Классификация результатов
инвентаризации |
||||
Формирование списка элементов и объектов, |
||||
требующих защиты |
|
Уровни ДОСТУПНОСТИ, |
||
|
|
ЦЕЛОСТНОСТИ, |
||
Список элементов, |
||||
|
КОНФИДЕНЦИАЛЬНОСТИ |
|||
требую-щих защиты, |
|
|||
|
• |
Уровень 0,критический: |
||
формируется по |
|
|||
|
|
решение не возможно, |
||
результатам прогнози- |
|
|
система разрушается; |
|
рования вида и размера |
|
• |
Уровень 1, очень важный: |
|
предполагаемого |
|
|
особо крупный ущерб, работа |
|
ущерба. При этом |
|
|
системы восстановима; |
|
|
• |
Уровень 2, важный: |
||
каждый элемент данных |
|
|
значительный ущерб, работа |
|
(аппаратуры) попадает на |
|
|
может быть закончена на |
|
определенный уровень . |
|
|
текущем шаге; |
|
|
• |
Уровень 3, значимый, полезный: |
||
Верхние три (0-1-2) |
|
|||
|
|
незначительный ущерб; |
||
входят в формируемый |
|
• |
Уровни 4-5, не существенный, |
|
список (выделено) |
|
|
мало значимый: ущерб |
|
|
|
|
отсутствует |
|
|
|
|
|
|
Денисов В.В., 2016 г |
21 |
Инвентаризация данных
Персональные данные – подлежат обязательной защите в соответствии с Федеральным законом
ФЗ № 152, «О персональных данных»
Любая информация, |
|
Не допускается |
|
|
относящаяся к |
|
|
||
физическому лицу |
|
использовать в персональ- |
||
• фамилия, имя, отчество; |
|
ных данных сведения о … |
|
|
|
• |
расовой принадлежности |
|
|
• дата рождения; |
|
|
||
|
• |
национальной |
|
|
• место рождения; |
|
|
||
|
|
принадлежности |
|
|
• адрес; |
|
|
|
|
|
• |
политических взглядах |
|
|
• |
|
|
||
семейное положение, |
|
• |
религиозных или |
|
социальное положение, |
|
|
||
|
|
философских убеждениях |
|
|
имущественное положение; |
|
|
|
|
|
• |
состоянии здоровья |
|
|
• образование; |
|
|
||
|
• |
интимной жизни |
|
|
• профессия; |
|
|
||
|
|
|
|
|
• доходы, другая информация |
|
За исключением специальных случаев |
|
|
|
|
|
обработки |
|
Денисов В.В., 2016 г |
22 |
|||
Принципы разработки систем защиты
1.Экономичность механизма защиты.
2.Минимальная сложность.
3.Разделение привилегий.
4.Не секретность проектирования.
5.Удобство для пользователя, прозрачность.
6.Полное посредничество.
7.Минимум привилегий.
8.Штрафные санкции за нарушения.
Денисов В.В., 2016 г |
23 |
Экономичность
механизма защиты
Затраты на разработку и эксплуатацию эффективных средств защиты должны быть сравнимы с предполагаемым ущербом от вредоносных воздействий.
От |
до |
Денисов В.В., 2016 г |
24 |
Минимальная
сложность механизма
защиты
Преодоление преград, связанных с защитными функциями, не должны увеличивать трудоемкость работы с системой
Денисов В.В., 2016 г |
25 |
Разделение привилегий
Должны существовать не менее 2-х регламентных способов преодоления механизма защиты (2 администратора, 2 пароля, 2 ключа …).
Денисов В.В., 2016 г |
26 |
Не секретность проектирования
В коллектив разработчиков включаются предполагаемые пользователи системы (принцип нового взгляда: привычные каналы утечки, информирование о наличие надежной защиты).
Денисов В.В., 2016 г |
27 |
пользователя,
прозрачность
Работа системыинтерфейсазащиты не должна затруднять основные работы,
реакция должна быть понятной и обоснованной.
Денисов В.В., 2016 г |
28 |
Интерфейс, которому
пользователь не должен уделять много внимания
•Программа должна помогать выполнить задачу, а не становиться этой задачей.
•При работе с программой пользователь не должен ощущать себя глупее программы.
•Программа должна работать так, чтобы пользователь не считал компьютер глупее себя.
Денисов В.В., 2016 г |
29 |
Причины
«непрозрачности»
•Высокомерное отношение программистов к простым пользователям;
•чрезмерное увлечение построением так называемой «защиты от дурака»;
•при возникновении малейших затруднений при работе пользователи обращаются в службу технической поддержки (компетентность).
Денисов В.В., 2016 г |
30 |