Разработка политики информационной безопасности

Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

1. Невозможность миновать защитные средства. Все информационные потоки в защищаемую сеть и из нее должны проходить через средства защиты. Не должно быть тайных модемных входов или тестовых линий, идущих в обход защиты.

2. Усиление самого слабого звена. Надежность любой защиты определяется самым слабым звеном, так как злоумышленники пытаются взламывать именно его. Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.

3. Невозможность перехода в небезопасное состояние. Принцип невозможности перехода в небезопасное состояние означает, что при любыхобстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ.

4. Минимизация привилегий. Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.

5. Разделение обязанностей. Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить критически важныйпроцесс, связанный с обеспечением информационной безопасности.

6. Эшелонированность обороны. Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника и существенно затруднить незаметное выполнение вредоносных действий.

7. Разнообразие защитных средств. Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи так, чтобы от потенциального злоумышленникатребовалось овладение разнообразными, по возможности, несовместимыми между собой навыками.

8. Простота и управляемость информационной системы. Принцип простоты и управляемости гласит, что только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование.

9. Обеспечение всеобщей поддержки мер безопасности. Принцип всеобщей поддержки мер безопасности носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или враждебным, то режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала на постоянное теоретическое и практическое обучение.








Дата добавления: 2016-06-02; просмотров: 493;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.003 сек.