Безопасность информационных систем складывается из:
Определение безопасности систем, данное в U.S. National Information Systems Security Glossary: "Безопасность системы: защита информационных систем от угроз неавторизованного изменения или доступа к информации во время её хранения, обработки или передачи, отказа обслуживания авторизованных пользователей или обслуживания неавторизованных пользователей, включая меры, необходимые для обнаружения, документирования и учёта этих угроз. {{System security. The protection of information systems against unauthorized access to or modification of information, whether in storage, processing or transit, and against the denial of service to authorized users or the provision of service to unauthorized users, including those measures necessary to detect, document, and counter such threats.}}
Обеспечение безопасности систем заключается в постоянном внесении патчей для закрытия проблем с безопасностью программного обеспечения, постоянном аудите и контроле, а также изначальной конфигурации системы как безопасной. Полностью безопасных систем не существует, основная цель - достичь компромиса между безопасностью системы, требуемыми усилиями по поддержанию этого уровня безопасности и удобством использования системы. На уровень безопасности системы влияет важность данных, хранящихся в этой системе, и предполагаемые сценарии их использования.
Для обеспечения безопасности данных следует принимать во внимание
Данные не должны изменяться случайно или со злым умыслом. Целостность данных включает себя как хранение, так и передачу данных. При хранении на данные не должны влиять возможные ошибки/разрушение физических накопителей. Для этого следует исключать возможность влияние на хранение данных сбоев питания системы, проводить резервное копирование, ограничивать физический доступ к хранилищам данных.
При передаче данные должны передаваться надёжным способом, с исключением ошибок передачи. При передаче данных в сетях следует обращать внимание на возможное изменение данных злоумышленниками в процессе передачи. Для этого используется шифрование каналов связи, ограничение доступа к физическому уровню сетей.
Кроме того, должны приниматься меры, направленные на выявление потери целостности данных и определение ответственных за это механизмов.
В целостность данных не включаются возможные ошибки ввода данных пользователем.
Конфиденциальность данных осуществляется путём ограничения возможности чтения и записи данных кругом авторизованных на это лиц или систем. Целостность данных должна обеспечить правильность передачи данных, а конфиденциальность -
исключить их перехват/получение неавторизованными для этого лицами.
Для обеспечения конфиденциальности данных требуется обеспечить:
Конфиденциальность данных может быть нарушена с использованием ошибок в программном обеспечении, позволяющих повысить уровень доступа пользователей. Также могут быть использованы возможности по физическому доступу к системам с защищаемыми данными и/или к сетям их передачи.
Для доступности данных следует обеспечить невозможность их утраты и доступ к ним для авторизованного персонала на определённом уровне качества. Для обеспечения доступности данных следует обеспечить противодействие:
Дата создания: 2006-05-24 15:50:48 (Фетисов Н. А. (naf))
Последнее изменение: 2009-01-18 23:07:30 (Фетисов Ф. А. (faf))
Владелец: Фетисов Н. А. (naf)
Версия: 2 Все версии
Wiki::Admin Карта раздела Оглавление Изменения за сутки Изменения за неделю Изменения за месяц