Please enable JavaScript.

Coggle requires JavaScript to display documents.

ПОЛІТИКА БЕЗПЕКИ ІНФОРМАЦІї - Coggle Diagram

- - - - ідентифікація
      - розподілення повноважень
      - реєстрація і облік роботи
      - шифрування
      - застосування цифрового підпису
      - забезпечення антивірусного захисту
      - контроль цілісності інформації
- - - - аналізуються вразливі елементи комп'ютерної мережі, визначаються й оцінюються загрози і підбираються оптимальні засоби захисту. аналіз ризику закінчується прийняттям політики безпеки
      - вразливість
        
        для комп'ютерних мереж можна виділити наступні ймовірні загрози, які необхідно враховувати при визначенні політики безпеки:
        
        Несанкціонований доступ сторонніх осіб, що не належать до числа службовців і ознайомлення зі збереженою конфіденційною інформацією;
        
        Ознайомлення своїх службовців з інформацією, до якої вони не повинні мати доступу;
        
        Несанкціоноване копіювання програм і даних;
        
        4.Перехоплення та ознайомлення з конфіденційною інформацією, переданої по каналах зв'язку;
        
        5.Крадіжка магнітних носіїв, що містять конфіденційну інформацію;
        
        6.Крадіжка роздрукованих документів;
        
        Випадкове або навмисне знищення інформації;
        
        Несанкціонована модифікація службовцями документів і баз даних;
        
        Фальсифікація повідомлень, переданих по каналах зв'язку;
        
        Відмова від авторства повідомлення, переданого по каналах зв'язку;
        
        Відмовлення від факту одержання інформації
        
        12.Нав'язування раніше переданого повідомлення;
        
        13.Помилки в роботі обслуговуючого персоналу;
        
        14.Руйнування файлової структури через некоректну роботу програм або апаратних засобів;
        
        Руйнування інформації, викликане вірусними впливами;
        
        16.Руйнування архівної інформації, що зберігається на магнітних носіях;
        
        Крадіжка устаткування;
        
        Помилки в програмному забезпеченні;
        
        Відключення електроживлення;
        
        Збої устаткування
    - - починається з проведення розрахунку фінансових витрат і вибору відповідних засобів для виконання цих задач. При цьому, необхідно врахувати такі фактори як: безконфліктність роботи обраних засобів, репутація постачальників засобів захисту, можливість одержання повної інформації про механізми захисту і надані гарантії.
      - принципи, в яких відображені основні положення по безпеці інформації
        
        ЕКОНОМІЧНА ЕФЕКТИВНІСТЬ (вартість засобів захисту повинна бути меншою, ніж розміри можливого збитку);
        
        МІНІМУМ ПРИВІЛЕЙ (кожен користувач повинен мати мінімальний набір привілей, необхідних для роботи);
        
        ПРОСТОТА (захист буде тим ефективніший, чим легше користувачеві з ним працювати);
        
        ВІДКЛЮЧЕННЯ ЗАХИСТУ (при нормальному функціонуванні захист не повинен відключатися, за винятком особливих випадків, коли співробітник зі спеціальними повноваженнями може мати можливість відключити систему захисту);
        
        ВІДКРИТІСТЬ ПРОЕКТУВАННЯ І ФУНКЦІОНУВАННЯ МЕХАНІЗМІВ ЗАХИСТУ (таємність проектування і функціонування засобів безпеки - кращий підхід до захисту інформації тому, що фахівці, які мають відношення до системи захисту, повинні цілком уявляти собі принципи її функціонування та, у випадку виникнення скрутних ситуацій, адекватно на них реагувати);
        
        НЕЗАЛЕЖНІСТЬ СИСТЕМИ ЗАХИСТУ ВІД СУБ'ЄКТІВ ЗАХИСТУ (особи, що займалися розробкою системи захисту, не повинні бути в числі тих, кого ця система буде контролювати);
        
        ЗАГАЛЬНИЙ КОНТРОЛЬ (будь-які виключення з безлічі контрольованих суб'єктів і об'єктів захисту знижують захищеність автоматизованого комплексу);
        
        ЗВІТНІСТЬ І ПІДКОНТРОЛЬНІСТЬ (система захисту повинна надавати досить доказів, що показують коректність її роботи);
        
        ВІДПОВІДАЛЬНІСТЬ (особиста відповідальність осіб, що займаються забезпеченням безпеки інформації);
        
        ІЗОЛЯЦІЯ І ПОДІЛ (об'єкти захисту доцільно розділяти на групи таким чином, щоб порушення захисту в одній з груп не впливало на безпеку інших груп);
        
        ВІДМОВА ЗА ЗАМОВЧУВАННЯМ (якщо відбувся збій засобів захисту і розроблювачі не передбачили такої ситуації, то доступ до обчислювальних ресурсів повинен бути заборонений)
        
        ПОВНОТА І ПОГОДЖЕНІСТЬ (система захисту повинна бути цілком специфікована, протестована і погоджена);
        
        ПАРАМЕТРИЗАЦІЯ (захист стає більш ефективним і гнучкішим, якщо він допускає зміну своїх параметрів з боку адміністратора);
        
        ПРИНЦИП ВОРОЖОГО ОТОЧЕННЯ (система захисту повинна проектуватися в розрахунку на вороже оточення і припускати, що користувачі мають найгірші наміри, що вони будуть робити серйозні помилки і шукати шляхи обходу механізмів захисту);
        
        ЗАЛУЧЕННЯ ЛЮДИНИ (найбільш важливі і критичні рішення повинні прийматися людиною, тому що комп'ютерна система не може передбачити всі можливі ситуації);
        
        ВІДСУТНІСТЬ ЗАЙВОЇ ІНФОРМАЦІЇ ПРО ІСНУВАННЯ МЕХАНІЗМІВ ЗАХИСТУ (існування механізмів захисту повинно бути по можливості приховане від користувачів, робота яких контролюється)
    - - найбільш важливий етап
      - Заходи вимагають постійного спостереження за вторгненнями у мережу зловмисників, виявлення «дір» у системі захисту об'єкта інформації, обліку випадків несанкціонованого доступу до конфіденційних даних
      - При цьому основна відповідальність за підтримку політики безпеки мережі лежить на системному адміністраторі, що повинен оперативно реагувати на усі випадки злому конкретної системи захисту, аналізувати їх і використовувати необхідні апаратні і програмні засоби захисту з урахуванням максимальноїекономії фінансових засобів