Принципи політики безпеки

Глава 6. ОРГАНІЗАЦІЙНИЙ ЗАХИСТ ІНФОРМАЦІЙНИХ

СИСТЕМ

Політика інформаційної безпеки

Політика інформаційної безпеки - набір законів, правил, практичних рекомендацій і практичного розвитку, що визначають управлінські та проектні рішення в галузі захисту інформації. На основі політики інформаційної безпеки будується управління, захист і розподілення критичної інформації в системі. Вона повинна охоплювати всі особливості процесу оброблення інформації, визначаючи поведінку ІС у різних ситуаціях.

Принципи політики безпеки

Розробляючи політику безпеки та втілюючи її в життя доцільно керуватися такими принципами.

1. Принцип неможливості минути захисні засоби означає, що всі інформаційні потоки в мережу, що захищається, і з неї повинні проходити через СЗІ, не повинно бути "таємних" модемних входів чи тестових ліній, що йдуть обминаючи екран.

2. Надійність будь-якої СЗІ визначається найслабкішою ланкою. Часто такою ланкою є не комп’ютер, а людина і тоді проблема забезпечення інформаційної безпеки набуває нетехнічного характеру.

3. Принцип недопустимості переходу у відкритий стан означає, що за будь-яких обставин (навіть нештатних), СЗІ або повністю виконує свої функції, або повинна повністю блокувати доступ.

4. Принцип мінімізації привілеїв пропонує виділяти користувачам і адміністраторам тільки ті права доступу, які необхідні їм для виконання службових обов’язків.

5. Принцип розподілу обов’язків передбачає таке розподілення ролей і відповідальності, при якому одна людина не може порушити критично важливий для організації процес. Це особливо важливо для запобігання зловмисним чи некваліфікованим діям системного адміністратора.

6. Принцип багаторівневого захисту пропонує не покладатися на один захисний рубіж, яким би надійним він не здавався. За засобами фізичного захисту повинні бути програмно-технічні засоби, за ідентифікацією і автентифікацією - керування доступом і, як останній рубіж, - протоколювання і аудит. Ешелонована оборона захисту здатна, у крайньому випадку, затримати зловмисника, а наявність такого рубежу, як протоколювання і аудит істотно утруднює непомітне виконання зловмисних дій.

7. Принцип різноманітності захисних засобів рекомендує організовувати різні за своїм характером оборонні рубежі, щоб від потенційного зловмисника вимагалося володіння різноманітними і, за можливістю, несумісними між собою навичками подолання СЗІ.

8. Принцип простоти і керованості інформаційної системи у цілому і СЗІ, зокрема, визначає можливість формального чи неформального доведення коректності реалізації механізмів захисту. Тільки у простій і керованій системі можна перевірити погодженість конфігурації різних компонентів і здійснити централізоване адміністрування.

9. Принцип загальної підтримки законів безпеки носить нетехнічний характер. Рекомендується з самого початку передбачити комплекс заходів, спрямованих на забезпечення лояльності персоналу, на постійне теоретичне і, головне, практичне навчання.