Изучение требований к защите информации в информационно-

154
Прежде всего необходимо установить, насколько «доверительной»
или «подозрительной» должна быть система защиты. Иными словами, правила
доступа к внутренним ресурсам должны базироваться на одном из
Интернет уже давно славится своей при приверженностью к открытым
стандартам. Такая поддержка в совокупности с открытостью обмена
информацией может навести на мысль, что Интернет и безопасность понятия
взаимоисключающие. Стандарты:
Secure HTTP (S - HTTP) – защита транзакций в Web;
Secure Sockets Layer (SSL) – защита пакетов данных на сетевом уровне;
Secure MIME (S/MIME) – защита вложений в элекронные послания на
различных платформах;
Secure Wide-Area Networks (S/WAN) – шифрование одноранговых
соединений между Бранд-мауэрами и маршрутизаторами.
Политика
безопасности
определяется
как
совокупность
документированных управленческих решений, направленных на защиту
информации и ассоциированных с ней ресурсов.
При
разработке
и
проведении
ее
в
жизнь
целесообразно
руководствоваться следующими принципами:

невозможность миновать защитные средства;

усилие самого слабого звена;

Невозможность перехода в небезопасное состояния;

минимизация привилегий;

разделение обязанностей;

эшелонтрованность обороны;

разнообразие защитных средств;
Принцип
минимизации
привилегий
предписывает
выделять
пользователям а администратором только те права доступа, которые
необходимы им для выполнения служебных обязанностей.
Принцип разделения обязанностей предполагает такое распределение
ролей и ответственности, при котором один человек не может нарушить
критически важный для организации процесс.
Принцип эшелонированности обороны предписывает не полагаться на
один защитный рубеж, каким бы надежным он ни казался.
Принцип разнообразия защитных средств рекомендует организовывать
различные по своему характеру оборонительные рубежи, что бы от
потенциального злоумышленника требовалось овладение разнообразными и, по
возможности, несовместимыми между собой навыками.
Очень важен принцип простоты и управляемости информационной
системы в целом и защитных средств в особенности. Только для простого
защитного средства можно формально или неформально доказать его
корректность.
Последний принцип – всеобщая поддержка мер безопасности носит
нетехнический характер. Если пользователь или системные администраторы

155
считают информационную безопасность чем-то излишним или даже
враждебным, режим безопасности сформировать заведомо не удается.

Download 16,74 Mb.

Do'stlaringiz bilan baham: