Базові вимоги з безпеки інформаційних систем

1. Система повинна мати сертифікат безпеки .
2. Кожен об’єкт повинен мати власну мітку.
3. Всі користувачі повинні бути ідентифіковані.
4. Система повинна накопичувати дані і застосовувати для контролю системи захисту.
5. Система повинна бути відкрита для незалежного оцінювання.
6. Система повинна бути захищена від змін будь-якої конфігурації.
7. Система повинна обслуговуватися кваліфікованими та надійними спеціалістами (70 % вторгнень відбувається зсередини).
8. Економічна ефективність. Вартість засобів захисту повинна бути менше розміру можливого збитку (злом захисту дорожче ніж сама інформація).
9. Мінімум привілеїв
10. Простота
11. Невідключність захисту
12. Самі користувачі захисту повинні собі уявляти, що захист робить, де і як.
13. Загальний контроль. Будь-які винятки з безлічі контрольованих суб’єктів знижують захищеність.
14. Незалежність самої системи захисту від об’єкту захисту.
15. Звітність і підконтрольність. Система повинна надавати докази правильності своєї роботи.
16. Відповідальність. Особиста відповідальність осіб, які займаються забезпеченням безпеки .
17. Ізоляція та розділення. Об’єкти захисту повинні бути розбиті на групи, щоб відмова однієї не впливала на відмову інших.
18. Повнота і узгодженість. Надійність системи захисту повинна бути специфікована, протестована і узгоджена з тими завданнями, які необхідно виконати.
19. Повинні допускатися зміни параметрів .
20. Принцип «ворожого оточення». Система повинна проектуватися з найгірших припущень.
21. Найбільш важливі рішення мають прийматися людиною.
22. Відсутність змін інформації про існуючі механізми захисту.
Периметр безпеки — кордон надійної обчислювальної бази. Надійність системи — система, що забезпечує одночасну обробку інформації з різним рівнем секретності, без порушенням прав доступу.

Добавить комментарий