Международный стандарт iso 17799
Аутентификация сообщений
жүктеу/скачать 0.79 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- 10.2.4 Проверка результатов работы
| 10.2.3 Аутентификация сообщений
Аутентификация сообщений – это метод, позволяющий обнаружить несанкционированные изменения или повреждение содержимого передаваемых электронных сообщений. Этот метод может быть реализован либо на аппаратном, либо на программном уровне – с помощью физического устройства аутентификации или программного алгоритма. Аутентификацию сообщений рекомендуется применять в тех областях, безопасность которых требует защиты целостности содержимого сообщения – например, электронное перечисление средств, передача характеристик, контрактов и предложений значительной важности, а также прочие подобные операции обмена электронными данными. Необходимо выполнить оценку рисков, чтобы установить, необходима ли аутентификация сообщений, и определить наиболее подходящий метод реализации. Аутентификация сообщений не обеспечивает защиту содержимого сообщения от несанкционированного раскрытия. Для реализации аутентификации сообщений можно использовать криптографические методы (см. разделы 10.3.2 и 10.3.3). 10.2.4 Проверка результатов работы Результаты работы, выдаваемые прикладной системой, необходимо проверять для того, чтобы убедиться, что сохраненная информация была обработана правильно и соответствует всем условиям. Как правило, при разработке систем предполагается, что при принятии соответствующих мер результаты проверки достоверности и тестирования выданных данных всегда будут положительными. Это не всегда так. Проверка результатов работы может включать: a) проверку правдоподобия, позволяющую убедиться в осмысленности выданных данных; b) подсчет контрольных сумм, позволяющий убедиться, что данные были обработаны полностью; c) предоставление достаточного количества данных для того, чтобы читатели или последующие системы обработки смогли определить правильность, полноту, точность и классификацию информации; d) правила реакции на ошибки при проверке результатов; e) определение обязанностей всех сотрудников, участвующих в процессе вывода данных. |