А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Глава 3. Основные пути обеспечения безопасности информации 161<br />
Главной задачей третьего этапа является<br />
анализ обстановки, в том числе местных<br />
специфических условий, производственных<br />
процессов, уже установленных технических<br />
средств защиты.<br />
Концепция защиты должна содержать<br />
перечень организационных, технических и<br />
других мер, которые обеспечивают максимальную<br />
безопасность при заданном остаточном<br />
риске и минимальные затраты на их<br />
реализацию.<br />
Политика защиты — это общий документ, где перечисляются правила доступа, определяются<br />
пути реализации политики и описывается базовая архитектура среды защиты.<br />
Сам по себе документ состоит из нескольких страниц текста. Он формирует основу<br />
физической архитектуры сети, а содержащаяся в нем информация определяет выбор<br />
продуктов защиты. При этом документ может и не включать списка необходимых закупок,<br />
но выбор конкретных компонентов после его составления должен быть очевидным.<br />
Политика защиты выходит далеко за рамки простой идеи «не впускать злоумышленников».<br />
Это очень сложный документ, определяющий доступ к данным, характер<br />
серфинга в WWW, использование паролей или шифрования, отношение к вложениям<br />
в электронную почту, использование Java и ActiveX и многое другое. Он детализирует<br />
эти правила для отдельных лиц или групп. Нельзя забывать и об элементарной физической<br />
защите. <strong>В</strong>едь если кто-нибудь может войти в серверную комнату и получить<br />
доступ к основному файловому серверу или выйти из офиса с резервными дискетами и<br />
дисками в кармане, то все остальные меры становятся попросту бессмысленными.<br />
Конечно, политика не должна позволять чужакам проникнуть в сеть, но, кроме<br />
того, она должна устанавливать контроль и над потенциально нечистоплотными сотрудниками<br />
вашей организации. Девиз любого администратора системы защиты —<br />
«Никому не доверяй!».<br />
На первом этапе разработки политики<br />
прежде всего необходимо определиться, каким<br />
пользователям какая информация и какие<br />
сервисы доступны, какова вероятность<br />
нанесения вреда и какая защита уже есть.<br />
Кроме того, политика защиты должна<br />
диктовать иерархию прав доступа, т. е.<br />
пользователям следует предоставить доступ<br />
только к той информации, которая действительно<br />
нужна им для выполнения своей работы.<br />
Политика защиты должна обязательно<br />
отражать следующее:<br />
Q контроль доступа (запрет на доступ<br />
I этап<br />
II этап<br />
III этап<br />
Определение ценностей объекта<br />
защиты информации<br />
<strong>А</strong>нализ потенциальных действий<br />
злоумышленников<br />
Оценка надежности установленных<br />
средств защиты информации<br />
на объекте<br />
пользователя к материалам, которы-<br />
. Рис. 3.2. Этапы разработки концепции<br />
ми ему не разрешено пользоваться);<br />
защиты информации