Разработка систем безопасности

         

В этой главе обсуждались цели

В этой главе обсуждались цели и задачи, определяющие, что именно нужно защищать. Эти цели относятся не только к аппаратным средствам и программному обеспечению, составляющим систему, но и охватывают весь технологический процесс при подготовке производства. Ваша способность обеспечить поддержку решений политики безопасности определит успех документа.
  1. 1. Выясните, что должно быть защищено.
  • Аппаратные средства. Центральные процессоры, платы, клавиатура, терминалы, рабочие станции, персональные компьютеры, принтеры, дисководы, коммуникационные линии, терминальные серверы и маршрутизаторы.
  • Программное обеспечение.

    Исходные программы, объектные программы, утилиты, диагностические программы, операционные системы и коммуникационные программы.
  • Данные. Текущие, хранимые централизовано, автономные архивы, резервные копии, регистрационные журналы, базы данных, а также передаваемые по каналам связи.
  • Документация. Программная, на аппаратные средства, на системы, и документация внутреннего делопроизводства.
  • Расходные материалы. Бумага, бланки, красящая лента и магнитные носители.
  1. 2. Определите, от кого нужно защищаться.
  • От несанкционированного доступа к ресурсам и/или к информации.
  • От непреднамеренного и/или несанкционированного раскрытия информации.
  • От ошибок в программном обеспечении и ошибок пользователей.
  1. 3. Анализ безопасности данных.
  • Обработка данных (целостность и конфиденциальность).
  • Работа со сторонней конфиденциальной запатентованной информацией (кто предоставил и на каких условиях).
  • Защита открытых данных (соглашения о конфиденциальности и записи о полной открытости информации).
  • Кадры и данные о персонале (право на неприкосновенность личной жизни и правила раскрытия).
  • Правила лицензирования COTS (периодический просмотр, регистрация, свидетельство о соблюдении правовых норм, копирование).
  1. 4. Резервные копии, архивное хранение и уничтожение данных.
  • Резервирование. Что резервировать, когда, каким методом, насколько часто резервировать и как часто пересматривать процедуры резервирования.
  • Архивное хранение резервных копий. Выбор между хранением на месте эксплуатации и хранением на внесистемных носителях, защита архива, документирование, тестирование, период хранения.
  • Уничтожение данных. Ответственное лицо и система контроля.
  1. 5. Правила защиты интеллектуальной собственности.
  • Информация как важные активы компании.
  • Выдача патента, авторских прав и других прав интеллектуальной собственности.
  • Ссылки на источники информации.
  • Присвоение авторских прав интеллектуальной собственности.
  • Защита прав интеллектуальной собственности (наблюдение и надлежащее обеспечение).
  1. 6. Реагирование на инциденты и судебные процессы.
  • Отчетность об инцидентах и стратегия реагирования.
  • Назначение ответственного лица.
  • Работа с поставщиками услуг в сфере реагирования на инциденты и с бригадами реагирования.
  1. 7. Компьютерные преступления.
  • Понимание того, что компьютерные преступления реально зависят от законодательных мер.
  • Определение того, о каких инцидентах стоит докладывать, а о каких не стоит.
  • Работа в законодательном поле.

Содержание раздела