5. Metody przeciwdziałania zagrożeniom i klasyfikacja metod ochrony
Ogólne zasady bezpieczeństwa
- Skuteczność zabezpieczeń zależy od ludzi. Żaden system bezpieczeństwa nie obroni systemu informatycznego, jeżeli człowiek zawiedzie zaufanie.
- Nie ma bezwzględnej miary bezpieczeństwa. Poziom bezpieczeństwa można mierzyć tylko w odniesieniu do precyzyjnie określonych w tym zakresie wymagań stawianych systemowi.
- Nie istnieje żaden algorytm, który dla dowolnego systemu ochrony mógłby określić, czy dana konfiguracja jest bezpieczna.
- System bezpieczeństwa musi być systemem spójnym, tzn. muszą być stosowane łącznie różne metody ochrony, inaczej system bezpieczeństwa będzie posiadał luki.
Programowo-sprzętowe metody ochrony
- stosowanie określonych procedur wytwarzania oprogramowania i sprzętu,
- stosowanie odpowiedniego oprogramowania systemowego i dodatkowego,
- stosowanie odpowiednich konfiguracji sprzętowych (UPS, nadmiarowość konfiguracji),
- stosowanie mechanizmów składowania,
- szyfrowanie informacji.
Metody ochrony fizycznej
- kontrola dostępu do obiektów i pomieszczeń,
- zabezpieczenie przeciw włamaniom,
- systemy przeciwpożarowe.
Organizacyjne metody ochrony
- regulaminy dla osób korzystających z systemów informatycznych,
- polityka bezpieczeństwa,
- polityka zakupu sprzętu i oprogramowania.
Kadrowe metody ochrony
- sprawdzanie pracowników dopuszczonych do danych o szczególnym znaczeniu,
- przestrzeganie odpowiednich procedur zwalniania i zatrudniania pracowników,
- motywowanie pracowników,
- szkolenia.
Zasady ustalania zakresu obowiązków
- zasada wiedzy koniecznej - prawa muszą wynikać z obowiązków (nic więcej),
- zasada minimalnego środowiska pracy - prawo dostępu tylko do pomieszczeń związanych z obowiązkami,
- zasada dwóch osób - funkcje, które mogą być wykorzystane do złamania zabezpieczeń, należy podzielić a ich wykonanie przydzielić różnym osobom,
- zasada rotacji obowiązków - szczególnie odpowiedzialne funkcje powinny podlegać rotacji.