Please enable JavaScript.
Coggle requires JavaScript to display documents.
ПОЛІТИКА БЕЗПЕКИ ІНФОРМАЦІї - Coggle Diagram
ПОЛІТИКА БЕЗПЕКИ ІНФОРМАЦІї
Розробка політики безпеки інформацїї повинна проводитися з урахуванням задач, рішення яких забезпечить реальний захист даного об'єкта
Втоматизований комплекс можна вважати захищеним, якщо всі операції виконуються у відповідності з чітко визначеними правилами, що забезпечують безпосередній захист об'єктів, ресурсів і операцій. основу для формування вимог до захисту складає список загроз
Захист інформації в комп'ютерній мережі ефективніший в тому випадку, коли проектування і реалізація системи захисту відбувається в три етапи
Аналіз ризику
Підтримка політики безпеки
Реалізація політики безпеки
На першому етапі аналізуються вразливі елементи комп'ютерної мережі, визначаються й оцінюються загрози і підбираються оптимальні засоби захисту. аналіз ризику закінчується прийняттям політики безпеки
Політикою безпеки (security policy) називається комплекс взаємозалежних засобів, спрямованих на забезпечення високого рівня безпеки. у теорії захисту інформації вважається, що ці засоби повинні бути спрямовані на досягнення наступних цілей
КОНФІДЕНЦІЙНІСТЬ (засекречена інформація повинна
бути доступна тільки тому, кому вона призначена)
ЦІЛІСНІСТЬ (інформація, на основі якої приймаються рішення, повинна бути достовірною і повною, а також захищена від можливих ненавмисного і злочинного перекручувань)
ГОТОВНІСТЬ (інформація і відповідні автоматизовані служби повинні бути доступні та, у разі потреби, готові до обслуговування)
для комп'ютерних мереж можна виділити наступні ймовірні загрози, які необхідно враховувати при визначенні політики безпеки
Несанкціонований доступ сторонніх осіб, що не належать до числа службовців і ознайомлення зі збереженою конфіденційною інформацією
Ознайомлення своїх службовців з інформацією, до якої вони не повинні мати доступу
Несанкціоноване копіювання програм і даних
Перехоплення та ознайомлення з конфіденційною інформацією, переданої по каналах зв'язку
Крадіжка магнітних носіїв, що містять конфіденційну інформацію
Крадіжка роздрукованих документів
Випадкове або навмисне знищення інформації
Несанкціонована модифікація службовцями документів і баз даних
Фальсифікація повідомлень, переданих по каналах зв'язку
Відмова від авторства повідомлення, переданого по каналах зв'язку
Відмовлення від факту одержання інформації
Нав'язування раніше переданого повідомлення
.Помилки в роботі обслуговуючого персоналу
.Руйнування файлової структури через некоректну роботу програм або апаратних засобів
Руйнування інформації, викликане вірусними впливами
.Руйнування архівної інформації, що зберігається на магнітних носіях
Крадіжка устаткування
Помилки в програмному забезпеченні
Збої устаткування.
. Відключення електроживлення
ДРУГИЙ ЕТАП
РЕАЛІЗАЦІЯ ПОЛІТИКИ БЕЗПЕКИ
починається з проведення розрахунку фінансових витрат і вибору відповідних засобів для виконання цих задач. При цьому, необхідно врахувати такі фактори як: безконфліктність роботи обраних засобів, репутація постачальників засобів захисту, можливість одержання повної інформації про механізми захисту і надані гарантії
Крім того, варто враховувати принципи, в яких відображені основні положення по безпеці інформації
ЕКОНОМІЧНА ЕФЕКТИВНІСТЬ (вартість засобів захисту повинна бути меншою, ніж
розміри можливого збитку)
ПРОСТОТА (захист буде тим ефективніший, чим легше користувачеві з ним працювати)
МІНІМУМ ПРИВІЛЕЙ (кожен користувач повинен мати мінімальний набір привілей,
необхідних для роботи)
ВІДКЛЮЧЕННЯ ЗАХИСТУ (при нормальному функціонуванні захист не повинен відключатися, за винятком особливих випадків, коли співробітник зі спеціальними повноваженнями може мати можливість відключити систему захисту)
ВІДКРИТІСТЬ ПРОЕКТУВАННЯ І ФУНКЦІОНУВАННЯ МЕХАНІЗМІВ ЗАХИСТУ (таємність проектування і функціонування засобів безпеки - кращий підхід до захисту інформації тому, що фахівці, які мають відношення до системи захисту, повинні цілком уявляти собі принципи її функціонування та, у випадку виникнення скрутних ситуацій, адекватно на них реагувати)
НЕЗАЛЕЖНІСТЬ СИСТЕМИ ЗАХИСТУ ВІД СУБ'ЄКТІВ ЗАХИСТУ (особи, що займалися розробкою системи захисту, не повинні бути в числі тих, кого ця система буде контролювати)
ЗВІТНІСТЬ І ПІДКОНТРОЛЬНІСТЬ (система захисту повинна надавати досить доказів, що показують коректність її роботи)
ЗАГАЛЬНИЙ КОНТРОЛЬ (будь-які виключення з безлічі контрольованих суб'єктів і об'єктів захисту знижують захищеність автоматизованого комплексу)
ВІДПОВІДАЛЬНІСТЬ (особиста відповідальність осіб, що займаються забезпеченням безпеки інформації);
ІЗОЛЯЦІЯ І ПОДІЛ (об'єкти захисту доцільно розділяти на групи таким чином, щоб порушення захисту в одній з груп не впливало на безпеку інших груп)
ВІДМОВА ЗА ЗАМОВЧУВАННЯМ (якщо відбувся збій засобів захисту і розроблювачі не передбачили такої ситуації, то доступ до обчислювальних ресурсів повинен бути заборонений)
ПОВНОТА І ПОГОДЖЕНІСТЬ (система захисту повинна бути цілком специфікована, протестована і погоджена)
ПАРАМЕТРИЗАЦІЯ (захист стає більш ефективним і гнучкішим, якщо він допускає зміну своїх параметрів з боку адміністратора)
ПРИНЦИП ВОРОЖОГО ОТОЧЕННЯ (система захисту повинна проектуватися в розрахунку на вороже оточення і припускати, що користувачі мають найгірші наміри, що вони будуть робити серйозні помилки і шукати шляхи обходу механізмів захисту)
ЗАЛУЧЕННЯ ЛЮДИНИ (найбільш важливі і критичні рішення повинні прийматися людиною, тому що комп'ютерна система не може передбачити всі можливі ситуації)
ВІДСУТНІСТЬ ЗАЙВОЇ ІНФОРМАЦІЇ ПРО ІСНУВАННЯ МЕХАНІЗМІВ ЗАХИСТУ (існування механізмів захисту повинно бути по можливості приховане від користувачів, робота яких контролюється)
ПІДТРИМКА ПОЛІТИКИ БЕЗПЕКИ - ТРЕТІЙ, НАЙБІЛЬШ ВАЖЛИВИЙ, ЕТАП.
Заходи, проведені на даному етапі, вимагають постійного спостереження за вторгненнями у мережу зловмисників, виявлення «дір» у системі захисту об'єкта інформації, обліку випадків несанкціонованого доступу до конфіденційних даних