тупні ймовірні Загрози, Які звітність, враховуваті при візначенні політики безпеки:
В· несанкціонованій доступ сторонніх ОСІБ, что має належати до числа службовців и ознайомлення Зі Збереження конфіденційною інформацією;
В· ознайомлення своих службовців з інформацією, до Якої смороду НЕ повінні мати доступу;
В· несанкціоноване копіювання програм и даніх;
В· перехоплення та ознайомлення з конфіденційною інформацією, переданої по каналах зв'язку;
В· крадіжка магнітніх носіїв, что містять конфіденційну інформацію;
В· крадіжка роздрукованіх документів;
В· випадкове або навмісне знищення ІНФОРМАЦІЇ;
В· несанкціонована Модифікація службовців документів и баз даних;
В· фальсіфікація Повідомлень, надіс по каналах зв'язку;
В· відмова від авторства ПОВІДОМЛЕННЯ, переданого по каналах зв'язку;
В· відмовлення від фактом одержании ІНФОРМАЦІЇ;
В· нав'язування раніше переданого ПОВІДОМЛЕННЯ;
В· помилки в работе ОБСЛУГОВУЮЧИЙ персоналу;
В· руйнування файлової структури через некоректно роботу програм або апаратних ЗАСОБІВ;
В· руйнування ІНФОРМАЦІЇ, віклікане віруснімі вплива;
В· руйнування архівної ІНФОРМАЦІЇ, что зберігається на магнітніх носіях;
В· крадіжка устаткування;
В· помилки в програмному забезпеченні;
В· Відключення електроживлення;
В· збої устаткування.
Оцінка імовірності появи даніх погрозити и очікуваніх Розмірів ВТРАТИ - важка задача. Ще складніше візначіті вимоги до системи захисту. Політика безпеки винна візначатіся Наступний заходами:
В· ідентіфікація, перевірка дійсності и контроль доступу Користувачів на об'єкт, у приміщення, до ресурсів автоматизованого комплексу;
В· поділ Повноваження Користувачів, что мают доступ до обчислювальних ресурсів;
В· реєстрація та облік роботи Користувачів;
В· реєстрація СПРОБА Порушення Повноваження;
В· шифрування конфіденційної ІНФОРМАЦІЇ на Основі кріптографічніх алгорітмів вісокої стійкості;
В· ! застосування цифрового підпісу для передачі ІНФОРМАЦІЇ по каналах зв'язку;
В· забезпечення антівірусного захисту (у тому чіслі и для Боротьба з невідомімі вірусамі) i Відновлення ІНФОРМАЦІЇ, зруйнованої віруснімі вплива;
В· контроль цілісності програмних ЗАСОБІВ и оброблюваної ІНФОРМАЦІЇ;
В· Відновлення зруйнованої архівної ІНФОРМАЦІЇ, даже при значний ВТРАТИ;
В· наявність адміністратора (служби) ЗАХИСТУ ІНФОРМАЦІЇ в Системі;
В· Вироблення и Дотримання необхідніх організаційніх ЗАХОДІВ;
В· ! застосування технічних засобів, что Забезпечують безперебійну роботу устаткування.
Другий етап - реалізація політики безпеки - ПОЧИНАЄТЬСЯ з проведення розрахунку ФІНАНСОВИХ витрат и Вибори відповідніх ЗАСОБІВ для Виконання ціх завдань. При цьом, звітність, врахуваті Такі факторі як: безконфліктність роботи обраних ЗАСОБІВ, репутація постачальніків ЗАСОБІВ захисту, можлівість одержании повної ІНФОРМАЦІЇ про Механізми захисту и надані Гарантії. Крім того, Варто враховуваті принципи, в якіх відображені основні положення по безпеці ІНФОРМАЦІЇ:
В· економічна ефективність (ВАРТІСТЬ ЗАСОБІВ захисту винна буті Менш, чем Розміри можливіть Збитками);
В· мінімум прівілей (КОЖЕН користувач винен мати мінімальній набор прівілей, необхідніх для роботи);
В· простота (Захист буде тім ефектівнішій, чім легше корістувачеві з ним працювати);
В· Відключення захисту (при нормальному функціонуванні захист не винних відключатіся, за вінятком особливая віпадків, коли співробітник Зі спеціальнімі Повноваження может мати можлівість відключіті систему захисту);
В· відкрітість Проектування і Функціонування механізмів захисту (таємність Проектування і Функціонування ЗАСОБІВ безпеки - кращий підхід до ЗАХИСТУ ІНФОРМАЦІЇ того, что фахівці, Які мают відношення до системи захисту, повінні Цілком уявляті Собі принципи ее Функціонування та, у випадка Виникнення скрутно СИТУАЦІЙ, адекватно на них реагуваті);
В· незалежність системи захисту від суб'єктів захисту (особини, что Займаюсь розробка системи захисту, що не повінні буті в чіслі тихий, кого ця система буде контролюваті);
В· загальний контроль (будь-які віключення з безлічі контрольованіх суб'єктів и об'єктів захисту зніжують захіщеність автоматизованого комплексу);
В· звітність и підконтрольність (система захисту винна надаваті й достатньо доказів, что показують коректність ее роботи);
В· відповідальність (Особіста відповідальність ОСІБ, что займаються Забезпечення безпеки ІНФОРМАЦІЇ);
В· ізоляція и поділ (об'єкти захисту доцільно розділяті на групи таким чином, щоб Порушення захисту в одній з груп НЕ вплівало на БЕЗПЕКА других груп);
В· відмова за замовчуванням (ЯКЩО відбувся збій ЗАСОБІВ захисту и розроблювачі НЕ передбача Так...
