double arrow

Обеспечение информационной безопасности

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

  1. законодательный (законы, нормативные акты, стандарты и т.п.);
  2. морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);
  3. административный (действия общего характера, предпринимаемые руководством организации);
  4. физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);
  5. аппаратно-программный (электронные устройства и специальные программы защиты информации).

Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.

Надежная система защиты должна соответствовать следующим принципам:

  • Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
  • Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.
  • Защита тем более эффективна, чем проще пользователю с ней работать.
  • Возможность отключения в экстренных случаях.
  • Специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.
  • Под защитой должна находиться вся система обработки информации.
  • Разработчики системы защиты, не должны быть в числе тех, кого эта система будет контролировать.
  • Система защиты должна предоставлять доказательства корректности своей работы.
  • Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность.
  • Объекты защиты целесообразно разделять на группы так, чтобы нарушение защиты в одной из групп не влияло на безопасность других.
  • Надежная система защиты должна быть полностью протестирована и согласована.
  • Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.
  • Система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения.
  • Наиболее важные и критические решения должны приниматься человеком.
  • Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.








Сейчас читают про: