предшествующем одобрении прежде, чем обработать личную информацию, например, поскольку ясно, что здоровье человека отвергает право человека на частную жизнь, и согласие может считаться само собой разумеющимся.

Это не препятствует тому, чтобы работники здравоохранения имели полное бремя защиты той информации от несанкционированного доступа, определенно из-за более высоких обязательств, помещенных в них Клятвой Гиппократа, которая заявляет, что член медицинской профессии должен уважать тайны, которым доверяют их, даже после того, как пациент умер.

Однако, как может быть замечен по льготам и исключениям, трудный баланс должен быть достигнут между правом на частную жизнь, и потребностями человека (и/или организация).

В случае любого юридического лица или практики, права предмета данных на защиту данных, которые имеют отношение с ними, создают конфликт интересов между ними и практикой, поскольку сложная система безопасности, необходимая для этого, требует дополнительной администрации и навигации сложной системы каждый раз, когда данные - потребность, может поместить дополнительное напряжение в штате, обе вещи, которых управление может желать избежать.




 
Меню