Ш1Р ф элвис-плюс 7 страница

Программное обеспечение IBM Tivoli Access Manager позволяет вам объединить многочисленные комбинации паролей и идентифи­кационных данных пользователей. Сведите к минимуму неудобства для пользователей и нагрузку на администраторов.

Обеспечьте неуклонное соблюдение политик безопасности с использованием ПО Tivoli Access Manager. Это решение интегри­руется с широким спектром прикладных и web-pecypcoB — крити­чески важных для бизнеса приложений, файлов, операционных плат­форм и данных, распределенных по всему вашему расширенному предприятию. Поэтому вы можете:

• управлять ростом и сложностью;

• удовлетворять оперативные потребности с использованием инструментов, которые учитывают актуальные на данный мо­мент условия, влияющие на принятие решений о предостав­лении доступа;

• исключать время и затраты на разработку и администриро­вание средств обеспечения безопасности в рамках каждого отдельного приложения;

• предоставлять вашим пользователям возможность однократ­ной регистрации.

Основные особенности:

• позволяет быстро развертывать масштабируемую инфраструк­туру электронного бизнеса с помощью приложений Java 2 Enterprise Edition, включая средства авторизации WebSphere Application Server, построенные на основе контейнерной ар­хитектуры;

• обеспечивает поддержку защищенного сервера BEA WebLogic Server, Siebel 7, SAP, (mySAP.com и SAP Workplace} и других основных сред на базе web-технологий;

• позволяет повысить уровень взаимодействия с заказчиками с помощью средств унифицированного доступа и защищенно­го единого входа в систему (SSO);

• обеспечивает возможность развертывания единой архитекту­ры средств безопасности в нескольких порталах и web-при- ложениях, включая портлеты WebSphere Portal Server;

• предоставляет возможности администрирования с единой кон­соли, а также возможности самообслуживания и самостоя­тельной регистрации клиентов;

• позволяет максимально повысить эффективность работы сис­темы за счет применения гибких архитектурных решений, вклю­чая масштабируемые проксисерверы, а также позволяет быс­тро установить агенты web-серверов;

• вследствие гибкости появившихся в данной версии возмож­ностей IBM Tivoli Access Manager для электронного бизнеса в среде серверов Linux для zSeries обеспечивает повышен­ную степень защиты и производительности промышленных серверов;

предоставляет возможность выбора одного из нескольких ре- иений для выполнения регистрации, в том числе пакетных:редств IBM Secure Way Directory, iPlanet Directory Server, otus Domino Registry или Microsoft Active Directory.

Directory-Based User Managment and Security Services

оставщики

Открытый Интернет

Уровень защиты

Сложные средства защиты

Единый вход в систему

Единая стратегия

Единый реестр

Демилитаризо­ванная зона

Брандмаур

Бизнес логика

Приложения клиентов

Существующие приложения и данные

Деловые партнеры и внешние службы

Брондмауэр

Защи щенная внутрення сеть

Архитектура Tivoli Access Manager for e-business

Высокая степень защиты инфраструктуры электронного эизнеса и имеющихся приложений

ешение IBM Tivoli Access Manager for e-business позволяет управ­лять расширяющимся набором сложных приложений и Web-peiue- ний, контролировать возрастающие расходы на управление таки-

ми решениями и обеспечивает возможность реализации стратегий защиты для данных приложений и web-решений.

Благодаря данному программному решению становится воз­можным управлять проводным и беспроводным доступом к прило­жениям и данным и устанавливать надежный барьер для пресече­ния несанкционированного доступа. IBM Tivoli Access Manager for e-business позволяет обеспечить возможность интеграции реше­ний для электронного бизнеса и предоставить авторизованным пользователям защищенный, унифицированный и персонализиро­ванный доступ к приложениям и данным для электронного бизне­са. С помощью этого программного решения можно предостав­лять защищенный доступ к основным приложениям и данным, расположенным в разных системах организации, а также обеспе­чивать высокую доступность и масштабируемость при выполнении транзакций с партнерами, заказчиками, поставщиками и сотруд­никами.

Возможности Tivoli Access Manager for e-business позволяют при­менять на всех системах предприятия единую централизованную стратегию управления доступом, обеспечивая поддержку широко­го набора приложений и управляемых ресурсов. На рисунке пред­ставлена стандартная реализация защиты на уровне проксисерве- ра, обеспечивающем возможность применения функций управления учетными записями пользователей и функций защиты на основе каталогов программного решения Tivoli Access Manager for e- business. При применении данной архитектуры web-агенты могут использоваться как в качестве замены для проксисервера, так и совместно с ним.

Модульная архитектура для упрощения работы

Модульная архитектура решения Tivoli Access Manager for e- business позволяет выполнять приложения независимо от процес­сов, обеспечивающих защиту системы. Благодаря этому ускоря­ется процесс развертывания инфраструктуры электронного бизнеса, поскольку такая архитектура позволяет изменять код приложений независимо от кода систем защиты, и наоборот. Раздельная архитектура также поддерживает скрытые средства защиты, в состав которых входят уровни защиты, такие, как деми­литаризованная зона.

Решение Tivoli Access Manager for e-business позволяет снизить стоимость создания средств защиты для новых приложений, т.к. при его применении можно отказаться от создания сложных приложе­ний для защиты системы. С помощью данного программного ре­шения можно осуществлять интеграцию со всеми серверами web- приложений, поддерживающими средства защиты Java 2, JAAS и J2EE. Кроме того, адресная поддержка приложений IBM WebShpere Applicaton Server и BEA WebLogic Server, построен­ная на основе технологии J2EE, позволяет отказаться от выпол­нения таких нестандартных задач, как предварительные этапы ком­пиляции. Централизованные службы идентификации и авторизации Tivoli Access Manager for e-business могут взаимодействовать с сервлетами и объектами EJB в целях упрощения программной модели, что позволяет повысить портативность и время разверты­вания.

Кроме служб Java 2 и API-идентификации согласно стандарту Open Group программное решение Tivoli Access. Manager for e- business поддерживает многие открытые промышленные стандарты, например:

• LDAP, позволяющий хранить данные о правах доступа пользо­вателей и групп пользователей. Кроме того, поддерживаются также технологии идентификации пользователей IBM SecureWay Directory, iPlanet Directory Server, Microsoft Active Directory и Lotus Domino Directory;

• клиентские сертификаты X.509 версии 3 для строгой иденти­фикации пользователей на Web-pecypcax. Поддерживаются также многие поставщики сертификатов, в том числе Tivoli Public Key Infrastructure, VeriSign, Entrust и Baltimore;

• технологии для взаимной идентификации и взаимодействия конфиденциальных компонентов с помощью SSL.

Программное решение Tivoli Access Manager for e-business явля­ется открытым и построено на основе общепринятых стандартов. Кроме того, IBM Tivoli Access Manager for e-business поддерживает широкие возможности интеграции с программно-аппаратными сис­темами строгой идентификации, которые, в свою очередь, могут ре- ализовывать решения для использования электронно-цифровой под­писи в бизнес-процессах. В этом случае для безопасного хранения закрытых ключей и пользовательских сертификатов рекомендуется использовать защищенные отчуждаемые носители — смарт-карты или USB-токены. При этом все криптографические операции выполняют­ся внутри смарт-карты или токена и секретный ключ сертификата никогда не «выходит наружу» и не может быть перехвачен. Одним из таких программно-аппаратных решений, имеющим сертификат со­вместимости с IBM Tivoli Access Manager for e-Business, является eToken производства компании Aladdin.

Интеграция с IBM Tivoli Identity Manager позволяет последнему централизованно управпять учетными записями и правами доступа пользователей к ресурсам, защищаемым Tivoli Access Manager for e-business, а интеграция с IBM Tivoli Risk Manager — оперативно получать на консоли оператора системы безопасности информа­цию о подозрительных событиях и угрозах инфраструктуре Tivoli Access Manager for e-business.

IBM Tivoli Directory Integrator

Интегрирование идентификационных параметров для мобилизации всех возможностей инфраструктуры электронного бизнеса

Получите единый взгляд на все идентификационные данные пользо­вателей благодаря открытому, гибкому решению IBM для синхро­низации каталогов. IBM Tivoli Directory Integrator обеспечивает ин­теграцию с более чем 70 источниками идентификационных данных, включая:

• каталоги отдела управления кадрами;

• базы данных систем управления взаимодействием с клиентами;

• системы электронной почты и другие приложения;

• хранилища идентификационных данных;

• управляемые системы.

Вместо того чтобы создавать новое централизованное храни­лище данных, вы можете обеспечить согласование данных в преде­лах существующей инфраструктуры. Это программное обеспечение является гибко настраиваемым слоем синхронизации между источ­никами идентификационных данных и вашей структурой управле­ния идентификационной информацией.

Основные характеристики:

• объединение идентификационных параметров, содержащихся в каталогах, базах данных, системах коллективной работы, программах кадрового учета, системах управления отноше­ниями с клиентами (CRM), планирования ресурсов предприя­тий (ERP) и других корпоративных приложениях в разнород­ных вычислительных средах;

• открытая Jova-архитектура, встраиваемая в разнообразные клиентские среды с минимальными усилиями;

• открытая для синхронизации архитектура, не требующая спе­циализированных хранилищ данных в отличие от других веду­щих решений;

• интеллектуальные многонаправленные маршруты данных, так называемые AssemblyLines, включающие множество источни­ков и получателей данных и помогающие развертыванию и расширению системы;

• графический пользовательский интерфейс, упрощающий раз­работку, обслуживание и поддержку интегрированной инфра­структуры идентификации на предприятии;

• распространение интеграции каталогов предприятия на опе­рационную среду Linux;

• управляемый внешними событиями механизм, обеспечиваю­щий взаимную интеграцию с системами других предприятий;

• удобная среда построения коннекторов и набор встроенных коннекторов и механизмов обработки событий, быстро ин­тегрируемых практически с любыми приложениями или ката­логами;

• мощная поддержка для ПО IBM Tivoli ® Identity Manager и Tivoli Access Manager;

• минимизация числа составляющих инфраструктуры и ускоре­ние циклов исполнения в результате расширения возможнос­тей ПО IBM WebSphere® Application Server, WebSphere Commerce Suite и WebSphere Portal.

JDBC Connector

Web Service Connector

LDAP Connector

JMS Connector

IBM Tivoli Directory Integrator

Построение надежной инфраструктуры службы каталогов предприятия

Традиционные подходы к инфраструктуре каталогов сегодня уже не соответствуют растущему числу пользователей, подразделе­ний и ресурсов предприятия. В каждом отделе компании уста­навливаются собственные приложения, имеющие собственные специализированные каталоги, из-за чего общее количество от­дельных каталогов может доходить до сотни. Эти разрозненные каталоги обычно содержат частично избыточную — или проти­воречивую — идентификационную информацию и не обеспечи­вают масштабирования и поддержания целостности данных, не­обходимых компаниям для внедрения решений, касающихся, например, безопасности, снабжения и у/еЬ-сервисов, на уровне всего предприятия. Для повышения своей конкурентоспособнос­ти и производительности компаниям необходимо сформировать заслуживающий доверия источник такой информации и синхро­низировать отдельные каталоги, обеспечив согласования иден­тификационных данных во множестве информационных архивов (репозитариев).

ПО IBM Tivoli Directory Integrator представляет собой ядро ре­ального времени, интегрирующее каталоги и другие объекты дан­ных в информационных хранилищах на основе технологий IBM и других поставщиков. Его распределенной архитектуре не нужны жесткие централизованные базы данных, необходимые другим из­вестным предложениям. Вместо этого IBM Tivoli Directory Integrator синхронизирует данные локальных хранилищ, что дает возможность местным отделам манипулировать данными, с которыми они лучше всего знакомы, пользуясь только инструментальными средствами, обеспечивающими им наивысшую производительность. Такой ме- такаталог с открытой архитектурой, обменивающийся информаци­ей с приложениями или каталогами и синхронизирующий данные, помогает упорядочить работу бизнеса и внедрить самые передо­вые решения для web-сервисов.

Ключевой компонент инфраструктуры электронного бизнеса

Стройная организация каталога обеспечивает однозначность идентификации и предоставляет инфраструктуру данных для под­держки таких важнейших приложений для электронного бизнеса «по требованию», как web-сервисы, защита и аутентификация. Програм-мное обеспечение IBM Tivoli Directory Integrator закла­дывает прочную основу инфраструктуры электронного бизнеса, тесно интегрируясь с другим инфраструктурным ПО корпорации IBM, в том числе со связующим ПО IBM WebSphere, а также про- грам-мными средствами Tivoli для идентификации и защиты. -Его возможности интеграции данных дополняют возможности средств интеграции данных в составе IBM WebSphere, не дублируя их. Более того, при использовании совместно с IBM Tivoli Directory Server програм-мное обеспечение Direciory iniegrator создает инфраструктуру данных, позволяющую предприятиям немедленно повысив производительность обслуживания пользователей, рабо­тающих с такими решениями, как Tivoli Access Manager и Tivoli Identity Manager, для персонифицированных услуг, распределения ролей, делегирования администраторских задач и самообслужи­вания пользователей.

Характеристики	Преимущества
Открытая архитектура	Java-плaтфopмa вписывается в самые разнообразные среды заказчиков без нарушения целостности и независимо от используемой сегодня операционной системы или службы каталогов
Удобная среда разработки коннекторов	Простата интеграции практически с любым приложением или каталогом коннектора, а также наличие механизма обработки событий, позволяющего существенна сократить время создания каталога на уровне предприятия
Масштабируемость	Масштабируемая гибкая архитектура, опирающаяся на распределенные хранилища данных, которая пользуется ресурсами более эффективно по сравнению с решениями, требующими централизации всех ресурсов

Возможности ПО IBM Tivoli Directory Integrator

ПО IBM Directory Integrator связывает воедино данные, находящи­еся в каталогах, базах данных, системах коллективной работы и приложениях, помогая вашему предприятию добиться большей уни­версальности, усилить защиту и расширить функциональность ин­фраструктуры. Динамическая синхронизирующая прослойка между структурами идентификации на уровне предприятия и приложений устраняет необходимость в промежуточном хранилище данных. Кроме того, для повышения надежности систем безопасности Directory Integrator выполняет критический анализ идентификацион­ных параметров в каталоге. Среда разработки с открытой архи­тектурой на основе Java, позволяющая организовать синхрониза­цию и обмен информацией между множеством архивов, повышает функциональность решения.

Функциональность ПО IBM Tivoli Directory Integrator

ПО IBM Directory Integrator организует интеллектуальные потоки данных (AssemblyLines) в рамках поэтапной компонентной методо­логии, позволяющей ускорить развертывание и упростить расши­рение систем. Коннекторы и синтаксические анализаторы в соста­ве Directory Integrator работают с разнообразными системами и многочисленными протоколами, а механизмы доступа могут быть конфигурированы и распространены на среду конкретного пред­приятия. Наконец, графический пользовательский интерфейс ПО Directory Integrator упрощает разработку, тестирование, запуск, экс­плуатацию и поддержку интегрированной инфраструктуры иденти­фикации на предприятии.

Интеграция данных и каталогов

ПО IBM Tivoli Directory Integrator поможет построить на вашем предприятии децентрализованную архитектуру каталогов с гибким распределенным внедрением. Приведенные ниже вопросы и отве­ты позволят вам лучше понять, какую пользу вашей среде может принести ПО Directory Integrator:

Какие возможности управления предоставляются?

В ПО IBM Tivoli Directory Integrator добавлено несколько новых компонент, упрощающих встраивание в среды с высокой готовнос­тью. Так, ПО JMX Management Architecture (JMA) содержит обшир­ную библиотеку прикладных программных интерфейсов управления (API), интерфейс управления JMX, консоль управления, работаю­щую в среде браузера, и расширяемую архитектуру журналирова- ния, предназначенные для сопряжения с рядом систем сторонних компаний. Эта архитектура позволяет также администраторам кон­фигурировать системы, контролировать исполнение и запускать Directory Integrator для рассылки внешним приложениям извещений о наступлении событий в реальном времени.

Насколько это решение просто в применении?

Встроенный в IBM Tivoli Directory Integrator графический пользова­тельский интерфейс создает среду, в которой очень удобно рабо­тать и легко выполнять развертывание и интеграцию.

Создавая единое для всего предприятия пространство достоверных данных и обеспечивая целостность важной деловой информации, ПО IBM Directory Integrator обеспечивает надежную основу для развертывания web-сервисов. ПО Directory Integrator содержит программу Web Services Connector, предназначенную для объеди­нения с новыми и существующими web-сервисами предприятия. Оно может также самостоятельно поддерживать web-сервисы, позволяя вашему предприятию представить бизнес-правила и содержимое существующих хранилищ информации в виде web-сервисов, к ко­торым могут подключаться другие системы.

Решения, необходимые вашему предприятию

Хотите ли вы обеспечить защиту приложений своего предприятия или открываете доступ к внутренним процессам для торговых партнеров и клиентов, ПО IBM Directory Portfolio предоставляет мощное масш­табируемое и защищенное решение для поддержки служб каталога, необходимое для полного контроля над данными предприятия. Ком­плекс решений IBM для служб каталогов включает ПО IBM Tivoli Directory Integralor, IBM Tivoli Directory Server и дополнительные служ­бы каталогов и метакаталогов. Решение для метакаталога IBM Directory Integrator с открытой архитектурой синхронизирует инфор­мацию и управляет обменом между приложениями или источниками, значащимися в каталоге. Кроме того, IBM Directory Server служит основой для развертывания комплексных приложений управления идентификацией и перспективных программных архитектур.

IBM Восточная Европа/Азия

123317, Россия, Mockdo, Краснопресненская наб., 18 тел.: +7 (495) 775-8800, факс: +7 (495) 258-6468 ibm.com/ru

3. Аудит информационной безопасности

организаций и систем

ЭЛ. Правовые и методологические основы аудита информационной безопасности

3.2Л. Международные правовые аспекты, стандарты и руководства по основам аудита информационной безопасности

В мире существует не так много прямых 3.1.1.1. Предпосылки.

законодательных требований в области _________________ Вступление

информационной безопасности и аудита

информационной безопасности. Однако в большинстве стран действу­ют отраслевые регулятивные нормы, предписывающие внедрение мер по обеспечению безопасности, и разработаны руководства для осу­ществления контроля эффективности этих мер. Некоторые из них яв­ляются нормативами прямого действия, как, например, в отраслях с высоким уровнем регулирования по всему миру, в частности в сфере оказания финансовых услуг (включая банковские операции); другие возникают как результат требований к обеспечению защиты персо­нальных данных клиентов, сотрудников и других заинтересованных в деятельности организаций лиц (сфера здравоохранения в США, Евро­пейская директива о защите персональных данных).

Все большее применение средств автоматизации в обработке ин­формации, приведшее к концентрации чувствительной для организа­ций и их клиентов информации, привлекло внимание законодателей в 80-х гг. прошлого века к данной ситуации, в первую очередь в стра­нах с высокоразвитой экономикой. Одной из первых стран, разрабо­тавших законодательные акты в области конфиденциальности персо­нальных данных, была Великобритания, где в 1984 г. был принят закон

о защите данных (Data Protection Act), который определил потреб­ность в обеспечении информационной безопасности. Этот закон сти­мулировал разработку норм по обеспечению конфиденциальности во многих странах и оказал существенное влияние на то, каким образом организации внедряют и оценивают меры контроля в области инфор­мационной безопасности.

Недавними законодательными актами, ужесточающими требования в отношении корпоративного управления (например, закон Сарбейн- са—Оксли, принятый в США), организациям было предписано уделять больше внимания вопросам внутреннего контроля во всех сферах, включая информационные технологии и информационную безопас­ность. Совет директоров компании в настоящее время, отвечая за эффективность системы контроля операционной деятельности (в ча­стности, предоставление и разделение полномочий), рассчитывает на соблюдение мер безопасности и контроля на всех уровнях: от опера­ционных систем и баз данных до бизнес-приложений. Подобные за­конодательные акты предусматривают наличие мер контроля на уров­не организации, включая оценку и мониторинг рисков, в том числе внутренний контроль и аудит системы контроля в области информа­ционных технологий и безопасности. В результате многие организа­ции используют всевозможные подходы к управлению правами пользо­вателей как способ соответствовать комплексным и жестким требованиям закона Сарбейнса—Оксли в данной области.

В настоящем разделе рассматривается, каким образом международ­ное законодательство и регулирование способствуют внедрению мер контроля в области информационной безопасности и аудита и как современные организации могут использовать уроки прошлого и рас­сматривать инвестиции в систему управления информационной безо­пасностью как часть общей системы корпоративного управления и обеспечения соответствия нормативным требованиям.

3.1.1.2. Информационная В идеальном мире каждая организация и безопасность — влияние каждый ее сотрудник организации долж- регулятивных норм ны понимать риски, связанные с инфор-

и законодательства______ мацией, и принимать соответствующие

меры для ее защиты в соответствии с той ценностью, которую она представляет, и в зависимости от того, каким угрозам подвержена и насколько уязвима. В идеальном мире не было

бы людей, стремящихся извлечь пользу из информации, полученной без разрешения! К сожалению, мы живем в совсем другом мире, и люди не всегда задумываются о том, какой информацией они владеют и что они должны сделать для ее защиты. Кроме того, есть люди, желающие ради собственной выгоды или просто шутки ради использовать плохо орга­низованную систему безопасности и получить доступ к информации, не будучи на то уполномоченными.

Понимая эту проблему, законодательные и другие регулятивные органы продолжают разрабатывать законы и нормы в целях повыше­ния уровня информационной безопасности и стимулировать органи­зации к соответствующим действиям.

Большинство первоначально принятых 3.1.1.3. Примеры важных законодательных актов и регулятивных законодательных актов

норм в области информационной безо- и регулятивных норм

пасности относились к защите персо­нальных данных, хранящихся в организациях. Так, целью закона о защите данных (Data Protection Act), принятого Великобританией в 1984 г., было побудить организации должным образом обеспечить защиту хранившихся у них персональных данных. В 1998 г. закон был усовершенствован в соответствии с новыми требованиями Ев­ропейского Союза к конфиденциальности персональной информа­ции. Раздел закона, посвященный информационной безопасности, невелик, однако многие другие положения закона указывают на важ­ность вопроса безопасности. Одним из важнейших результатов за­кона стало то, что организации начали задумываться о том, какой информацией они владеют, какая информация им необходима и как определить требования к информации (на основе ее классифика­ции) с точки зрения безопасности.

В самом законе не содержатся требования о проведении регуляр­ной проверки состояния информационной безопасности, однако в нем есть раздел, дающий Информационной инспекции (правительствен­ному органу по защите информации) возможность оценивать уровень соответствия безопасности обработки персональных данных требова­ниям этого закона. Эта проверка производится по запросу контроле­ра данных (лицо в организации, отвечающее за соответствие закону). Информационная инспекция издала руководство по проверке с дета­лями аудиторской программы, которая может быть использована орга­низациями для самооценки соответствия или использована третьими лицами для проверки соответствия закону¹.

Великобритания также одной из первых успешно ввела в действие закон относительно «ненадлежащего» использования технологий (The Computer Misuse Act). Этот закон, принятый в 1990 г., рассматривает три вида уголовных преступлений:

— неправомерный доступ к компьютерам (включая незаконное копирование программ);

— неправомерный доступ с целью совершить или способствовать совершению дальнейших правонарушений (таких, как кража и мошенничество);

— неправомерное изменение программного обеспечения (в том числе намеренное и неправомерное уничтожение программно­го обеспечения, баз данных или внедрение вирусов).

На первый взгляд может показаться, что этот закон мало влияет на деятельность организаций, если не считать чувство удовлетвореннос­ти от осознания того, что злоумышленники будут наказаны, однако на деле он имеет несколько очень важных для бизнеса положений. Для успешного судебного преследования в соответствии с этим законом организации необходимо иметь достаточное доказательство того, на­пример, что доступ к информационным системам не был санкциони­рован. Человек должен осознавать, что не был уполномочен на дос­туп к системе, вследствие чего организации стали практиковать использование сообщения при входе в систему, что система предназ­начена только для авторизованных пользователей, а не приветствия типа «Welcome!» («Добро пожаловать!»). Кроме того, закон стимули­ровал организации четко определиться в части политики «приемле­мого использования» информационных систем, то есть что можно, а что нельзя делать в данной области.

Есть немало примеров, когда физические лица не преследовались по суду в соответствии с этим законом из-за отсутствия надежных доказательств (например, журналов регистрации событий или ауди­торских соответствующих лог-файлов) в информационных системах. Широкая известность подобных случаев побуждает организации в той мере, в которой это касается безопасности, внимательнее относиться

Данное руководство размещено на сайте Информационной инспекции www.informationcommis5ioner.gov.uk [34].

к тому, как и какая информация записывается в журналах регистра­ции, а также проводить регулярные проверки журналов регистрации событий в системах.

Одним из дискутируемых аспектов данного закона является понятие легитимности несанкционированного доступа к компьютерам. Под дей­ствие закона потенциально попадают сканирования на уязвимость сис­темы защиты (или тесты на проникновение), проводимые сторонними консультантами (или собственным персоналом) в целях совершенство­вания системы информационной безопасности. В настоящее время об­суждаются предложенные поправки к закону, которые позволят расши­рить сферу его применения и включить в нее вопросы распространения и использования инструментария для тестирования системы безопас­ности для легитимных консультантов по безопасности.