Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Информатика

Политика безопасности

Информационная безопасность обеспечивается политикой безопасности, которая включает в себя совокупность норм и правил, регламентирующих процесс обработки информации. Для ее обеспечения необходимо четко представлять, какая информация требует первоочередной защиты, какой ущерб понесет предприятие при потере тех или данных, какого рода атаки на безопасность системы могут быть предприняты и от каких возможных источников угроз, какие средства использовать для защиты.

При формировании политики безопасности необходимо учитывать несколько базовых принципов:

  • • предоставление каждому сотруднику предприятия (пользователю компьютера, информационной системы, сети) того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения своих должностных обязанностей;
  • • комплексный подход к обеспечению безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппаратуры;
  • • использование средств, которые при отказе переходят в состояние максимальной защиты. Например, при выходе из строя автоматического пропускного пункта в какое-либо помещение он должен переходить в такое состояние, чтобы ни один человек не мог пройти на защищаемую территорию;
  • • принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение. Например, в некоторых случаях можно отказаться от дорогостоящих аппаратных средств защиты, ужесточив административные меры.

При определении политики безопасности для сети, имеющей выход в Интернет, специалисты рекомендуют разделить задачу на две части: выработка политики доступа к сетевым службам Интернета и выработка политики доступа к ресурсам внутренней сети компании.

Модели безопасности и принципы их построения

Основной задачей политики безопасности является защита от несанкционированного доступа к ресурсам информационной системы. Для этого, исходя из принятых норм и правил, строятся формализованные модели безопасности в виде описания, определяющего (задающего) условия, при которых поддерживается определенный уровень конфиденциальности, целостности и доступности ресурсов информационной системы.

Основой для построения моделей безопасности служат следующие принципы:

  • • информационная система представляется в виде множества субъектов и объектов. Система безопасна, если управление доступом субъектов к объектам осуществляется в соответствии с принятым набором правил и ограничений;
  • • все взаимодействия в системе регламентируются заданным набором операций, которые субъекты могут производить над объектами;
  • • все операции между субъектами и объектами контролируются и, исходя из принятых норм и правил, либо запрещаются, либо разрешаются;
  • • совокупность множеств субъектов, объектов и отношений между ними образуют пространство состояния системы. Каждое состояние системы является безопасным либо небезопасным в соответствии с принятым в модели критерием безопасности. При соблюдении всех установленных правил и ограничений система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние.
 
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

Популярные страницы